Zwei-Faktor-Authentifizierung

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Die Zwei-Faktor-Authentifizierung (kurz 2FA) dient dem Identitätsnachweis eines Nutzers mittels der Kombination zweier verschiedener und insbesondere unabhängiger Komponenten (Faktoren). Das kann typischerweise etwas sein, was er weiß, etwas, was er besitzt, oder etwas, was untrennbar zu ihm gehört. Aus dem Alltag ist dies zum Beispiel vom Geldautomaten bekannt. Erst die Kombination aus Bankkarte und PIN ermöglicht die Transaktion. Die Zwei-Faktor-Authentifizierung ist somit ein Spezialfall der Multi-Faktor-Authentifizierung.

Gesetzliche Anforderungen in Deutschland fordern die offene Angabe von Namen des Kontoinhabers, Adresse des Kontoinhabers und Kontonummer im Geschäftsverkehr. Diese Daten können also beim Authentifizieren nicht allein und auch nicht im Zusammenhang als Geheimnis taugen.

Komponenten[Bearbeiten]

Die Zwei-Faktor-Authentifizierung ist nur dann erfolgreich, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen. Der Zugriff, der durch die Zwei-Faktor-Authentifizierung gesichert ist, bleibt verweigert.

Die Faktoren können sein:

Mittelbare Zwei-Faktor-Authentifizierung[Bearbeiten]

Wird die Authentifizierung durchgeführt über etwas, das die Person besitzt, plus einen weiteren Faktor, ergibt sich ein wesentlicher Nachteil: Das jeweilige Token muss jederzeit mitgeführt werden. Wird der Gegenstand gestohlen, verloren oder hat der Nutzer ihn schlicht nicht dabei, sind Zugriffe unmöglich. Außerdem entstehen Kosten: zum einen bei der Erstanschaffung, zum anderen bei Ersatzbeschaffungen. Das ist das Risiko jeder Sicherungsmaßnahme mit dinglichen Objekten.

Um diesen Risiken aus dem Weg zu gehen, ist die tokenlose Zwei-Faktor-Authentifizierung als Alternative entwickelt worden. Sie nutzt Mobilgeräte wie Handys und Smartphones als Token, also „etwas, was der Nutzer besitzt“ (und auch verlieren kann). Möchte sich der Anwender authentifizieren, nutzt er seine persönliche Zugangslizenz (das heißt etwas, was nur er kennt) plus einen einmalig gültigen, dynamischen Passcode, bestehend aus Ziffern. Diesen Code erhält er per SMS, E-Mail oder über eine entsprechende App auf sein Mobilgerät. Der Vorteil bei dieser Methode: Ein zusätzliches Token wird entbehrlich, da das Mobilgerät bei vielen Menschen ohnehin schon ständiger Begleiter ist. Einige professionelle Zwei-Faktor-Authentifizierungslösungen sorgen dafür, dass stets ein gültiger Passcode bereitsteht. Hat der Nutzer eine Ziffernfolge verwendet, wird diese automatisch gelöscht und das System sendet einen neuen Code an das Mobilgerät. Wird der neue Code nicht innerhalb einer festgelegten Frist eingegeben, ersetzt ihn das System automatisch. Auf diese Weise verbleiben keine alten, schon verwendeten Codes auf der mobilen Komponente.

Für noch gesteigerte Sicherheit lässt sich festlegen, wie viele Falscheingaben toleriert werden, bevor das System den Zugang sperrt.

Vorteile der mittelbaren Zwei-Faktor-Authentifizierung[Bearbeiten]

  • Dynamisch generierte Passcodes sind dank stetiger Veränderung sicherer als feststehende (statische) Login-Informationen
  • Je nach Lösung: Verwendete Passcodes werden automatisch ersetzt, dadurch steht jederzeit ein aktueller Code bereit; akute Übertragungsprobleme sind damit kein Hindernis für Logins.

Halbautomatische Zwei-Faktor-Authentifizierung[Bearbeiten]

Wenn der sich authentisierende Benutzer keinerlei manuelle Dateneingabe mehr erledigen muss, gilt der Prozess als halbautomatisiert. Das ist mit der NFC-Methode als internationale Norm erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Vollautomatische Zwei-Faktor-Authentifizierung[Bearbeiten]

Erst dann wenn der sich authentisierende Benutzer keinerlei Handhabung mehr erledigen muss, gilt der Prozess als vollautomatisiert. Das ist mit dem Verwenden von Piconetzen (Bluetooth) als internationaler Industrie-Standard erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Universelle Zwei-Faktor-Authentifizierung[Bearbeiten]

Die FIDO-Allianz hat am 9. Dezember 2014 den universellen und lizenzfreien Standard U2F für die Zwei-Faktor-Authentifizierung veröffentlicht, die mit verschiedenen Verfahren und Geräten kompatibel ist.[1]

Einzelnachweise[Bearbeiten]

  1. FIDO 1.0 Specifications are Published and Final Preparing for Broad Industry Adoption of Strong Authentication in 2015, FIDO-Allianz, abgerufen am 12. Dezember 2014