Bundesamt für Sicherheit in der Informationstechnik

Zwei-Faktor-Authentisierung für höhere Sicherheit

Nullen und Einsen werden in einem Zahlenschloss umgewandelt in kleine Zahlenschlösser Quelle: © jmelchior / Fotolia.com

Mittlerweile bieten viele Online-Dienstleister Verfahren an, mit denen die Nutzer oder die Nutzerinnen sich zusätzlich bzw. alternativ zur Passworteingabe identifizieren können, wenn sie sich in ein Konto einloggen. Diese sogenannte Zwei-Faktor-Authentisierung (2FA) gibt es in zahlreichen Varianten, einige ergänzen das zuvor eingegebene Passwort um einen zusätzlichen Faktor, andere ersetzen das vorherige Log-In mit Passwort komplett durch eine direkte Kombination zweier Faktoren. Dabei bieten vor allem hardwaregestützte Verfahren ein hohes Maß an Sicherheit und sollten ergänzend (beziehungsweise ersetzend) zu einem starken Passwort genutzt werden.

Was ist der Unterschied zwischen Authentisierung und Authentifizierung?

Die Begriffe Authentisierung und Authentifizierung werden im allgemeinen Sprachgebrauch oft synonym verwendet, beschreiben aber verschiedene Teilprozesse z.B. eines Anmeldevorgangs. Ein Benutzer AUTHENTISIERT sich an einem System mittels eindeutiger Anmeldeinformationen (z.B. Passwort oder Chipkarte). Das System überprüft daraufhin die Gültigkeit der verwendeten Daten, es AUTHENTIFIZIERT den Nutzer oder die Nutzerin.

Wie funktioniert ein Log-In mit einem zweiten Faktor?

Eine Authentisierung mittels mehrerer Faktoren beginnt in vielen Fällen mit der gewöhnlichen Eingabe eines guten Passworts. Das System, in das sich Nutzerin oder Nutzer einloggen möchten, bestätigt daraufhin die Richtigkeit des eingegebenen Kennworts. Dies führt jedoch nicht - wie bei einfachen Systemen üblich - direkt zum gewünschten Inhalt, sondern zu einer weiteren Schranke. Auf diesem Weg wird verhindert, dass unbefugte Dritte Zugang zu Nutzerdaten oder Funktionen erhalten, nur weil Sie in den Besitz des Passworts gelangt sind.

Viele übliche Zwei-Faktor-Systeme greifen nach der Passwortabfrage auf externe Systeme zurück, um eine zweistufige Überprüfung des Nutzers durchzuführen. Das kann bedeuten, dass der Anbieter, bei dem Sie sich anmelden möchten, einen Bestätigungscode an ein weiteres Ihrer Geräte sendet, z. B. Ihr Smartphone. Der zweite Faktor kann allerdings auch Ihr Fingerabdruck auf einem entsprechenden Sensor oder die Verwendung eines USB-Tokens oder einer Chipkarte sein. Erst wenn sich auch dieses Mittel zur Identitätsbestätigung in Ihrem Besitz befindet, sind Sie in der Lage, die angeforderten Inhalte aufzurufen und den Online-Dienst oder das Gerät zu benutzen.

Dr. Niels Räth vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Video-Interview zum Thema Zwei-Faktor-Authentisierung:

Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z.B. Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) verwendet wird.

Statt der mehrstufigen Überprüfung verschiedener Faktoren hintereinander durch den Diensteanbieter, kombinieren einige Verfahren auch mehrere Faktoren direkt miteinander. Beispielsweise kann bei der Online-Ausweisfunktion des Personalausweises der Faktor "Besitz Chipkarte" nur zusammen mit dem Faktor "Wissen PIN" eingesetzt werden. Erst mit Beidem in Kombination findet eine Authentisierung beim Diensteanbieter statt. Dies bietet noch größere Sicherheit als die sequentielle Prüfung eines Passwortes und eines separaten zweiten Faktors.

Harald Kelter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erläutert in unserem Podcast, was man zu Hause oder unterwegs für die Zwei-Faktor-Authentisierung braucht:

Frau mit Smartphone in der Ubahn

Was sind gängige Systeme zur Zwei-Faktor-Authentisierung?

Grundsätzlich erhöht ein zweiter Faktor zwar immer die Sicherheit, es kommt dabei aber auch auf die Art der Umsetzung und Verwendung des zweiten Faktors an. Es lassen sich im Wesentlichen folgende Gruppen von Verfahren zur Zwei-Faktor-Authentisierung unterscheiden:

TAN/OTP-Systeme als zweiter Faktor nach einem Passwort: Eine TAN bzw. ein OTP ist ein Einmalkennwort, das als zweiter Faktor übermittelt werden kann. In der Vergangenheit wurden TANs vorab auf Papierlisten (iTAN) bereitgestellt, dieses Verfahren gilt jedoch seit geraumer Zeit als nicht mehr sicher genug. Besser sind TAN-Generatoren (Hardware) bzw. Authenticator Apps (Software), die Einmalkennwörter zeit- oder ereignisbasiert stets neu generieren. Noch sicherer sind TAN-Generatoren, die in die Erzeugung der TAN auch Daten aus der Transaktion (z.B. Kontonummer und Betrag) einbeziehen (eTAN, chipTAN).

Alternativ wird die TAN dem Benutzer vom Diensteanbieter auf einem anderen Übermittlungsweg bzw. an ein anderes Endgerät übermittelt. Gängig ist hier vor allem die Übermittlung per SMS (mTAN, smsTAN) ggf. mit Angabe zusätzlicher Transaktionsinformationen. Es ist jedoch davon abzuraten für den Empfang der mTAN dasselbe Gerät zu verwenden, wie für das Log-In bzw. die Nutzung des Dienstes (keine ausreichende Trennung der Faktoren).

Kryptographische Token: Ein kryptographisches Token speichert einen privaten kryptographischen Schlüssel. Die Authentisierung erfolgt durch das Senden einer Anforderung an das Token, die das Token nur mithilfe des privaten Schlüssels korrekt beantworten kann.

Der Schlüssel kann als Softwarezertifikat gespeichert werden (bekannt von ELSTER), sicherer ist aber die Speicherung in Hardware auf einer Chipkarte (HBCI, Signaturkarten) oder einem speziellen USB-Stick/NFC-Token (FIDO/U2F). Auch der Personalausweis und der elektronische Aufenthaltstitel enthalten einen sicheren Schlüsselspeicher und ermöglichen damit die Online-Ausweisfunktion.

Biometrische Systeme: Bei biometrischen Systemen wird das Vorhandensein eines zuvor erfassten einzigartigen körperlichen Merkmals überprüft (Fingerabdruck, Gesicht, Retina). Biometrische Merkmale sind im Normalfall nicht "geheim", sodass eine Lebenderkennung wichtig ist, damit die Systeme nicht z.B. mit einem Foto ausgetrickst werden können.

Wo kommen diese Sicherheitsverfahren zum Einsatz?

Anwendung findet Mehrfaktor-Authentisierung in den unterschiedlichsten Technologien, hier ein paar Beispiele:

  • Online-Banking: Anmeldung mit Passwort und Bestätigung von Transaktionen zusätzlich mit TAN via mTAN oder pushTAN, alternativ auch kartenbasierte Systeme wie chipTAN oder HBCI.
  • Debit- oder Kreditkartenzahlung: Der Chip in der Karte zeigt den Besitz an und das Wissen der PIN legitimiert den Vorgang.
  • Online-Ausweisfunktion des Personalausweises: Zur Datenübermittlung muss der Chip im Ausweis durch Eingabe der PIN zunächst freigegeben werden. Zusätzlich findet eine gegenseitige Authentisierung zwischen Ausweis und Diensteanbieter statt und die ausgelesenen Daten werden Ende-zu-Ende verschlüsselt zum Diensteanbieter übertragen.
  • Cloud- oder Mail-Anbieter, Social Media Plattformen: Sicherer Log-In mit Passwort und mTAN oder einem OTP aus einer Authenticator-App, alternativ auch hardwarebasiert mit einem U2F/FIDO-Token.
  • Steuererklärung: Mit ELSTER kann die Steuererklärung digital eingereicht werden, die Anmeldung erfolgt mit einem passwortgeschützten Softwarezertifikat oder der Online-Ausweisfunktion des Personalausweises.

Aktuelle Empfehlungen und Risiken

Empfehlungen:

  • Wenden Sie eine Zwei-Faktor-Authentisierung an, sobald ein Online-Dienst dies ermöglicht.
  • Viele Dienste haben die Funktion standardmäßig deaktiviert, bieten sie aber dennoch an. Eine Überprüfung der Log-In-Verfahren lohnt sich.
  • Gelangt Ihr Passwort oder Ihre PIN in die falschen Hände, sind Ihre sensiblen Daten dennoch gut gesichert, wenn sie durch die weitere Barriere eines zweiten Faktors vor fremdem Zugriff abgeschirmt werden.

Nachteile:

  • Eine Mehrfaktor-Authentisierung verlängert den Anmeldevorgang geringfügig. Auf vertrauenswürdigen Geräten kann sie zwar unter Umständen auch übersprungen werden, dies verringert dann aber wiederum die Sicherheit.
  • Wenn Sie keinen Zugriff auf Ihren besitzbasierten Faktor mehr haben oder er kaputt geht, verlieren Sie in der Regel den Zugang zum entsprechenden Dienst oder seine Funktionalität wird eingeschränkt. Sorgen Sie für diesen Fall vor, indem Sie – wenn möglich – mehrere "zweite Faktoren" hinterlegen (z.B. ein weiteres Token, eine weitere TAN-App oder eine weitere Mobiltelefonnummer für mTAN).