Zwei-Faktor-Authentifizierung

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Die Zwei-Faktor-Authentifizierung (kurz 2FA) dient dem Identitätsnachweis eines Nutzers mittels der Kombination zweier verschiedener und insbesondere unabhängiger Komponenten (Faktoren). Das kann typischerweise etwas sein, was er weiß, etwas, was er besitzt, oder etwas, was untrennbar zu ihm gehört. Aus dem Alltag ist dies z. B. vom Geldautomaten bekannt. Erst die Kombination aus Bankkarte und PIN ermöglicht die Transaktion. Die Zwei-Faktor-Authentifizierung ist somit ein Spezialfall der Multi-Faktor-Authentifizierung.

Gesetzliche Anforderungen in Deutschland fordern die offene Angabe von Namen des Kontoinhabers, Adresse des Kontoinhabers und Kontonummer im Geschäftsverkehr. Diese Daten können also beim Authentifizieren nicht allein und auch nicht im Zusammenhang als Geheimnis taugen.

Komponenten[Bearbeiten]

Die Zwei-Faktor-Authentifizierung als Identitätsnachweis ist nur dann funktionsfähig, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Identität nicht zweifelsfrei feststellen. Der Zugriff, der durch die Zwei-Faktor-Authentifizierung gesichert ist, bleibt verweigert. Die Faktoren können sein:

  • etwas, was der Nutzer besitzt: z. B. ein Token (USB-Stick etc.), eine Bankkarte, ein Schlüssel u. Ä.,
  • etwas, was der Nutzer weiß: z. B. sein Benutzername, Passwort, PIN, TAN u. Ä., sowie
  • etwas, was als körperliches Charakteristikum untrennbar zum Nutzer gehört: z. B. sein Fingerabdruck, das Muster der Regenbogenhaut (Iris) seines Auges, seine Stimme u. Ä.

Mittelbare Zwei-Faktor-Authentifizierung[Bearbeiten]

Wird die Authentifizierung durchgeführt über etwas, das die Person besitzt, plus einen weiteren Faktor, ergibt sich ein wesentlicher Nachteil: Das jeweilige Token muss jederzeit mitgeführt werden. Wird der Gegenstand gestohlen, verloren oder hat der Nutzer ihn schlicht nicht dabei, sind Zugriffe unmöglich. Außerdem entstehen Kosten: zum einen bei der Erstanschaffung, zum anderen bei Ersatzbeschaffungen. Das ist das Risiko jeder Sicherungsmaßnahme mit dinglichen Objekten.

Um diesen Risiken aus dem Weg zu gehen, ist die tokenlose Zwei-Faktor-Authentifizierung als Alternative entwickelt worden. Sie nutzt Mobilgeräte wie Handys und Smartphones als Token, also „etwas, was der Nutzer besitzt“ (und auch verlieren kann). Möchte sich der Anwender authentifizieren, nutzt er seine persönliche Zugangslizenz (d. h. etwas, was nur er kennt) plus einen einmalig gültigen, dynamischen Passcode, bestehend aus Ziffern. Diesen Code erhält er per SMS, E-Mail oder über eine entsprechende App auf sein Mobilgerät. Der Vorteil bei dieser Methode: Ein zusätzliches Token wird entbehrlich, da das Mobilgerät bei vielen Menschen ohnehin schon ständiger Begleiter ist. Einige professionelle Zwei-Faktor-Authentifizierungslösungen sorgen dafür, dass stets ein gültiger Passcode bereitsteht. Hat der Nutzer eine Ziffernfolge verwendet, wird diese automatisch gelöscht und das System sendet einen neuen Code an das Mobilgerät. Wird der neue Code nicht innerhalb einer festgelegten Frist eingegeben, ersetzt ihn das System automatisch. Auf diese Weise verbleiben keine alten, schon verwendeten Codes auf der mobilen Komponente.

Für noch gesteigerte Sicherheit lässt sich festlegen, wie viele Falscheingaben toleriert werden, bevor das System den Zugang sperrt.

Vorteile der mittelbaren Zwei-Faktor-Authentifizierung[Bearbeiten]

  • Dynamisch generierte Passcodes sind dank stetiger Veränderung sicherer als feststehende (statische) Login-Informationen
  • Je nach Lösung: Verwendete Passcodes werden automatisch ersetzt, dadurch steht jederzeit ein aktueller Code bereit; akute Übertragungsprobleme sind damit kein Hindernis für Logins.

Halbautomatische Zwei-Faktor-Authentifizierung[Bearbeiten]

Wenn der sich authentisierende Benutzer keinerlei manuelle Dateneingabe mehr erledigen muss, gilt der Prozess als halbautomatisiert. Das ist mit der NFC-Methode als internationale Norm erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Vollautomatische Zwei-Faktor-Authentifizierung[Bearbeiten]

Erst dann wenn der sich authentisierende Benutzer keinerlei Handhabung mehr erledigen muss, gilt der Prozess als vollautomatisiert. Das ist mit dem Verwenden von Piconetzen (Bluetooth) als internationaler Industrie-Standard erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Siehe auch[Bearbeiten]