Was ist Zwei-Faktor-Authentifizierung (2FA)?

Zwei-Faktor-Authentifizierung (2FA) erhöht die Sicherheit von Nutzeraccounts, indem es dem Login einen zusätzlichen Schritt hinzufügt. Damit bietet es einen zusätzlichen Schutz vor Hackerangriffen. Sollte ein Hacker durch eine erfolgreiche Phishing- oder Social-Engineering-Kampagne das Passwort eines Nutzers stehlen, kann er sich damit noch nicht in einen Account einloggen, weil ihm der zweite Authentifizierungsschritt fehlt. Die Authentifizierung kann durch biometrische Daten, einen Sicherheitstoken (PIN) oder durch lokale Standortdaten erfolgen.

Authentifizierung mit zwei Faktoren (Passwort und ein weiterer Schritt) wird am häufigsten angewandt, es können jedoch für zusätzliche Sicherheit noch weitere Schritte hinzugeführt werden. Alle diese Verfahren fallen unter den Oberbegriff Multi-Faktor-Authentifizierung.

Die Rechenleistung moderner Computer nimmt immer weiter zu, sodass das Knacken von Passwörtern durch Brute-Force-Angriffe immer einfacher wird. Dadurch wurde Zwei-Faktor-Authentifizierung überhaupt erst notwendig. Heutzutage ist es für einen Angreifer ein leichtes, innerhalb von nur einer Sekunde Millionen an Brute-Force-Versuchen auf ein verschlüsseltes Passwort zu richten. Sobald Quantencomputer für die breite Masse zugänglich sind, werden simple Passwörter nutzlos sein, sogar wenn sie mit einer starken Verschlüsselung ausgestattet sind.

Ein weiteres Problem damit, wie wir aktuell Passwörter einsetzen, ist das Wiederverwenden der gleichen Passwörter für unterschiedliche Systeme. Es ist für den gewöhnlichen Nutzer unmöglich, sich für jede Plattform ein einzigartiges Passwort bestehend aus zehn Zeichen zu merken, weshalb Passwörter häufig wiederverwendet werden. Wenn ein Angreifer eines dieser wiederverwendeten Passwörter stiehlt, kann er damit in mehrere Plattformen eindringen. Passwort-Manager bieten Nutzern deshalb die Möglichkeit, mehrere einzigartige Passwörter zu verwalten, ohne sie sich merken zu müssen. Ist der Passwort-Manager selbst Opfer eines Angriffs, haben wir es hier jedoch mit dem gleichen Sicherheitsrisiko zu tun. Um Brute-Force-Angriffe und Phishing einzudämmen, wurde deshalb Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung eingeführt.

Eine weitere Gefahr für Nutzer-Accounts, die keine 2FA einsetzen, sind Phishing- und Social-Engineering-Angriffe. Phishing-Emails mit schädlichen Links, Keylogger, und Fragen nach sensiblen Zugangsdaten sind mittlerweile ein ernstes Problem für Unternehmen und Einzelpersonen gleichermaßen. Erfolgreiche Phishing-Angriffe und daraus resultierende Datensicherheitsverletzungen kann einem Unternehmen einen Schaden in Millionenhöhe verursachen. Für Einzelpersonen sollten die Konsequenzen eines solchen Angriffs ebenfalls nicht unterschätzt werden.

Angreifer können Social Engineering für eine Vielzahl an Zielen einsetzen, aber einer davon ist das Stehlen von Zugangsdaten, indem ein Nutzer dazu überredet wird, seine Login-Daten herauszugeben. Ein einziger überzeugender Telefonanruf kann schon ausreichen, um einem Angreifer Zugang zu Accounts mit weitreichenden Berechtigungen zu verschaffen, was einen großanlegten Hacking-Versuch nach sich ziehen kann. In ausgefeilteren Angriffen kann ein Angreifer Phishing und Social Engineering miteinander kombinieren, um Zugangsdaten zu stehlen.

Mit 2FA laufen diese Angriffe zumeist ins Leere, weil ein gestohlenes Passwort alleine noch nicht ausreicht, um Zugang zu einem Account zu erlangen.

Die häufigste 2FA-Methode ist ein Zugriffstoken, meist ein Einmal-Passwort (one-time password, OTP), das der Nutzer auf sein Smartphone geschickt bekommt. Eine weitere Methode ist das Senden einer persönlichen Identifizierungsnummer (PIN) als SMS an den Nutzer. Da die meisten Menschen mittlerweile über ein Smartphone verfügen, steht diese Methode der größten Anzahl an Nutzern offen.

Indem mindestens zwei der oben genannten Faktoren zum Einsatz kommt, lässt sich die statistische Chance eines Hackers, Zugang zu beiden Faktoren zu erlangen, sehr gering halten. Beachten Sie jedoch, dass das Protokoll, mithilfe dessen einem Nutzer Text-Nachrichten gesendet werden, gehackt werden kann, wie es im Fall des Signaling System No. 7 (SS7) geschehen ist. Dabei konnten PINs, die an ein Smartphone geschickt wurden, abgefangen werden. Diese neue Schwachstelle im SS7-Protokoll hat dazu geführt, dass viele Organisationen auf andere Formen der Multi-Faktor-Authentifizierung ausgewichen sind, z.B. solche, die über OTP-Datenkanäle statt Textnachrichten basieren. Eine Option hierfür sind Emails, wobei diese Methode jedoch voraussetzt, dass der Email-Account eines Nutzers über ausreichende Email-Sicherheitsmaßnahmen verfügt. Spezielle OTP-Authentifizierungsapps, die auf dem Gerät des Nutzers installiert sind, stellen die bessere Alternative dar. Diese Apps zeigen dem Nutzer eine PIN an, die er zum Login verwenden kann.

2FA ist in den meisten Fällen sehr effektiv, aber Angreifer umgehen 2FA manchmal durch Social Engineering. In gezielten Angriffen rufen die Angreifer den Nutzer etwa telefonisch an und verleiten ihn dazu, die 2FA-Pin herauszugeben.

Biometrische Authentifizierung ist sicherer als PINs, weil dieser Authentifizierungsschritt nicht abgefangen werden kann und Social Engineerung hier ebenfalls nicht greift. Diese Methode hat jedoch wiederum eigene Nachteile. Zum einen sind biometrische Systeme teurer und zum derzeitigen Stand oftmals noch nicht für die alltägliche Nutzung optimiert, sodass sie für Nutzer schwieriger in der Anwendung sind und Unternehmen einen höheren Aufwand aufwenden müssen, um sie in ihre Systeme zu integrieren. Für Smartphones gibt es mittlerweile einige günstige und nutzerfreundliche Optionen, die auch eine breitere Anwendung gefunden haben, jedoch gilt dies noch nicht für Desktop-Geräte.

Jede Website oder internes System, das mit sensiblen Daten arbeitet, sollte 2FA einsetzen. Denn ohne 2FA ist ein System, das nach außen für Angreifer sichtbar ist, anfällig für Brute-Force-Angriffe und Diebstahl von Zugangsdaten.

Da die Integration von 2FA einen gewissen Aufwand auf Seiten des Entwicklungsteams voraussetzt, verzichten viele Unternehmen bei Systemen, die nicht mit sensiblen Daten arbeiten, auf diesen Schritt. Bevor Unternehmen jedoch diese Entscheidung treffen, sollten sie die für sie geltenden Compliance-Richtlinien prüfen, damit sie durch das Weglassen von 2FA nicht gegen Vorschriften verstoßen. Jedes System, das Finanzdaten, persönliche Daten oder Gesundheitsdaten speichert, muss eine Form von Multi-Faktor-Authentifizierung anwenden. Auch wenn 2FA intern nicht notwendig ist, sollten Administratoren beim Fernzugriff auf ein System 2FA verwenden.

Mittlerweile existiert eine Vielzahl an Drittanbieter-Integrationen, die es einem Unternehmen erleichtern, 2FA in ihre bestehenden Prozesse zu integrieren. Bei jedem System, dessen Login-Oberfläche öffentlich zugänglich ist, sollte 2FA zur Verfügung stehen. Zwar können andere Sicherheitsmechanismen ebenfalls Betrug und Brute-Force-Angriffe erkennen und abwenden; 2FA ist jedoch die Grundlage dafür, dass diese Mechanismen wirkliche Sicherheit herstellen können.