Multifaktor-Authentifizierung...
... nennt sich der Prozess, wenn für die Benutzer-Anmeldung an einem System mehr als ein Faktor verwendet werden muss. Als Faktor bezeichnet man ein sogenanntes "Credential", bzw. auf Deutsch eine "Anmeldeinformation". Was dahinter steckt, erklären wir in diesem Artikel in einer kurzen Übersicht
Wie funktioniert das?
Anfänglich funktionierte die Anmeldung an ein System (z. B. Windows Betriebssystem, Webshop, Telebanking) über die Eingabe eines Benutzernamen und des dazugehörigen Passworts. Natürlich ist eine derartige Anmeldung nur solange gegen Missbrauch sicher, wie die zugangsberechtigten Personen diese Anmeldeinformationen geheim halten. Sobald aber ein Passwort nicht mehr geheim ist, weil es beispielsweise weitergegeben wurde - oder eine unberechtigte Person (ein Hacker) es herausgefunden hat, so können unberechtigte Personen Zugang zu Systemen erhalten.
Was ist die Gefahr dahinter?
Sollte also jemand unberechtigt Zugriff zu einem System erhalten, so hat diese Person auch alle Berechtigungen, die an diesem Benutzer-Konto angehängt sind. Beispielsweise könnte nun bei einer Anmeldung am Amazon-Webshop eine Bestellung ausgelöst werden. Der Hacker bestellt sich an ein anonymes Postfach irgendwelche Waren und der echte Benutzer erhält lediglich die Abrechnung und bezahlt dafür. Selbst hochkomplexe Passwörter mit 12 Zeichen, Sonderzeichen, Ziffern, Buchstaben und sonstigen Kombinationen schützen davor nicht. Ein ausspioniertes oder weitergegebenes Passwort ermöglicht trotzdem den Zugriff.
Die Lösung
Der erste Faktor als Zugangsberechtigung neben dem Benutzernamen bleibt auch bei der Multifaktor-Authentifzierung (oft auch 2-Faktor Authentifizierung genannt und 2FA oder MFA abgekürzt) das Passwort. Als zusätzlicher Faktor wird nun eine zweite Variante der Authentifizierung eingesetzt. Idealerweise kommt dazu ein sogenannter One-Time-Token zum Einsatz. Das heißt, der zweite Faktor wird genau für die Zeit des Anmeldeversuchs "generiert" und gilt nur wenige Sekunden. Dieses Verfahren wird auch One-Time-Password (OTP) genannt. Je nach technischer Umsetzung wird dieses OTP entweder zeitbasiert oder ausgehend vom jeweiligen Anmeldeereignis generiert.
Wirklich sicher macht erst der Einsatz beider Schlüssel (also das herkömmliche Passwort und das one-time-Passwort) die Anmeldung an ein System. Und damit sich hier keine Hacker einschleusen können, verwendet man üblicherweise für die Generierung des one-time-Passworts sogenannte Authenticators.
Was ist ein Authenticator?
Ein Authenticator ist eine Einrichtung, die das sogenannte OTP zum jeweiligen Anmeldezeitpunkt neu generiert. Wichtig ist, dass dieses Gerät eine synchronisierte Uhrzeit zur Verfügung hat (also mit einem Internet-Zeitserver verbunden ist). Ein Authenticator kann entweder ein Hardware-Teil sein oder auch eine Applikation. Bekannte Beispiele sind der Google Authenticator oder die von PNC empfohlene Authenticator Software namens AEGIS (https://getaegis.app/).
Mittlerweile beherrschen auch viele Passwort-Manager Programme die Verwaltung und Generierung von OTP. Es sei aber dahingestellt, ob es wirklich noch sicher ist, Benutzername, Passwort und zweiten Faktor in derselben Applikation zu verwalten. Wird diese dann nämlich gehackt, dann hat der Angreifer wiederum alle Faktoren, die er zu einer Anmeldung braucht und somit ist wieder jegliche Sicherheit ausgehebelt.
Soll ich das nun verwenden?
Eindeutig JA! Wo immer die Möglichkeit besteht, einen zweiten Faktor zur Authentifizierung einzurichten, bitte unbedingt machen. Egal, ob es ein SMS-TAN, ein Fingerprint, ein Authenticator-Stick, ein One-Time-Password oder eine sonstige Methode ist - es macht den Zugriff zu sensiblen Daten und Applikationen wesentlich sicherer.
Unsere Produktspezialisten stehen gerne für eine detaillierte Beratung zur Verfügung. Bitte zögern Sie nicht, uns bei Fragen zur Multifaktor-Authentifizierung zu kontaktieren.
Es grüßt herzlichst,
Alexander Beck
