Effizienter Schutz durch 2-Faktor-Authentifizierung

Mehrfaktorauthentifizierung (MFA) oder zumeist 2-Faktor-Authentifizierung ist in aller Munde. Man liest viel über die Vorzüge – und ist doch oft genervt, wenn mal wieder „der zweite Faktor“ angegeben werden muss – meist wird das als lästig empfunden. Und doch bietet diese Technologie unschlagbare Vorteile für das Informations- und IT-Sicherheitsniveau einer Organisation.

Aber wie funktioniert die 2-Faktor-Authentifizierung eigentlich? Und was wird durch den Einsatz dieser Technik besser, heißt: wo ist der konkrete Nutzen?

Bei der 2-Faktor-Authentifizierung wird ein Zugang zu einem System nicht nur auf Basis einer korrekten Kombination aus einem Benutzernamen und zugehörigem Kennwort gewährt; zusätzlich ist noch die Angabe eines weiteren Authentifizierungsmerkmals – dem zweiten Faktor – erforderlich. Dabei handelt es sich meist um ein zeitlich begrenztes Einmalpasswort oder Token, das beispielsweise über eine der sog. Authenticator-Apps (z.B. Authy, Microsoft Authenticator, Google Authenticator) erzeugt wird. Der „erste Faktor“ – das Passwort alleine – ist also nicht ausreichend, um Zugang zum System zu erhalten. Der betreffende Benutzeraccount und der zweite Faktor sind über kryptografische Verfahren miteinander verknüpft – nur wenn beides zueinander passt, gewährt das System den Zugang.

Vorteile der 2-Faktor-Authentifizierung

Wo ist nun der konkrete Vorteil? Ganz einfach: die Erfordernis, einen zweiten Faktor zur Authentifizierung zu verwenden, entzieht den allermeisten Angriffen auf Passwörter die Grundlage. Herkömmliche, ausschließlich auf Benutzernamen und Passwort-Authentifzierung basierende Zugangssysteme, lassen sich oft durch Knacken der verwendeten Kennwörter überlisten. Dabei machen sich Angreifer die Tatsache zunutze, dass viele Benutzer sehr bequem in der Wahl ihrer Kennwörter sind. Oft wird für verschiedene Dienste ein und dasselbe, häufig viel zu einfache, Passwort verwendet. „Viel zu einfach“ meint dabei entweder einfach zu erraten oder schlichtweg zu kurz und mit zu wenigen Sonderzeichen enthaltend. Durch einfaches Ausprobieren aller möglichen Kombinationen (sog. „Brute Force“ Attacke) oder einen automatisierten Abgleich mit gesammelten Passwörtern (sog. „Rainbow Table“ Attacke) lassen sich solche Kennwörter oft sehr häufig erraten. Viele Anwender unterschätzen das Risiko – jedoch kann ein durchschnittlich leistungsfähiger Rechner typischerweise mehrere hunderttausend Versuche pro Sekunde unternehmen. 2-Faktor-Authentifizierung zieht also eine zusätzliche Sicherheitsebene ein: selbst wenn es einem Angreifer gelungen sein sollte, ein Kennwort zu erraten – es hilft nichts, solange sich der zweite Faktor nicht ebenso im Zugriff des Angreifers befindet.

2-Faktor-Authentifizierung: Wenig Sekunden, die sich lohnen

Mit anderen Worten:  Brute Force und Rainbow Table Angriffe zum Ausprobieren bzw. Erraten von Kennwörtern laufen ins Leere. Ein paar Sekunden Mehraufwand von Zeit zu Zeit zur Eingabe des zweiten Faktors schützen höchst effektiv vor einigen der bekanntesten und von Angreifern am häufigsten verwendeten Angriffe. Das Argument, 2-Faktor-Authentifizierung sei lästig und nervig, relativiert sich auch durch die Intelligenz der Systeme: meist ist die Eingabe eines zweiten Faktors nicht bei jeder Anmeldung, sondern nur in bestimmten Situationen – zum Beispiel nach Ablauf einer bestimmten Zeitspanne oder bei erstmaliger Anwendung von einem neuen Browser oder Gerät – erforderlich.

Authenticator-Apps

Übrigens: in den allermeisten Fällen lassen sich als zweiten Faktor beliebige Authenticator-Apps verwenden. Es muss also nicht immer Microsoft Authenticator oder der Google Authenticator sein; die verwenden Technologien sind hochgradig standardisiert, sodass meist beliebige Authenticator-Apps verwendet werden können.

Generell empfiehlt das BSI die sogenannte Zwei-Faktor-Authentisierung

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/accountschutz_node.html

Weitere Artikel

„The cloud is another name for “someone else’s computer,” and you need to understand how much or how little you trust that computer.“ (Bruce Schneier). Das Zitat stammt aus dem Kontext des LastPass Breaches aus...
Instant 27001, das einfache und pragmatische Dokumentationssystem für Informationssicherheitsmanagementsysteme (ISMS) nach dem internationalen Standard ISO 27001, ist neben Atlassian Confluence jetzt auch für Microsoft 365 verfügbar. Nahtlose Integration in Microsoft-Umgebung Zusammen mit ISOPlanner bietet Instant...
Interne Audits sind Prüfungshandlungen, die ein ISMS-Betreiber selbst durchführen muss, um regelmäßig die Konformität des ISMS zu den Anforderungen der Norm nachzuweisen. Warum es keine gute Idee ist, als ISO 27001 Anwenderunternehmen dieses Internal Audit...