Was ist Multi-Faktor-Authentifizierung?

Passwörter sind dazu da, unsere Identitäten und Daten zu schützen. Viele Nutzer wählen jedoch aus Bequemlichkeit oder Unwissenheit unsichere Passwörter und setzen sich damit einem hohen Risiko des Datendiebstahls und -missbrauchs aus. Die sogenannte Multi-Faktor-Authentifizierung (MFA) kombiniert zur Identitätsprüfung zwei oder mehr Berechtigungsnachweise. Damit erhöht sie die Sicherheit von Anmeldeverfahren erheblich und erschwert den Identitätsdiebstahl. Dabei ist es wichtig, dass die verwendeten Berechtigungsnachweise voneinander unabhängig sind. Dabei lassen sich drei verschiedene Klassen von Faktoren unterscheiden:

  • Geheimes Wissen (zum Beispiel klassische Passwörter)
  • Physischer Besitz (zum Beispiel eine Magnetkarte)
  • Individuelle körpereigene Merkmale (zum Beispiel der Fingerabdruck)

Die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) ist eine Form der Multi-Faktor-Authentifizierung, die genau zwei Berechtigungsnachweise nutzt. Sie wird beispielsweise beim Geld abheben am Automaten angewendet: Der Nutzer muss zur Authentifizierung zunächst eine Karte, also etwas, das er besitzt, vorweisen. Die Karte allein reicht aber noch nicht aus. Zusätzlich ist die Eingabe einer PIN, also etwas, das er weiß, notwendig. Eine weitere gängige Zwei-Faktor-Kombination ist die Eingabe eines Passworts und einer PIN, die der Nutzer bei der Anmeldung per SMS auf sein Mobiltelefon gesendet bekommt.

Was ist ein Security-Token?

Der Begriff Security-Token, häufig auch nur Token, bezeichnet spezielle Hardware, die zur Identifikation von Nutzern verwendet wird. Oder anders ausgedrückt: Es handelt sich dabei um Berechtigungsnachweise aus der Faktorenklasse „Physischer Besitz“. Teilweise werden aber Software-Komponenten unter den Begriff Security-Token gefasst.

Welche Token-Arten gibt es?

Token lassen sich je nach Anwendung in verschiedene Arten unterteilen. Zu den verbreitetsten gehören SMS-Token. Dabei handelt es sich um einen Code, den Nutzer per SMS auf ihr Mobiltelefon erhalten. Ob Smartphone oder nicht, ist dabei irrelevant. Da sowohl das Mobilfunknetz als auch Smartphone-Plattformen allerdings relativ viele Angriffspunkte bieten, empfiehlt sich die Anwendung von SMS-Token lediglich für unkritische Logins. Zum Schutz besonders sensibler Daten sollten sie besser nicht genutzt werden.

Mehr Sicherheit als SMS-Token bieten in der Regel Hardware-Token. Das sind Chip-basierte-Geräte, die entweder in Form von kleinen Schlüsselanhängern oder Smartcards zum Einsatz kommen. Sie generieren auf Knopfdruck Einmal-Passwörter, die auch als One-Time-Passwörter bezeichnet werden. Während die Sicherheit bei der Anwendung von Hardware-Token sehr hoch ist, ist der Komfort vergleichsweise gering. Daher eignen sich Hardware-Token vor allem für Szenarien mit einem hohen Schutzbedarf.

Software-Token nutzen identische Verfahren wie Hardware-Token. Allerdings nutzt der User sie von seinem Smartphone aus und benötigt somit kein zusätzliches Gerät, wie das beim Einsatz von Hardware-Token der Fall ist. Ein möglicher Nachteil: Die Sicherheit dieses Verfahrens hängt davon ab, wie sicher das genutzte Smartphone ist. Für Einsatzbereiche mit sehr hohem Schutzbedarf eignen sich Software-Token dementsprechend weniger gut.

Eine vierte Art der Token bilden die Push-Token. Sie lösen beim Login-Versuch eine automatische Benachrichtigung beispielsweise an das Smartphone des Nutzers aus. Dort muss der User sie lediglich per Klick auf ein bestimmtes Feld wie etwa „Ok“ verifizieren. Die Eingabe eines Codes ist bei diesem Verfahren nicht notwendig.

Welche Vor- und Nachteile hat die Multi-Faktor-Authentifizierung?

Der größte Vorteil der Multi-Faktor-Authentifizierung ist ganz klar die erhöhte Sicherheit der Nutzer beziehungsweise ihrer Daten. Sie verhindern damit den Identitätsdiebstahl durch Diebstahl ihres Passworts, da dieses allein zum Zugriff auf die Daten nicht mehr ausreicht. Aus diesem Grund empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz der Multi-Faktor-Authentifizierung. Ein Nachteil der Technologie ist eine gewisse Einschränkung der Usability, die diese mit sich bringt. Je mehr Faktoren ein Nutzer verwendet, umso komplexer gestaltet sich natürlich auch der Anmeldevorgang. Hier heißt es also abwägen zwischen Sicherheit und Usability.