Veröffentlicht: 20. Dezember 2023
Mitwirkende: Matthew Kosinski, Amber Forrest
2FA oder Zwei-Faktor-Authentifizierung ist eine Identitätsprüfung, bei der Benutzer zwei Nachweise erbringen müssen, z. B. ein Passwort und einen einmaligen Passcode, um ihre Identität zu belegen und Zugriff auf ein Online-Konto oder andere sensible Ressourcen zu erhalten.
Die meisten Internetnutzer sind wahrscheinlich mit SMS-basierten 2FA-Systemen vertraut. Hierbei sendet eine App beim Anmelden einen numerischen Code an das Mobiltelefon des Benutzers. Der Benutzer muss dann sowohl sein Passwort als auch diesen Code eingeben, um fortzufahren. Es reicht nicht aus, nur das eine oder das andere einzugeben.
2FA ist die häufigste Form der Multi-Faktor-Authentifizierung (MFA), die sich auf jede Authentifizierungsmethode bezieht, bei der Benutzer mindestens zwei Nachweise bereitstellen müssen.
2FA ist weit verbreitet, weil es die Kontosicherheit erhöht. Benutzerpasswörter können leicht geknackt oder gefälscht werden. 2FA fügt eine weitere Sicherheitsstufe hinzu, indem es einen zweiten Faktor erfordert. Hacker müssen nicht nur zwei Anmeldedaten stehlen, um in ein System einzudringen, sondern der zweite Faktor ist oft etwas, das schwer zu hacken ist, wie ein Fingerabdruck oder ein zeitlich begrenzter Passcode.
IBM wurde im aktuellen Gartner® Magic Quadrant™ for Access Management Report als führender Anbieter anerkannt.
IBM Newsletter abonnieren
Wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, die durch ein 2FA-Sicherheitssystem geschützt ist – wie zum Beispiel ein Unternehmensnetzwerk –, fordert das System den Benutzer auf, seinen ersten Authentifizierungsfaktor einzugeben. Oft ist dieser erste Faktor eine Kombination aus Benutzername/Passwort.
Wenn der erste Faktor gültig ist, fragt das System nach einem zweiten. Es gibt tendenziell mehr Variationen bei den zweiten Faktoren, die von zeitlich begrenzt gültigen Codes bis hin zu biometrischen Daten und mehr reichen können. Der Benutzer kann erst dann auf die Ressourcen zugreifen, wenn beide Faktoren korrekt sind.
Auch wenn 2FA normalerweise mit Computersystemen in Verbindung gebracht wird, lassen sich damit auch physische Assets und Standorte schützen. Ein Gebäude mit Zugangsbeschränkung könnte beispielsweise verlangen, dass man einen Ausweis vorzeigt und seinen Fingerabdruck scannt, um hineinzukommen.
Es gibt mehrere Arten von Authentifizierungsfaktoren, die 2FA-Systeme verwenden können. Echte 2FA-Systeme verwenden zwei Faktoren von zwei verschiedenen Arten. Die Verwendung von zwei verschiedenen Arten von Faktoren gilt als sicherer als die Verwendung von zwei Faktoren desselben Typs, da Hacker verschiedene Methoden anwenden müssen, um jeden Faktor zu knacken.
Hacker könnten beispielsweise das Passwort eines Benutzers stehlen, indem sie Spyware auf dessen Computer installieren. Diese Spyware würde jedoch keine Einmalpasswörter auf dem Mobiltelefon des Benutzers ausspähen. Die Hacker müssten dann eine andere Möglichkeit finden, diese Nachrichten abzufangen.
In den meisten 2FA-Implementierungen dient ein Wissensfaktor als erster Authentifizierungsfaktor. Ein Wissensfaktor ist eine Information, die theoretisch nur der Benutzer kennt. Ein Passwort ist der häufigste Wissensfaktor. Typisch sind auch persönliche Identifikationsnummern (PIN) und Antworten auf Sicherheitsfragen.
Trotz ihrer weit verbreiteten Verwendung sind Wissensfaktoren im Allgemeinen – und Passwörter im Besonderen – die anfälligste Art von Authentifizierungsfaktoren. Hacker können Passwörter und andere Wissensfaktoren durch Phishing-Angriffe, die Installation von Malware auf den Geräten der Benutzer oder Brute-Force-Angriffe erhalten, bei denen sie Bots verwenden, um potenzielle Passwörter für ein Konto zu generieren und so lange zu testen, bis eines funktioniert.
Andere Arten von Wissensfaktoren stellen keine größere Herausforderung dar. Die Antworten auf viele Sicherheitsfragen – wie zum Beispiel die klassische Frage „Wie lautet der Mädchenname Ihrer Mutter?“ – können leicht durch einfache Nachforschungen oder Social-Engineering-Angriffe geknackt werden, bei denen Benutzer zur Preisgabe persönlicher Daten verleitet werden.
Es ist erwähnenswert, dass die übliche Praxis, ein Passwort und eine Sicherheitsfrage zu verlangen, keine echte 2FA ist, weil sie zwei Faktoren desselben Typs verwendet – in diesem Fall zwei Wissensfaktoren. Vielmehr wäre dies ein Beispiel für einen zweistufigen Verifizierungsprozess.
Die Bestätigung in zwei Schritten kann sicherer sein als ein Passwort allein, da sie zwei Faktoren erfordert. Da es sich dabei jedoch um zwei Faktoren desselben Typs handelt, sind sie einfacher zu stehlen als echte 2FA-Faktoren.
Besitzfaktoren sind Dinge, die eine Person besitzt und mit denen sie sich authentifizieren kann. Die beiden häufigsten Arten von Besitzfaktoren sind Software-Token und Hardware-Token.
Software-Token haben oft die Form von Einmalpasswörtern (One-Time-Passwords, OTPs). OTPs sind 4- bis 8-stellige Passwörter zur einmaligen Verwendung, die nach einer bestimmten Zeit ablaufen. Software-Token können per Textnachricht (oder E-Mail oder Sprachnachricht) an das Mobiltelefon eines Benutzers gesendet oder von einer auf dem Gerät installierten Authenticator-App generiert werden.
In beiden Fällen dient das Gerät des Benutzers quasi als Besitzfaktor. Das 2FA-System geht davon aus, dass nur der legitime Benutzer Zugriff auf alle Informationen hat, die mit diesem Gerät geteilt oder von diesem Gerät generiert werden.
SMS-basierte OTPs gehören zwar zu den benutzerfreundlichsten Besitzfaktoren, sind aber auch am unsichersten. Die Benutzer benötigen eine Internet- oder Mobilfunkverbindung, um diese Codes zu erhalten, und Hacker können sie durch raffinierte Phishing- oder Man-in-the-Middle-Angriffe stehlen. OTPs sind auch anfällig für das SIM-Klonen, bei dem Kriminelle ein funktionierendes Duplikat der SIM-Karte des Smartphones des Opfers erstellen und damit dessen Textnachrichten abfangen.
Authenticator-Apps können Token ohne Netzwerkverbindung generieren. Der Benutzer koppelt die App mit seinen Konten, und die App verwendet einen Algorithmus, um kontinuierlich zeitbasierte Einmalpasswörter (Time Based One Time Passwords, TOTPs) zu generieren. Jedes TOTP läuft nach 30 bis 60 Sekunden ab, was einen Diebstahl erschwert. Einige Authenticator-Apps verwenden Push-Benachrichtigungen statt TOTPs. Wenn ein Benutzer versucht, sich bei einem Konto anzumelden, sendet die App eine Push-Benachrichtigung an sein Mobiltelefon, auf die er tippen muss, um zu bestätigen, dass der Versuch legitim ist.
Zu den gängigsten Authenticator-Apps gehören Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator und Duo. Diese Apps sind zwar schwerer zu knacken als Textnachrichten, aber sie sind nicht unfehlbar. Hacker können mithilfe spezieller Malware TOTPs direkt von Authenticator-Apps1 oder MFA-Fatigue-Angriffe starten, bei denen sie ein Gerät mit betrügerischen Push-Benachrichtigungen überfluten, in der Hoffnung, dass das Opfer diese versehentlich bestätigt.
Hardware-Token sind dedizierte Geräte – Key Fobs, ID-Karten, Dongles –, die als Sicherheitsschlüssel fungieren. Einige Hardware-Token werden an den USB-Anschluss eines Computers angeschlossen und übertragen Authentifizierungsinformationen an die Anmeldeseite. Andere generieren Bestätigungscodes, die der Benutzer manuell eingeben muss, wenn er dazu aufgefordert wird.
Hardware-Token sind zwar extrem schwer zu hacken, können aber gestohlen werden – ebenso wie die mobilen Geräte der Nutzer, die Software-Token enthalten. Laut dem IBM Bericht über die Kosten einer Datenschutzverletzung sind verlorene und gestohlene Geräte sogar ein Faktor bei 6 % der Datenschutzverletzungen.
Die auch als „Biometrie“ bezeichneten inhärenten Faktoren sind physische Merkmale oder Eigenschaften, die für den Benutzer einzigartig sind, wie Fingerabdrücke, Gesichtszüge und Netzhautmuster. Viele Smartphones und Laptops, die heute hergestellt werden, haben integrierte Gesichtserkennung und Fingerabdruckleser, und viele Apps und Websites können diese biometrischen Daten als Authentifizierungsfaktor verwenden.
Obwohl inhärente Faktoren am schwierigsten zu knacken sind, kann es verheerend sein, wenn sie geknackt werden. Im Jahr 2019 wurde eine biometrische Datenbank mit 1 Million Fingerabdrücken von Nutzern geknackt.2 Theoretisch könnten Hacker diese Fingerabdrücke stehlen oder ihre eigenen Fingerabdrücke mit dem Profil eines anderen Nutzers in der Datenbank verknüpfen.
Die Fortschritte bei der Erzeugung von KI-Bildern geben Cybersicherheitsexperten Anlass zur Sorge, dass Hacker diese Tools nutzen könnten, um Gesichtserkennungssoftware zu täuschen.
Wenn biometrische Daten kompromittiert werden, können sie nicht schnell oder einfach geändert werden, was es schwierig macht, laufende Angriffe zu stoppen.
Verhaltensfaktoren sind digitale Artefakte, die die Identität eines Benutzers anhand von Verhaltensmustern überprüfen. Beispiele hierfür sind der typische IP-Adressbereich eines Benutzers, der übliche Standort und die durchschnittliche Tippgeschwindigkeit.
Verhaltensbasierte Authentifizierungssysteme verwenden künstliche Intelligenz, um eine Baseline für die normalen Muster der Benutzer zu ermitteln und anomale Aktivitäten wie die Anmeldung von einem neuen Gerät, einer neuen Telefonnummer oder einem neuen Standort aus zu erkennen. Einige 2FA-Systeme nutzen Verhaltensfaktoren, indem sie es Benutzern ermöglichen, vertrauenswürdige Geräte als Authentifizierungsfaktoren zu registrieren. Bei der ersten Anmeldung muss der Benutzer zwar zwei Faktoren angeben, aber die Verwendung des vertrauenswürdigen Geräts wird in Zukunft automatisch als zweiter Faktor akzeptiert.
Verhaltensfaktoren spielen auch bei adaptiven Authentifizierungssystemen eine Rolle, die die Authentifizierungsanforderungen je nach Risikoniveau ändern. Ein Benutzer benötigt beispielsweise nur ein Passwort, um sich von einem vertrauenswürdigen Gerät im Unternehmensnetzwerk bei einer App anzumelden, muss aber möglicherweise einen zweiten Faktor hinzufügen, um sich von einem neuen Gerät oder einem unbekannten Netzwerk anzumelden.
Verhaltensfaktoren bieten zwar eine ausgefeilte Möglichkeit zur Authentifizierung von Endbenutzern, erfordern jedoch erhebliche Ressourcen und Fachkenntnisse für ihre Implementierung. Dazu kommt, dass ein Hacker sich als Benutzer ausgeben kann, wenn er Zugriff auf ein vertrauenswürdiges Gerät erhält.
Da Wissensfaktoren so leicht zu kompromittieren sind, untersuchen viele Unternehmen passwortlose Authentifizierungssysteme, die nur Besitz-, inhärente und verhaltensbezogene Faktoren akzeptieren. Wenn Sie beispielsweise einen Benutzer nach einem Fingerabdruck und einem physischen Token fragen würden, würde dies eine passwortlose 2FA-Konfiguration darstellen.
Während die meisten aktuellen 2FA-Methoden Passwörter verwenden, rechnen Branchenexperten mit einer zunehmend passwortlosen Zukunft. Wichtige Technologieanbieter wie Google, Apple, IBM und Microsoft haben bereits mit der Einführung passwortloser Authentifizierungsoptionen begonnen.3
Laut dem IBM Bericht über die Kosten einer Datenschutzverletzung gehören Phishing und kompromittierte Anmeldeinformationen zu den häufigsten Vektoren für Cyberangriffe. Zusammen machen sie 31 Prozent der Datenschutzverletzungen aus. Beide Vektoren funktionieren oft durch den Diebstahl von Passwörtern, die Hacker dann nutzen können, um legitime Konten und Geräte zu kapern und Schaden anzurichten.
Hacker haben es in der Regel auf Passwörter abgesehen, weil sie durch Brute-Force-Angriffe oder Täuschung ziemlich leicht zu knacken sind. Da Menschen Passwörter wiederverwenden, können Hacker außerdem oft ein einziges gestohlenes Passwort verwenden, um in mehrere Konten einzudringen. Die Folgen eines gestohlenen Passworts können für Benutzer und Unternehmen erheblich sein und zu Identitätsdiebstahl, Gelddiebstahl, Systemsabotage und mehr führen.
2FA hilft dabei, unbefugten Zugriff zu verhindern, indem es eine zusätzliche Sicherheitsebene hinzufügt. Auch wenn Hacker ein Passwort stehlen können, benötigen sie dennoch einen zweiten Faktor, um einzudringen. Außerdem sind diese zweiten Faktoren in der Regel schwieriger zu stehlen als ein Wissensfaktor. Hacker müssten dafür biometrische Daten fälschen, Verhaltensweisen nachahmen oder physische Geräte stehlen.
Unternehmen können auch Zwei-Faktor-Authentifizierungsmethoden verwenden, um Compliance-Anforderungen zu erfüllen. Zum Beispiel erfordert der Payment Card Industry Data Security Standard (PCI-DSS) ausdrücklich MFA für Systeme, die Kreditkartendaten verarbeiten.4 Andere Vorschriften wie der Sarbanes-Oxley (SOX) Act und die Datenschutz-Grundverordnung (DSGVO) erfordern nicht ausdrücklich 2FA. Allerdings kann 2FA Unternehmen dabei helfen, die strengen Sicherheitsstandards dieser Gesetze einzuhalten.
In einigen Fällen waren Unternehmen aufgrund von Datenschutzverletzungen gezwungen, eine Multi-Faktor-Authentifizierung einzuführen. So ordnete die Federal Trade Commission im Jahr 2023 an, dass der Online-Alkoholverkäufer Drizly nach einer Sicherheitsverletzung, von der 2,5 Millionen Kunden betroffen waren, MFA einführen muss.5
Ergänzen Sie Entscheidungen darüber, welche Benutzer Zugriff auf die Daten und Anwendungen Ihres Unternehmens haben sollen, mit umfassendem Kontext, Informationen und Sicherheit – ganz gleich ob On-Premises oder in der Cloud.
Ergänzen Sie Cloud IAM mit umfassendem Kontext für risikobasierte Authentifizierung. Ermöglichen Sie Ihren Kunden und Beschäftigten einen reibungslosen und sicheren Zugang mit den Cloud IAM-Lösungen von IBM Security Verify.
Verlassen Sie sich nicht länger ausschließlich auf Basisauthentifizierung, sondern wählen Sie aus Optionen für Authentifizierung ohne Kennwort und Multi-Faktor-Authentifizierung.
Identity und Access Management (IAM) ist ein Bereich der Cybersicherheit, der sich auf die Verwaltung von Benutzeridentitäten und Zugriffsberechtigungen in einem Computernetzwerk konzentriert.
Die Multi-Faktor-Authentifizierung (MFA) ist eine Methode zur Identitätsüberprüfung, bei der Benutzer zwei oder mehr Nachweise erbringen müssen, um ihre Identität zu beweisen.
Bereiten Sie sich auf den Fall der Fälle vor und machen Sie sich mit den Ursachen von Sicherheitsverletzungen und den Faktoren vertraut, die zu höheren oder niedrigeren Kosten führen können.
Fußnoten
Alle Links befinden sich außerhalb von ibm.com
1 Android malware can steal Google Authenticator 2FA codes, ZDNET, 26. Februar 2020
2 '1m fingerprint' data leak raises doubts over biometric security, ScienceDirect, September 2019
3 You no longer need a password to sign in to your Google account, The Verge, 3. Mai 2023
4 PCI DSS: v4.0, Security Standards Council, März 2022
5 In the Matter of Drizly, LLC, Federal Trade Commission, 10. Januar 2023