2FA steht für Zwei Faktor Authentifizierung und zwingt den Benutzer zur Verwendung von 2 unterschiedlichen Faktoren im Rahmen eines Logins oder der Ausführung kritischer Aktionen. In der Regel sind beide Faktoren unabhängig voneinander. Die erste Sicherheitsstufe ist das Passwort. Ist dieses korrekt, wird der zweite unabhängige Faktor abgefragt.
Welche Arten von Authentifizierungsfaktoren gibt es?
Im allgemeinen wird zwischen den folgenden Arten unterschieden: Wissen, Besitz, Biometrie, Verhalten. Ein Beispiel für den Wissensfaktor wäre die Kenntnis über die Antwort zu einer bestimmten Frage, eine zusätzliche PIN oder ein Passwort. Der Faktor "Besitz" bezieht sich auf den Zugang zu Hardware, wie etwa einem Smartphone, einer Chipkarte oder ähnlichem. Biometrie ist selbsterklärend - dabei handelt es sich um einzigartige Eigenschaften des Nutzers, wie etwa der Fingerabdruck, die Gesichtsformen oder die Iris. Verhaltensfaktoren zielen darauf ab, das Verhalten des Nutzers zu analysieren - hierzu würde man den Standort oder das Tippverhalten zählen.
Was sind gängige 2FA-Methoden?
Die wohl häufigste Art des zweiten Faktors in der Praxis ist und bleibt die SMS, in der ein einmaliger Code übersendet wird. Auch Authenticator-Apps für Android oder Apple sind beliebt und sehr sicher - erwähnenswert sind hier die Apps Authy oder Authenticator von Google. In dem Zusammenhang lohnt sich die Erwähnung von HMAC-basierten Einmalpasswörtern (HOTP) und Zeitbasierten Einmalpasswörtern (TOTP). Auch Hardware-Token sind eine Möglichkeit - hierbei handelt es sich um physische Geräte, die einen Code generieren. Ein Beispiel wäre der Yubikey.
Besitzer von Smartphones kennen meist auch einen weiteren Faktor - nämlich die Push-Nachricht, die man bekommt, wenn man sich versucht in bestimmte Accounts einzuloggen (meist Google bzw. Apple-Accounts). Um im Beispiel "Smartphone" zu bleiben: moderne Smartphones unterstützen die Möglichkeit den eigenen Fingerabdruck als zweiten Faktor für bestimmte Aktionen zu verwenden.
Was sind Vorteile und Einsatzbereiche von 2FA?
Man muss nicht viel sagen - ein zweiter Authentifizierungsfaktor bringt zusätzliche Sicherheit und ist besonders bei kritischen Accounts eigentlich Pflicht (Bankaccount, Social Media-Account, E-Mail-Accounts, Shopping, Kreditkartenzugänge). 2FA schützt bei Phishing-Angriffen oder Passwort-Diebstahl über so genannte Infostealer oder Keylogger. Oft besitzen Angreifer die Passwörter, können sich aber wegen des zweiten Faktors nicht einloggen. Außerdem erlaubt gutes Logging ein schnelles Reagieren auf Angriffe. Im Unternehmenskontext zählt die Implementierung von 2FA (bzw. MFA) zu Maßnahmen, die aus Compliance-Sicht notwendig sind.
Was sind Nachteile und Risiken von 2FA?
Der Faktor "Zeit" wird oft als Nachteil genannt - ehrlicherweise reden wir hier aber nur um einige Sekunden mehr Wartezeit bis man sich erfolgreich einloggen kann. Das ist der Preis für die signifikant erhöhte Sicherheit.
2FA ist nicht perfekt - nicht jeder Faktor ist gleich sicher. Ein Beispiel sind SMS basierte Codes - diese lassen sich oft abfangen, allgemein das SS7-Protokoll ist veraltet und gilt als kompromitiert. Hat man sich Malware auf dem Smartphone oder PC eingefangen können alle Faktoren, die darauf basieren (SMS, E-Mail, Authenticator-App) nicht mehr sicher sein - hier hat man das klassische "Man in the Middle"-Problem. Im Fall von SMS ist es sogar so, dass man ggf. in einem Funkloch sein kann - und entsprechend keine SMS empfängt, sich also nicht einloggen kann.
Auch die Hardwareabhängigkeit ist ein Nachteil - speziell wenn man Authenticator-Apps nutzt und das Smartphone verliert oder es kaputt geht. Entsprechend sollte man Backups vorsehen, um an die Daten zu kommen.
Unsere Empfehlungen zum Einsatz von 2FA
Sicherlich muss man nicht bei jedem Account zu jedem Hobbyforum 2FA aktivieren, der Einsatz bei relevanten Accounts mit denen Schaden eingerichtet werden könnte, ist aber absolute Pflicht. Allgemein ist der Einsatz von Authenticator-Apps zu empfehlen, da diese sicherer sind als SMS-Codes - aber: SMS ist besser als nichts. Nicht jeder hat die Möglichkeit SMS abzufangen - es kommt eben auf das eigene Bedrohungsmodell an!
Wem die eigenen Account-Sicherheit besonders wichtig ist (oder wer besondere Gründe dafür hat), der kann auch überlegen, ob es sich lohnen könnte ein zweites Smartphone zu verwenden, welches ausschließlich für 2FA genutzt wird. Mit diesem Smartphone surft man nicht, öffnet keine Mails, hat keine weiteren Apps installiert. Das senkt das Risiko sich irgendwo doch Malware einzufangen oder eine App zu installieren, die vielleicht das ein oder andere Byte zu viel sendet.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.