„Multi-Faktor-Authentisierung“ – Versionsunterschied

Die Multi-Faktor-Authentifizierung (MFA), auch Multifaktor-Authentisierung, ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen IT-Grundschutzkatalogen auch Empfehlungen zur Multi-Faktor-Authentisierung für Cloudanwendungen herausgegeben.^[1]

Faktoren

Möglich sind mehrere Faktoren. Verbreitet sind zur Zeit

• "knowledge", also "Wissen", etwas, das der Nutzer weiß (beispielsweise ein Passwort)
• "ownership", also "Besitz", etwas, das nur der Nutzer besitzt (beispielsweise ein Mobiltelefon)
• "inherence", also "Inhärenz", etwas, das der Nutzer ist (beispielsweise ein Fingerabdruck) ^[2]
• "location", also "Ort", ein Ort an dem sich der Nutzer befindet^[3]

Als Beispiel für mehrere Faktoren kann das Geld abheben an einem Geldautomaten betrachtet werden: Der Bankkunde muss seine Bankkarte besitzen ("ownership") sowie seine PIN kennen ("knowledge")

Angriffe

Die häufige Authentisierung durch SMS kann über verschiedene Wege ausgehebelt werden. So können unter Android gefälschte Apps Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten.^[4] Zudem können Angriffe direkt auf das im Mobilfunknetz verwendete Signalling System 7-Protokoll (SS7) abzielen: Angreifer können SMS, die zur Authentisierung bestimmt sind, auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusätzlichen Sicherheitsfaktor aushebeln.^[5] Auf diese Weise wurden 2017 bei einem groß angelegten Angriff Kunden des Mobilfunkanbieters O2 durch unberechtigte Abbuchungen von ihren Bankkonten betrogen.^[6]

Gesetzgebung

Europäische Union

Seit dem 1. Januar 2021 sind europäische Kreditinstitute dazu verpflichtet, dem Kunden eine "starke Kundenauthentifizierung" anzubieten. Die bedeutet, dass Transaktionen durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden müssen.^[7]

Patente

Der Unternehmer und Internetaktivist Kim Dotcom behauptete 2013 öffentlichkeitswirksam, die Zwei-Faktor-Authentisierung erfunden und im Jahr 2000 zum Patent^[8] angemeldet zu haben. Ebenso hielt er ein europäisches Patent. Die Europäische Union entzog ihm jedoch im Jahr 2011 das Patent, unter Anderem, weil AT&T ebenfalls ein Patent auf die Technologie angemeldet hatte, jedoch bereits 1995. Dotcoms Patent in den USA hat zwar weiter bestand, jedoch hält AT&T auch dort ein älteres Patent.^[9]

Verwandte Artikel

• Zwei-Faktor-Authentisierung

Einzelnachweise

1. ↑ M 4.441 Multifaktor-Authentisierung für den Cloud-Benutzerzugriff (Memento vom 12. September 2015 im Internet Archive), BSI, Stand: 14. EL Stand 2014
2. ↑ Andrea Saracino: Emerging Technologies for Authorization and Authentication. Springer International Publishing, Luxembourg City 2019, ISBN 978-3-03039749-4, S. 140 (doi.org). Fehler in Vorlage:Literatur – *** Parameterkonflikt: Statt URL sollte etwas wie 'DOI=' angegeben werden
3. ↑ Vorlage:Cite thesis
4. ↑ Philipp Anz: Angriff auf SMS-basierte 2-Faktor-Authentifizierung. In: Inside IT. 17. Juni 2019, abgerufen am 20. Januar 2021. 
5. ↑ Bernd Kling: 31C3: SS7-Protokolle ermöglichen Angriffe auf Mobiltelefone. In: ZDNet. ZDNet, 29. Dezember 2014, abgerufen am 20. Januar 2021. 
6. ↑ Anja Schmoll-Trautmann: Hacker räumen Bankkonten von O2-Kunden leer. In: ZDNet. ZDNet, 3. Mai 2017, abgerufen am 20. Januar 2021. 
7. ↑ PSD2. In: Deutsche Bundesbank. Deutsche Bundesbank, abgerufen am 20. Januar 2021.  Fehler beim Aufruf der Vorlage:Cite web: Archiv im Parameter URL erkannt. Archive müssen im Parameter Archiv-URL angegeben werden.
8. ↑ Patent US6078908: Method for authorizing in data transmission systems. Erfinder: Schmitz, Kim.‌
9. ↑ Jon Brodkin: Kim Dotcom claims he invented two-factor authentication—but he wasn't first. In: Ars Technica. 23. Mai 2013, archiviert vom Original am 9. Juli 2019; abgerufen am 20. Januar 2021.