In der digitalen Welt muss ein Benutzer häufig authentifiziert werden, um auf Dienste oder Daten zugreifen zu können. In der Regel erfolgt die Authentifizierung nachdem der Benutzer sein Login und sein Passwort eingegeben hat. Das war früher ausreichend, aber mit dem Anstieg der Cyberkriminalität erfordert der Zugriffsschutz immer mehr Aktivitäten des Benutzers.

Welche Faktoren sollte ein Authentifizierungsmechanismus enthalten, um wirksam zu sein?

• Wissen (etwas, das nur der Benutzer weiss),
• Besitz (etwas, das nur der Benutzer hat),
• Inhärenz (etwas, das nur den Benutzer betrifft).

Der Wissensfaktor ist der erste und wichtigste Faktor im Authentifizierungsprozess. Dieser kann ein Passwort oder eine PIN sein. Während der Benutzername nicht zwingend eine geheime Information sein muss (wie Benutzernamen in sozialen Netzwerken oder E-Mails, die als Benutzernamen wiederverwendet werden können), sollte das Passwort oder die PIN ein Wissen sein, das nur ein bestimmter Benutzer besitzt. Daher kann das Authentifizierungspaar „Login + Passwort“ im Grunde nur als 1-Faktor-Authentifizierung betrachtet werden.

Der Besitz impliziert einen physischen Gegenstand oder eine Information, über die der Benutzer verfügen muss, um die Authentifizierung zu bestehen. Der bekannteste Vertreter dieser Art von Faktor ist ein gemeinsamer Schlüssel zu einem Schloss. In der digitalen Welt kann der Besitz jedoch auch mit einem Sicherheits-Token (getrennt oder verbunden mit dem Gerät des Nutzers) oder einem Software-Token (der in einer Authentifizierungs-App gespeichert werden kann) nachgewiesen werden, ein weiteres Beispiel ist die SMS.

Der Inhärenz-Faktor wird durch die biometrischen Merkmale des Nutzers, wie Finger- oder Handabdruck, Gesicht, Iris- oder Netzhautmuster und Stimme dargestellt.

Es gibt auch Faktoren, die von Authentifizierungssystemen zusätzlich berücksichtigt werden können. Zum Beispiel Standort- und Verhaltensfaktoren (Dynamik der Tastenanschläge, Mausbewegungen oder Berührungsmerkmale, Unterschriftenanalyse usw.).

Es ist offensichtlich, dass die Verwendung von zwei oder mehr Authentifizierungsfaktoren die Sicherheit deutlich erhöht. Allerdings sind einige der Faktoren weniger angriffsresistent als andere.

Die grösste Bedrohung für 2FA/MFA ist Phishing. Der Benutzer kann auf eine gefälschte Website gelockt und aufgefordert werden, seine Anmeldedaten und einen zweiten Faktor einzugeben. Es sind auch kombinierte Angriffe möglich: Zuerst wird das Gerät des Benutzers mit Malware infiziert, die seine Anmeldedaten stiehlt, dann nutzt ein Angreifer Phishing oder andere Arten von Social Engineering, um 2FA/MFA zu umgehen. Die einzige Möglichkeit, dieses Risiko zu verringern, besteht darin, informiert und wachsam zu sein.

Wie wir bereits erwähnt haben, ist MFA kein Allheilmittel, aber es stärkt den Schutz von Konten erheblich und verringert die Wahrscheinlichkeit, gehackt zu werden. Was ist also der zweite Faktor, der den bestmöglichen Schutz bietet?

Die Cybersicherheitsexperten unseres Unternehmens empfehlen U2F-Geräte (USB oder NFC) als den zuverlässigsten zweiten Faktor. Vielen Nutzern erscheint diese Authentifizierungsmethode jedoch als zu wartungsintensiv und weniger bequem.

An zweiter Stelle stehen daher Authentifizierungsanwendungen. Sie können ausschließlich zeitbasierte Einmal-Passwörter (TOTP) generieren, in der Regel 6-stellige Codes mit einer Lebensdauer von 30 Sekunden. Einige Authentifizierungs-Apps bieten zusätzliche Authentifizierungsmethoden wie Push-Benachrichtigungen (die auch Geodaten verwenden), biometrische Daten usw. Die Authentifizierung mit Push-Benachrichtigungen oder biometrischen Daten bei Webdiensten ist vorteilhafter und einfacher als die Verwendung von Einmalpasswörtern, aber weniger verbreitet, während die biometrische Authentifizierung bei mobilen Anwendungen weit verbreitet ist.

Nach wie vor gebräuchliche, aber weniger zuverlässige Methoden sind Einmalcodes per SMS oder E-Mail. Wenn Sie sie vermeiden können, verwenden Sie eine der oben genannten Methoden.

Getrennte Hardware-Tokens (Dongles: Hardwareschlüssel), die Einmal-Passwörter generieren, gibt es immer noch, obwohl ihre Benutzerfreundlichkeit im Vergleich zu Authentifizierungs-Apps weniger attraktiv für die Benutzer ist.

Zusammenfassend lässt sich sagen, dass die Authentifizierung mit einem Paar aus Login und Passwort allmählich der Vergangenheit angehört. Um mit den technologischen Entwicklungen Schritt zu halten und ihre Daten nicht zu gefährden, müssen die Nutzer auf 2FA/MFA zurückgreifen und sich der modernen Cyber-Bedrohungen bewusst sein.

Nützliche Links:

PassSecurium™ Passwortmanager (Android, iOS)

AccessSecurium™ - Authentifizierungs-App für TOTP (Android, iOS)

Weitere im Artikel verwendete Materialien:

• MFA
• 2FA/3FA/MFA
• Authentication factor