Effizienter Schutz durch 2-Faktor-Authentifizierung

Mehrfaktorauthentifizierung (MFA) oder zumeist 2-Faktor-Authentifizierung ist in aller Munde. Man liest viel über die Vorzüge – und ist doch oft genervt, wenn mal wieder „der zweite Faktor“ angegeben werden muss – meist wird das als lästig empfunden. Und doch bietet diese Technologie unschlagbare Vorteile für das Informations- und IT-Sicherheitsniveau einer Organisation.

Aber wie funktioniert die 2-Faktor-Authentifizierung eigentlich? Und was wird durch den Einsatz dieser Technik besser, heißt: wo ist der konkrete Nutzen?

Bei der 2-Faktor-Authentifizierung wird ein Zugang zu einem System nicht nur auf Basis einer korrekten Kombination aus einem Benutzernamen und zugehörigem Kennwort gewährt; zusätzlich ist noch die Angabe eines weiteren Authentifizierungsmerkmals – dem zweiten Faktor – erforderlich. Dabei handelt es sich meist um ein zeitlich begrenztes Einmalpasswort oder Token, das beispielsweise über eine der sog. Authenticator-Apps (z.B. Authy, Microsoft Authenticator, Google Authenticator) erzeugt wird. Der „erste Faktor“ – das Passwort alleine – ist also nicht ausreichend, um Zugang zum System zu erhalten. Der betreffende Benutzeraccount und der zweite Faktor sind über kryptografische Verfahren miteinander verknüpft – nur wenn beides zueinander passt, gewährt das System den Zugang.

Vorteile der 2-Faktor-Authentifizierung

Wo ist nun der konkrete Vorteil? Ganz einfach: die Erfordernis, einen zweiten Faktor zur Authentifizierung zu verwenden, entzieht den allermeisten Angriffen auf Passwörter die Grundlage. Herkömmliche, ausschließlich auf Benutzernamen und Passwort-Authentifzierung basierende Zugangssysteme, lassen sich oft durch Knacken der verwendeten Kennwörter überlisten. Dabei machen sich Angreifer die Tatsache zunutze, dass viele Benutzer sehr bequem in der Wahl ihrer Kennwörter sind. Oft wird für verschiedene Dienste ein und dasselbe, häufig viel zu einfache, Passwort verwendet. „Viel zu einfach“ meint dabei entweder einfach zu erraten oder schlichtweg zu kurz und mit zu wenigen Sonderzeichen enthaltend. Durch einfaches Ausprobieren aller möglichen Kombinationen (sog. „Brute Force“ Attacke) oder einen automatisierten Abgleich mit gesammelten Passwörtern (sog. „Rainbow Table“ Attacke) lassen sich solche Kennwörter oft sehr häufig erraten. Viele Anwender unterschätzen das Risiko – jedoch kann ein durchschnittlich leistungsfähiger Rechner typischerweise mehrere hunderttausend Versuche pro Sekunde unternehmen. 2-Faktor-Authentifizierung zieht also eine zusätzliche Sicherheitsebene ein: selbst wenn es einem Angreifer gelungen sein sollte, ein Kennwort zu erraten – es hilft nichts, solange sich der zweite Faktor nicht ebenso im Zugriff des Angreifers befindet.

2-Faktor-Authentifizierung: Wenig Sekunden, die sich lohnen

Mit anderen Worten:  Brute Force und Rainbow Table Angriffe zum Ausprobieren bzw. Erraten von Kennwörtern laufen ins Leere. Ein paar Sekunden Mehraufwand von Zeit zu Zeit zur Eingabe des zweiten Faktors schützen höchst effektiv vor einigen der bekanntesten und von Angreifern am häufigsten verwendeten Angriffe. Das Argument, 2-Faktor-Authentifizierung sei lästig und nervig, relativiert sich auch durch die Intelligenz der Systeme: meist ist die Eingabe eines zweiten Faktors nicht bei jeder Anmeldung, sondern nur in bestimmten Situationen – zum Beispiel nach Ablauf einer bestimmten Zeitspanne oder bei erstmaliger Anwendung von einem neuen Browser oder Gerät – erforderlich.

Authenticator-Apps

Übrigens: in den allermeisten Fällen lassen sich als zweiten Faktor beliebige Authenticator-Apps verwenden. Es muss also nicht immer Microsoft Authenticator oder der Google Authenticator sein; die verwenden Technologien sind hochgradig standardisiert, sodass meist beliebige Authenticator-Apps verwendet werden können.

Generell empfiehlt das BSI die sogenannte Zwei-Faktor-Authentisierung

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/accountschutz_node.html

Weitere Artikel

Lesen wir die ISO-Norm 27001:2013 oder den Entwurf der neuen 27001:2022 aufmerksam, stellen wir fest: Die Begriffe Penetration Testing und Vulnerability Scanning sind explizit weder als Maßnahmen als auch im Anforderungstext erwähnt. Die ISO 27002...
Im letzten halben Jahr haben wir zahlreiche Gespräche mit unterschiedlich großen mittelständischen Organisationen geführt, die eine Cybersecurity-Versicherung neu abschließen oder bestehende Policen anpassen möchten. Der durchgängige Tenor, den wir überall gehört haben: es wird immer...
Adressen, Kontodaten, Bestellübersichten von Einkäufen auf Onlinemarktplätzen: Sensible Daten zu Personen und ihren Käufen waren laut Der Spiegel-Recherchen 2021 monatelang ungeschützt im Netz aufrufbar. Der Grund: Ein technischer Dienstleister von bekannten und beliebten Onlineportalen sicherte...