2FA - Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung bzw. Two-Factor-Authentication (2FA) bezeichnet die Kombination zweier unterschiedlicher und unabhängiger Faktoren bei der Authentifizierung. Zur Steigerung der Sicherheit, aber auch mehr Komplexität, gibt es die Multi-Faktor-Authentifizierung (MFA).
Bei der 2FA handelt sich im Prinzip um die Authentifizierung mit Benutzername, Passwort und einem zusätzlichen zweiten Faktor. Der erste Faktor ist in der Regel ein Passwort. Ein zusätzlicher zweiter Faktor bietet einen erheblichen Sicherheits­gewinn gegenüber Verfahren mit nur einem Faktor.

Warum Zwei-Faktor-Authentifizierung?

Der zweite Faktor ist eine zusätzliche Authentifizierungsstufe und ist ein wirkungsvoller Schutz vor Betrug und Identitätsdiebstahl. Zu viele Anwender gehen unachtsam und verantwortungslos mit Benutzernamen und dazugehörigen Passwörtern um.

• Zu kurze und zu einfache Passwörter sind weit verbreitet.
• Zugangsdaten werden zu sorglos aufbewahrt.
• Zugangsdaten gelangen in unbefugte Hände.

Gelangt eine fremde und unberechtigte Person an Zugangsdaten oder bekommt Zugang zu einem Authentifizierungsmerkmal, dann hilft ihm das nichts, wenn es weitere Authentifizierungsmerkmale, zum Beispiel einen zweiten Faktor, gibt.

Was ist ein 2FA-Faktor?

Mit Faktor ist ein Sicherheitsmerkmal, um genauer zu sein, ein Authentifizierungsmerkmal gemeint, das mit einem Benutzer oder stellvertretend einer Kennung verknüpft ist. Ein Faktor, Sicherheitsmerkmal oder Authentifizierungsmerkmal kann aus drei definierten Bereichen kommen.

• Wissen: Dieser Faktor ist etwas, das nur eine Person weiß. Typischerweise eine Pin oder ein Passwort, das geheim gehalten werden muss.
• Besitz: Dieser Faktor ist etwas, das eine Person besitzt. Typischerweise ein personenbezogener Gegenstand, der idealerweise vor Diebstahl und missbräuchlicher Verwendung geschützt wird. Zum Beispiel eine Karte, ein TAN-Generator, Hardware- oder Software-Tokens oder ein Smartphone.
• Sein (Inhärenz): Dieser Faktor ist etwas, das nur eine Person haben kann. Typischerweise ein biometrisches Merkmal, das bei jeder Person individuell und sich eindeutig zuordnen lässt. Zum Beispiel z. B. Fingerabdruck, Gesicht, Stimme oder Bewegung.

Wichtig ist, dass die einzelnen Faktoren nicht mit anderen Faktoren zusammen gespeichert oder aufbewahrt werden dürfen. Wenn ein Angreifer erkennt, dass beide oder mehr Faktoren zusammengehören, dann ist die Sicherheit durch den zweiten Faktor außer Kraft gesetzt.

Was ist mit 1. und 2. Faktor gemeint?

Grundsätzlich müssen bei der Zwei-Faktor-Authentifizierung die beiden Faktoren aus zwei unterschiedlichen Bereichen stammen: Wissen, Besitz und Sein.

In der Praxis sieht die Zwei-Faktor-Authentifizierung vor, dass man für den Zugang zu einem Benutzerkonto neben dem 1. Faktor, meist ein bekanntes Passwort, zusätzlich eine Ziffernfolge bzw. ein Einmal-Passwort (One-Time-Password, OTP) als zweiten Faktor eingeben muss. Aber, die Ziffernfolge ist nicht der 2. Faktor, sondern das Gerät, auf dem die Ziffernfolge erzeugt oder empfangen wird. Wichtig ist hier, dass die Ziffernfolge nur für diesen einen Authentifizierungsvorgang gültig ist.

In der Regel erhält man den zweiten Faktor als SMS oder in einer Security-App, den man eingeben muss und dabei den Besitz des Geräts, auf dem der zweite Faktor empfangen wurde, bestätigt und sich somit authentifiziert.
Weitere Wege, auf denen der zweite Faktor übertragen bzw. empfangen wird, sind Telefonanruf, Mail, Hardware- oder Software-Tokens.
Als zweiter Faktor kann aber auch eine biometrische Eigenschaft, wie ein Fingerabdruck oder Gesichtsmerkmale zum Einsatz kommen, um sich vollständig zu authentifizieren.

Warum ist ein Benutzername kein 2FA-Faktor?

Ein Benutzername im herkömmlichen Sinn ist als Sicherheitsmerkmal oder Authentifizierungsmerkmal unbrauchbar. Ein Benutzername ist ein Name, eine Bezeichnung oder eine personenbezogene Kennung, die erraten werden kann, bekannt oder öffentlich verfügbar ist. Wie der Name einer Person, einer Organisation oder auch eine E-Mail-Adresse. Ein typischer Benutzername kann also nur als Kennung verwendet werden, dem zusätzlich zwei Faktoren zugeordnet werden müssen, um damit eine Zwei-Faktor-Authentifizierung durchführen zu können.

2FA-Beispiel: Bankkarte

Ja, die Bankkarte, die man zum Geld abheben und bezahlen an der Kasse benutzt, arbeitet mit Zwei-Faktor-Authentifizierung. Der 1. Faktor ist die Bankkarte selber, aus dem Bereich „Besitz“. Der 2. Faktor ist die Pin, aus dem Bereich „Wissen“.
Aus Erfahrung wissen wir, dass die Kombination „Besitz“ und „Wissen“ problematisch sein kann, wenn beides zusammen aufbewahrt wird. Gemeint ist, wenn die Pin aus dem Bereich „Wissen“ aufgeschrieben und damit in den Bereich „Besitz“ verschoben wird. Das wird zum Sicherheitsproblem, wenn beides, die Karte und die aufgeschriebene Pin, zusammen in fremde Hände („Besitz“) gelangt.

2FA-Beispiel: Online-Banking

Beim Online-Banking erfolgt die Authentifizierung des Zugangs und von Transaktionen oft durch Zwei-Faktor-Authentifizierung. Hier fragt man sich jedoch, wie es sein kann, dass man sich mit zwei Faktoren aus identischen Bereichen authentifiziert. Die Authentifizierung erfolgt zuerst mit einer Pin oder einem Passwort und dann noch zusätzlich mit einer TAN. Beide Faktoren, Pin und TAN, stammen doch aus dem Bereich „Wissen“. Wie kann das sein?

Grundsätzlich gilt: Die Form des Faktors ist irrelevant. Die Frage ist, wie bekommt man an die beiden Faktoren.

Beim Online-Banking ist der 1. Faktor die Pin oder das Passwort, das man in der Regel selber festlegt und deshalb eindeutig aus dem Bereich „Wissen“ stammt.
Den 2. Faktor bekommt man in der Regel auf irgendeine Art und Weise zugesendet. Das ist der springende Punkt. Denn der 2. Faktor, z. B. ein Code, wird von einem Gerät empfangen, dass sich im „Besitz“ der Person befinden muss, die sich authentifiziert. Ein Handy oder Smartphone eignet sich dafür sehr gut, weil es als ein persönliches Gerät wahrgenommen und als personenbezogenes Gerät gehandhabt wird. In der Regel hat nur die „besitzende“ Person darauf physischen Zugriff. Optimalerweise wird die Benutzung des Geräts durch eine zusätzliche Geräte-Authentifizierung beschränkt.
Und deshalb ist der 2. Faktor, egal wie der aussieht, ein Faktor aus dem Bereich „Besitz“. Die TAN ist hier nur das Merkmal, dass den „Besitz“ des empfangenden Geräts bestätigt. Die TAN hat hier nichts mit „Wissen“ zu tun.

Hinweis: Die Geräte-Authentifizierung erfolgt je nach Gerät und Nutzer mit Pin, Fingerabdruck oder auch Gesichtserkennung. Wichtig ist dabei zu verstehen, dass die Art der Geräte-Authentifizierung mit dem 2. Faktor nichts zu tun hat. Das heißt, wenn man sich mit dem Fingerabdruck am Gerät authentifiziert, dann ist das nicht der 2. Faktor. Der 2. Faktor ist dann eine TAN oder ein OTP, dass man von einer SMS oder Security-App in die Online-Banking-App übertragen muss. Auch dann, wenn die beteiligten Apps diese TAN automatisch übergeben können.

Warum ist eine E-Mail-Adresse nicht zum Empfang des 2. Faktors geeignet?

Oft ist eine E-Mail-Adresse eine personenbezogene Kennung, die nur von einer Person genutzt wird und sich deshalb, wie bei einer Mobilfunknummer, zum Empfang eines zweiten Faktors, z. B. per SMS oder App, eignen würde. Das Problem an der Stelle ist, dass die Gesetzmäßigkeit des Besitzes, wie es durch den Faktor „Besitz“ erwartet wird, bei einer E-Mail-Adresse nicht erfüllbar ist.

• Problem 1 ist, dass E-Mails mit Kenntnis der Zugangsdaten von jedem Internet-fähigen Endgerät empfangen werden können. E-Mails lassen sich komfortabel von mehreren Geräten abrufen und auch verwalten. Das betrifft auch den 2. Faktor.
• Problem 2 ist, dass der Zugang zu E-Mails oftmals keinen zweiten Faktor benötigt, wodurch das Zwei-Faktor-Prinzip aufgebrochen wird.
• Problem 3 ist, dass Nutzer von E-Mail-Adressen mit den Zugangsdaten, insbesondere mit dem Passwort, sehr nachlässig umgehen. Nutzer gehen mit diesen Daten nicht so um, als ob sie diese „besitzen“.

Alle 3 Probleme, wobei es sicher noch mehr gibt, lassen nur den Schluss zu, dass der „Besitz“ einer E-Mail-Adresse inklusive der Zugangsdaten in Frage gestellt werden muss.

Probleme bei der Zwei-Faktor-Authentifizierung

Ein Problem bei Zwei-Faktor-Authentifizierung ist der Faktor „Besitz“. Was passiert, wenn der damit verbundenen Gegenstand, z. B. ein Smartphone, verloren oder kaputt geht. Dann muss es ausgetauscht werden. Das bedeutet dann, dass auf dem neuen Gerät die Codes, mit denen sich die Security-Apps und die Authentication-Server ursprünglich gegenseitig authentifiziert haben.
Das heißt, dass man für alle Dienste und Anwendungen, für die man Zwei-Faktor-Authentifizierung auf einem Smartphone aktiviert hat, die Authentifizierung reaktivieren muss. Das kann je nach Dienst und Anwendung unterschiedlich aufwendig sein. Oftmals bekommt man beim Online-Banking einen neuen Freischaltcode per Post zugeschickt. Bis man das Online-Banking wieder nutzen kann, kann es ein paar Tage dauern. Außerdem muss das Ersatzgerät dauerhaft nutzbar sein, weil man sonst das Spiel wieder von vorne anfangen muss.

Bei der Wahl der 2FA-Methode hat man selten eine Wahl. Deshalb sollte man es sich gut überlegen, ob man die Zwei-Faktor-Authentifizierung aktiviert. Sie ist nicht die ultimative Lösung. Für viele unkritische Dienste und Anwendungen reicht die Authentifizierung mit einem Faktor vollkommen aus.
Bei besonders kritischen Diensten und Anwendungen ist es sinnvoll die TAN oder das OTP per SMS zugeschickt zu bekommen. Dann stellt ein defektes Smartphone kein Problem dar. Weil man die SIM-Karte einfach in ein anderes Gerät einsetzt und man darauf dann die SMS bekommt. Das heißt, der Faktor „Besitz“ ist hier eigentlich nicht das Gerät, sondern die SIM-Karte.
Anders ist das, wenn es eine Authenticator- oder Security-App gibt, die bei der Inbetriebnahme mit einem Code aktiviert werden muss. Dann muss bei einem neuen Gerät die App erneut eingerichtet werden.

Deshalb sollte man sich vor der Aktivierung einer Zwei-Faktor-Authentifizierung darüber im Klaren sein, was die Folgen sind, wenn sich das betreffende Gerät, das mit dem 2. Faktor aus dem Bereich „Besitz“ verbunden ist, nicht mehr im eigenen Besitz befindet.

Wie sicher ist Zwei-Faktor-Authentifizierung?

Nehmen wir an, dass sich ein Angreifer in ein Netzwerk einschleicht und irgendwie Passwörter, geheime Schlüssel, Zertifikate und sonstige Authentifizierungsmerkmale abgreifen kann, dann bringt ihm das nichts, weil er nicht über die Hardware verfügt, um den 2. Faktor zu empfangen. Hier hilft die Zwei-Faktor-Authentifizierung gegen Angriffe von außen, wenn der Angreifer aus der Ferne agiert.

Aber, allzu sicher sollten man sich nicht fühlen. Denn es gibt sehr wohl Angriffsmethoden mit denen sich die Schutzfunktion einer Anmeldung mit zwei Faktoren aushebeln lässt.

• Ein Angriff auf die Zwei-Faktor-Authentifizierung mit einer TAN, die man per SMS erhält, ist dann möglich, wenn es dem Angreifer gelingt, die SMS umzuleiten. Beispielsweise durch einen Trojaner auf dem Smartphone oder durch eine zweite SIM-Karte, die sich der Angreifer beim Mobilfunk-Provider für die verwendete Mobilfunkrufnummer besorgt hat. Deshalb ist es in der Regel sicherer, wenn der zweite Faktor von einer App erzeugt wird.
• Bei den typischen Security-Apps wird oft übersehen, dass der zweite Faktor kein echter zweiter Faktor ist. Etwa dann, wenn die Banking-App und die Security-App auf dem selben Smartphone installiert sind. In einem solchen Fall kann man zwar theoretisch von Zwei-Faktor-Authentifizierung sprechen, praktisch gesehen ist das Anmeldeverfahren aber nur etwas sicherer als mit nur einem Passwort. Denn hat der Angreifer aus der Ferne Zugriff auf das Endgerät, kann er nicht nur das Passwort, sondern auch den zweiten Faktor abgreifen und vor dem Nutzer die Authentifizierung durchführen.

2FA-Verfahren

• PushTAN
• Mobile-TAN
• U2F - Universal Second Factor Protocol (FIDO-Alliance)
• FIDO2 - Fast IDentity Online Version 2
• WebAuthn - Web Authentication

Passwortlose Nutzer-Authentifizierung mit FIDO2 und Passkeys

FIDO2 verfolgt einen passwortlosen Ansatz, in dem es von der wissensbasierten Authentifizierung mit Passwort zur besitzbasierten Authentifizierung übergeht oder miteinander kombiniert (2FA). Für die besitzbasierte Authentifizierung werden Geräte verwendet, die wir sehr wahrscheinlich den ganzen Tag mit uns führen. Das kann ein Hardware-Token sein, der an einem Schlüsselbund hängt, oder ein Smartphone, das wir immer bei uns haben.

Passkeys ist eine Weiterentwicklung von FIDO2, um von der unsicheren Authentifizierung mit Passwörtern (wissensbasierte Authentifizierung) zur einer besitzbasierten Authentifizierung überzugehen. Im Gegensatz zu FIDO2 können die Authentifizierungsmerkmale über mehrere Geräte und Systeme synchronisiert werden.

• FIDO2 - Fast IDentity Online Version 2
• Passkeys

Weitere verwandte Themen:

• Nutzer-Authentifizierung im Internet
• Authentifizierung im Netzwerk
• Passwort, Pin und Passphrase
• Grundlagen der Netzwerk-Sicherheit
• Kryptografie

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Collection: Netzwerk-Grundlagen

Was du über Netzwerk-Grundlagen wissen solltest.

eBook herunterladen

Collection: IPv6

Was du über IPv6 wissen solltest.

eBook kaufen

Collection: Netzwerk-Sicherheit

Was du über Netzwerk-Sicherheit wissen solltest.

eBook kaufen

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!