Was ist 2 Faktor Authentifizierung und welche Arten von 2FA gibt es?
Was ist 2 Faktor Authentifizierung?
Zweistufen Authentifizierung oder auch 2FA (2-Factor-Authentication) ermöglicht es dir, zusätzlich zu deinem Passwort noch einen weiteren Faktor bei der Anmeldung bei einem Online Dienst oder deinem Computer zu hinterlegen. Nur wenn du das richtige Passwort und den hinterlegten 2. Faktor besitzt, erhältst du Zugriff auf den Dienst oder dein Konto. Es gibt die verschiedensten Möglichkeiten einen Second Factor zu nutzen welche das genau sind, erfährst du weiter unten im Beitrag.
Mit aktivierter 2 Faktor Authentifizierung reicht es nicht mehr aus, nur dein Passwort zu kennen, um auf dein Konto, den Computer oder einen Online Dienst zuzugreifen. Der Angreifer benötigt zudem noch deinen Second Factor. Gerade gegen Attacken bei denen die Angreifer Passwörter und E-Mail Adressen aus anderen Datenbanken gestohlen haben, ist eine zweistufige Authentifizierung ein zuverlässiges Schutzmittel.
Wie funktioniert 2 Faktor Authentifizierung?
Normalerweise benötigt man um sich bei Online Diensten oder dem eigenen PC anzumelden ein Passwort. Also etwas das nur der legitime Benutzer wissen sollte / wissen kann. 2-Faktor-Authentifizierung fügt dieser Konstellation noch einen weiteren Faktor hinzu, nämlich etwas das man besitzt und auf das niemand anders Zugriff hat.
2 Faktor Authentifizierung lässt sich mit einem 2-teiligen Schlüssel vergleichen. Um das Schloss zu öffnen reicht es nicht aus, nur die eine Hälfte des Schlüssels zu besitzen. Man benötigt beide Teile um das Schloss öffnen zu können. 2FA nutzt im Kern ein sehr ähnliches Verfahren, um die Sicherheit eines Online Dienstes oder des Computers sicherzustellen.
Warum ist der Einsatz von 2 Faktor Authentifizierung bei online Accounts so wichtig?
Wir nutzen jeden Tag verschiedenste Dienste, für die ein Login benötigt wird. Und es werden von Tag zu Tag mehr. Jeder dieser Dienste speichert in der Regel einen Login Namen, meist die E-Mail-Adresse oder den Nickname und ein vom Benutzer gewähltes Passwort in einer Datenbank ab.
Eigentlich sollte man für jeden Dienst im Internet ein separates Passwort wählen, doch die Praxis zeigt, dass das nicht der Fall ist. Wir verzichten aus Gründen der Bequemlichkeit oft darauf, uns verschiedene Passwörter auszudenken bzw. zu merken. Stattdessen nutzen wir gerne ein und dasselbe Passwort bei mehreren Diensten.
Wird nun einer dieser Dienste gehackt, gelangen die gespeicherten Passwörter sehr schnell in die falschen Hände. Viele Dienste im Netz haben bereits gute Schutzmechanismen, um die gespeicherten Passwörter zu schützen. Oftmals werden diese Daten mit Hashfunktionen so abstrahiert, dass ein Angreifer im ersten Moment nicht viel mit den geklauten Daten anfangen kann. Leider nutzen nicht alle Online Dienste ausreichende Sicherheitsvorkehrungen bei der Speicherung von Nutzerpasswörtern oder verwenden Sicherungsmaßnahmen, die mittlerweile outdated sind. Ein Beispiel hierfür ist das MD5 Hashverfahren.
Gelangt nun ein Angreifer an diese unzureichend gesicherten Passwörter der Nutzer, kann er diese bei den unterschiedlichsten Diensten im Netz verwenden bzw. ausprobieren. Verwendet der Nutzer nun das selbe Passwort bei mehr als nur einem Dienst, ist die Wahrscheinlichkeit sehr groß, dass der Angreifer mit dem erbeuteten Passwort und der hinterlegten E-Mail Adresse auch auf andere Dienste zugreifen kann.
Einige Online Dienste sind dagegen bereits sehr gut gerüstet. Spitzenreiter in diesem Bereich sind Anbieter von Crypto Währungen und Börsen für digitale Währungen wie Bitcoins und Ethereum. Die Anbieter haben früh erkannt, dass der Schutz der Nutzerdaten und der im Konto verfügbaren Wertgegenstände besonders wichtig sind. Viele Crypto Currency Börsen und Marktplätze setzen bereits 2 Faktor Authentifizierung bzw. teilweise sogar Multi Faktor Authentifizierung ein. Das bedeutet für einen erfolgreichen LogIn benötigt der Benutzer mehr als nur ein Passwort und einen Code aus seiner 2FA App. Oft werden zusätzlich noch SMS oder E-Mails verschickt, die einen weiteren Code enthalten, den der Benutzer eingeben muss, um zu „beweisen“, dass er der legitime Nutzer dieses Kontos ist.
Die 6 verschiedenen Arten von 2 Faktor Authentifizierungen im Überblick
Es gibt mittlerweile eine Vielzahl an Faktoren, die für eine Zweistufige Authentifizierung genutzt werden können. Einige davon möchten wir euch an dieser Stelle kurz vorstellen:
1. Zwei Faktor Authentifizierungs Apps – Google Authenticator, Authy, LastPass Authenticator, Microsoft Authenticator und FreeOTP Authenticator
Derzeit ist wohl der Google Authenticator der am meisten verwendete Authenticator am Markt. Doch es gibt noch viele Weitere Apps die mehr oder weniger dieselbe Funktionalität bieten.
Alle diese Apps haben im Grunde dieselben Funktionen und werden gleich bedient.
Die entsprechende App wird auf das eigene Smartphone geladen und geöffnet. Anschließend hat man die Möglichkeit einen neuen Dienst zur App hinzuzufügen. Meist durch den Klick auf ein „+“ Symbol. Anschließend öffnet sich in der Regel die Kamera des Mobiltelefons und man kann einen QR Code abfotografieren. Dieser Code wird bei Einrichten der 2-Faktor Sicherung im Online Dienst erzeugt und am Computer angezeigt. Nachdem man den Code gescannt hat, ist man eigentlich schon startklar. Oft muss man nach der Einrichtung im Smartphone einen generierten Code beim Online Dienst zur Synchronisierung eintragen, damit sichergestellt ist, dass alles so funktioniert wie es soll. Anschließend kann der Dienst mit der App genutzt werden. Die 2FA Codes werden in der Regel alle 60 Sekunden neu generiert.
2. Smartcards
Smartcards sind seit vielen Jahren im Enterprise Bereich verbreitet. Es handelt sich dabei in der Regel um eine Plastikkarte von der Größe einer Kreditkarte. Sie besitzt ebenso wie eine Kreditkarte einen Security Chip der die Informationen des Nutzers schützen sollen. Diese Smartcards können für den LogIn im Windows Konto, einem Firmen VPN oder auch für E-Mail Signaturen oder einer Festplattenverschlüsselung genutzt werden. Meist geschützt durch einen PIN, bieten Smartcards einen guten Schutz vor Ausspähen von Passwörtern.
Um sich mit einer Smartcard an einem System oder dem Arbeitsrechner anzumelden, benötigt der Nutzer lediglich seine PIN jedoch kein zusätzliches Passwort. Für viele Nutzer ist das praktisch, da sie sich nur eine Nummerische PIN, nicht jedoch ein komplexes Passwort merken müssen. Den Sicherheitszugewinn erreicht man bei Smartcards durch den physikalischen Faktor der Karte. Ohne die Smartcard an sich, ist auch die sonst eher unsichere PIN nutzlos.
Der große Nachteil von Smartcards ist ihr Formfaktor. Smartcards können nur mit entsprechenden Lesegeräten, welche am Computer angesteckt werden müssen oder bereits in Tastaturen oder dem Laptop direkt verbaut sind, verwendet werden und erfordern in der Regel eine aufwendige und komplexe Public-Private Key Infrastruktur. Die Verwaltung von Zertifikaten, Schlüsseln und auch einer Backup Lösung für vergessene PINs, setzt eine EDV Abteilung mit dem nötigen Know-How voraus.
3. Zweistufen Authentifizierung durch SMS oder Anruf
Das Smartphone wird immer mehr zum Mittelpunkt vieler Online Dienste und Anwendungen. Die Verwendung als zweiter Faktor zur Sicherung von Online Accounts ist daher immer gebräuchlicher geworden. Eine weitere Möglichkeit seine Accounts zu schützen ist daher die SMS bzw. der Anruf als Second Factor.
Um diese Art der Authentifizierung zu nutzen, muss man seine Handynummer beim zu sichernden Dienst hinterlegen. Möchte man sich nun anmelden, benötigt man zum gewählten Passwort noch einen Code, den der Anbieter per SMS oder Anruf versendet. Diese Möglichkeit ist besonders bei Benutzer die viel unterwegs sind besonders beliebt. Der zumeist 6-stellige Code der verschickt wird, wird einfach beim LogIn eingegeben und soll sicherstellen, dass der Benutzer auch wirklich der ist, für den er sich ausgibt. Ein Angreifer kann zwar über geleakte Passwörter an das des Users gelangen, allerdings nur sehr schwer dessen Smartphone im gleichen Zug kontrollieren.
Aber auch hier ist Vorsicht geboten. Angreifer haben es mittlerweile geschafft, auch diese 2FA Methode zu umgehen bzw. zu knacken. Angriffe mit Malware auf das besagte Smartphone sind gängige Mittel bei versierteren Angreifern. Auch das Beantragen einer Kopie der SIM Karte des Users ist nicht so unmöglich, wie man denken möchte. Dabei kontaktieren die Angreifer den Telefonanbieter des Opfers und geben sich als der legitime Benutzer aus (Impersonation), um eine Kopie oder Ersatzkarte zu erlangen. Mit dieser Karte lässt sich anschließend die 2 Faktor Authentifizierung mit Leichtigkeit umgehen, da die besagten SMS nicht nur an den legitimen Benutzer, sondern auch an den Angreifer gesendet wird.
4. E-Mail als Second Factor für den LogIn
Die wohl am weitesten verbreitete 2 Faktor Authentifizierungsmethode ist die E-Mail. Hierbei wird dem Benutzer nach korrekter Eingabe von Benutzernamen und Passwort der mehrstellige Code vom Online Dienst zugesandt. Diese Methode ist bequem, einfach und erfordert keine zusätzliche Hard- oder Software.
Der Nachteil der 2FA Methode E-Mail liegt klar auf der Hand: Sie ist nicht besonders sicher.
Gelingt es dem Angreifer Zugriff auf das E-Mail Konto zu erhalten, kann er ohne weitere Anstrengungen den 2 Faktor Code auslesen und verwenden. Da viele Benutzer ihre Mails sowohl am PC, als auch am Smartphone erhalten, handelt es sich dabei eigentlich gar nicht mehr um einen Second Factor. Ist der Computer oder das Smartphone von Malware infiziert, kann der Angreifer in der Regel auch den ankommenden E-Mail Verkehr mitlesen und hat so auch Zugriff den versendeten Code.
Besonders ungünstig ist es, wenn der E-Mail Anbieter keine 2 Faktor Authentifizierung anbietet und Angreifer durch beispielsweise einen Datenleak über das Passwort des Benutzers verfügen.
Die Sicherung von Online Diensten mit der E-Mail Adresse als zweitem Faktor, ist die unsicherste Art die hier vorgestellt wird. Wir empfehlen, wenn die Möglichkeit besteht einen anderen Faktor zu nutzen.
5. Backup-Codes in gedruckter Form
Eine weiter Methode seinen Account vor unbefugten Zugriffen Dritter zu schützen sind Backup Codes. Diese meist sehr langen Buchstaben und Zahlen Kombinationen können bei vielen Online Diensten erstellt und ausgedruckt werden. Die 10 Codes werden einmal erzeugt und sind dann für eine unbestimmte Zeit gültig. Man kann sie mit der klassischen TAN Liste von einer Bank vergleichen. Diese Backup Codes sind besonders dann sinnvoll, wenn die herkömmlichen 2 Faktor Methoden von Faktoren wie separater Hardware oder dem Zugriff auf das Smartphone abhängen. Als physikalisches Medium lassen sie sich besonders gut in einem Safe oder einem guten Versteck lagern. Sie sind nicht für den täglichen Gebrauch gedacht, da jeder der 10 Codes nach einmaliger Verwendung verbraucht ist. Als Backup, wenn der eigentliche Second Factor nicht funktioniert oder greifbar ist, eigenen sie sich aber besonders gut.
Sie im Geldbeutel mit sich zu führen ist nur bedingt sinnvoll. Man kann den Geldbeutel verlieren oder er kann gestohlen werden. Die Wahrscheinlichkeit, dass ein Angreifer sowohl Zugriff auf die Backup Codes im Geldbeutel als auch auf das Passwort für einen speziellen Account gleichzeitig erlangen kann ist normalerweise eher gering. Der Aufwand an Beides heranzukommen ist sehr groß und ist in der Regel nicht machbar für einen einfachen Angreifer.
6. YubiKey Security Key – Die Wunderwaffe im Kampf gegen Phishing und Datendiebstahl
Die YubiKeys von Yubico sind kleine Sicherheitstoken zur Multi-Faktor-Authentifizierung (MFA), die ein sicheres Einloggen in Computer, Smartphones, Onlinedienste und Server ermöglichen. Sie sind vergleichbar mit früher gebräuchlichen RSA Tokens gehen aber in Ihrer Funktionalität weit über diese hinaus.
Wie funktionieren YubiKeys – Ein kurzer Überblick
YubiKeys ermöglichen einfaches, sicheres Einloggen und verhindern gleichzeitig den unautorisierten Zugriff auf Computer, Server und Internetkonten.
Sie schützen den Zugang zu Anwenderkonten für die größten Unternehmen der Welt ganz einfach per Knopfdruck.
Sie unterstützen multiple Authentifizierungs- und Verschlüsselungsprotokolleauf allen Geräten und Plattformen.
YubiKeys unterstützen verschiedenste Authentifizierungsprotokolle. Dabei kann ein einzelner YubiKey für VPN, Code-Signaturen, Festplattenverschlüsselung und die Authentifizierung bei hunderten Anbietern von Diensten und Software verwendet werden.
| Art der 2FA | Sicherheit | Usability | Schlüsselerzeugung | Schlüsselspeicherung | Angriffe |
|---|---|---|---|---|---|
| Authenticator App | Auf dem Server (Einrichtung) / Auf dem Smartphone (LogIn) | Auf dem Smartphone | Malware auf dem Smartphone | ||
| Smartcard | Auf der Smartcard einmalig vom Hersteller hinterlegt | Im gesicherten Chip der Smartcard | Diebstahl | ||
| SMS | Auf dem Server des Online Dienstes | Keine Speicherung | SIM Clone / Man-in-the-middle / Malware auf dem Smartphone | ||
| Auf dem Server des Online Dienstes | Keine Speicherung | Man-in-the-middle / Malware / kompromittiertes E-Mail Konto | |||
| (Backup Codes) | Einmalig auf dem Server des Online Dienstes | Abhängig vom Aufbewahrungsort | Diebstahl | ||
| YubiKey | In der gesicherten Hardware des YubiKeys | Speziell gesichert auf dem YubiKey | Diebstahl |
