Datenschutz-Glossar

Multi-Faktor-Authentifizierung

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist Multi-Faktor-Authentifizierung?

Multi-Faktor-Authentifizierung (MFA) ist ein Anmeldeprozess, der mehrere Formen des Identitätsnachweises erfordert, häufig einschließlich eines Passworts, biometrischer Daten oder eines Sicherheitstokens. Beim Einloggen gibt eine Person eine Identität an—zum Beispiel einen Benutzernamen oder eine E-Mail—und bestätigt diese Identität dann durch die Angabe zusätzlicher Informationen wie eines Passworts. Jedes Authentifizierungsmerkmal wird als Faktor bezeichnet. MFA erfordert mehr als einen Faktor, um die angegebene Identität einer Person zu authentifizieren. Ein typisches MFA-Setup besteht aus einer Benutzer-ID, gefolgt von einem Passwort und dann einem 6-8-stelligen temporären Code.

Ein ähnlicher Begriff ist die Zwei-Faktor-Authentifizierung, auch als Zwei-Schritt-Authentifizierung oder 2FA bezeichnet. Dieser Begriff gibt an, dass genau 2 Faktoren erforderlich sind, während MFA bedeutet, dass zwei oder mehr Faktoren benötigt werden. MFA wird immer häufiger sowohl als benutzeroptionaler als auch als erforderlicher Anmeldeprozess. MFA kann verwendet werden, wenn man sich in einen Computer einloggt, ein mobiles Gerät entsperrt oder sich in ein Konto oder eine App einloggt. MFA ist besonders häufig, wenn man sich von einem Gerät in ein Konto einloggt, das zuvor nicht für den Zugriff auf dieses Konto verwendet wurde.

Warum ist Multi-Faktor-Authentifizierung beliebt?

Laxheit bei Sicherheitsgewohnheiten und verbesserte Hacking-Methoden haben die Sicherheit des traditionellen Anmelde-Setups mit Benutzer-ID und Passwort geschwächt. Konfrontiert mit so vielen IDs und Passwörtern zum Merken, greifen Benutzer oft darauf zurück, eine E-Mail-Adresse als ID zu verwenden und Passwörter über multiple Anmeldungen hinweg wiederzuverwenden. Dadurch werden Konten leichter gehackt, insbesondere mit den fortschrittlicheren Hacking- und Social Engineering Methoden von heute.

Die zusätzlichen Faktoren, die durch eine MFA-Anmeldung erforderlich sind, erhöhen die Komplexität und erschweren es, die Sicherheitsschichten zu durchbrechen. Ein Hacker kann die Benutzer-ID (insbesondere wenn es sich um eine E-Mail-Adresse handelt) lernen und ein gespeichertes Passwort durch ein Datenleck, Phishing oder Passwort-Cracking erwerben. Aber wenn der Hacker keinen Zugriff auf die Quelle des zusätzlichen Faktors hat (zum Beispiel kann er den 6-stelligen Code nicht erhalten, der an das Mobiltelefon des Kontoinhabers gesendet wird), dann wird er den Anmeldeprozess nicht abschließen können. Immer mehr Datenbankbesitzer und Dienstleister verlassen sich auf MFA aufgrund seiner verbesserten Sicherheit gegen unbefugten Konto-Zugriff.

Wie funktioniert Multi-Faktor-Authentifizierung?

Um am effektivsten zu sein, sollten die Faktoren von verschiedenen Typen oder aus unterschiedlichen Quellen stammen. Die Verwendung von zwei Passwörtern ist nicht viel sicherer als die Verwendung von einem – ein Datenleck, das ein Passwort enthält, wird höchstwahrscheinlich auch das zweite Passwort enthalten.

Faktoren werden im Allgemeinen in drei Kategorien unterteilt:

  • Etwas, das du wissen musst. Dies ist normalerweise ein einprägsames Passwort oder eine PIN.
  • Etwas, das diese haben. Oft ein Token-Generator oder eine App auf deinem mobilen Gerät oder eine SMS, die an dein Gerät gesendet wird.
  • Etwas, das diese haben. Oft dein Fingerabdruck oder Gesichtsscan.

Kombinationen dieser Authentifizierungstypen (wissen + haben, wissen + sind, haben + sind) sind schwieriger zu hacken oder zu stehlen. Jemand könnte in der Lage sein, ein Passwort zu stehlen, aber nicht einen Fingerabdruck. Und wenn sie du dein Handy nicht hast, kannst du keine Authentifizierungscodes empfangen, die darauf gesendet werden.

Arten der Multi-Faktor-Authentifizierung

Einmalpasswort (OTP)

Dieser MFA-Prozess ist vielen Menschen vertraut. Es erfordert, dass der Benutzer einen 6-8 stelligen Code eingibt, der ihm auf sein Mobiltelefon gesendet, per E-Mail gesendet oder in einer Sprachnachricht mitgeteilt wird. Dies fällt in die Kategorie der “Haben”-Faktoren—zum Beispiel wird davon ausgegangen, dass der rechtmäßige Benutzer das Telefon in der Hand hält, das den gesendeten oder aufgezeichneten Code empfängt. Diese Codes sind oft nur für eine begrenzte Zeit gültig, vielleicht 10-30 Minuten. Ablauf bedeutet, dass die Wahrscheinlichkeit geringer ist, dass der Code erraten wird, bevor er veraltet ist.

Das Empfangen eines OTP per SMS hat einige Nachteile:

  • Unverschlüsselte SMS-Nachrichten können abgefangen werden.
  • Phishing ist ein Problem. Nutzer können dazu verleitet werden, ein OTP zur Verfügung zu stellen, wenn ein Hacker eine SMS oder E-Mail sendet, die vorgibt, von der Organisation zu stammen, bei der Sie sich anmelden möchten. Zum Beispiel könnte der Hacker, der versucht, sich mit gestohlenen IDs und Passwort anzumelden, eine SMS mit einem Link zu einer gefälschten Website senden. Die gefälschte Website sammelt das OTP, das der Nutzer unwissentlich eingibt, und der Hacker kann dann den Code auf der echten Website verwenden.
  • Ein gestohlenes mobiles Gerät mit schlechter persönlicher Sicherheit kann SMS-Textnachrichten in die Hände des Diebes legen.
  • Du benötigst ein mobiles Gerät und eine gute Internetverbindung, um den Text mit dem Code zu empfangen.
  • Ein Angreifer kann deinen Mobilfunkanbieter überzeugen, deine Nummer auf eine neue SIM-Karte zu portieren (oft als “SIM-Tausch-Angriff” bezeichnet).

Token-basierte OTP

Ein OTP-Sicherheitstoken kann als Software auf dem Gerät des Nutzers installiert sein oder ein kleines physisches Gerät sein, das dem Nutzer gehört. Physische Geräte sind oft ein Schlüsselanhänger oder Smartcard—ein Kreditkartengroßes Gerät—mit einer LCD-Anzeige. Das Display liefert in regelmäßigen Abständen (z. B. alle 30 oder 60 Sekunden) einen neuen Einmalcode. Softwareversionen sind auch als authenticator apps bekannt und gewinnen an Popularität. Authenticator-Apps werden auf dem Gerät des Nutzers (Telefon oder Tablet) installiert und stellen ein OTP bereit, das den Text, die E-Mail oder die Sprachnachricht ersetzt. Eine einzige Authenticator-App kann Codes für mehrere Login-Konten verwalten.

Ähnlich wie bei Text-OTP verwendet die tokenbasierte MFA die Kategorien “wissen” und “haben” der Authentifizierung, ist jedoch sicherer, da sie die Schwächen von SMS-Text-OTP vermeidet. Der Nachteil eines physischen Tokens ist, dass es verloren gehen, gestohlen werden oder einfach vergessen werden kann (zuhause oder im Auto), wodurch der Nutzer sich nicht anmelden kann.

Hardware-Schlüssel

Hardware-Sicherheitsschlüssel sind kleine physische Geräte, die an Ihren Computer oder Ihr mobiles Gerät angeschlossen werden, manchmal über einen USB-Anschluss oder einen Stromeingang. Einige Modelle können drahtlos mit Ihrem Gerät kommunizieren. Die meisten sind klein genug, um sie an einem Schlüsselanhänger zu tragen, wenn sie nicht benutzt werden.

Ihre Vorteile und Nachteile sind ähnlich wie bei einem Token-basierten OTP-Gerät, aber sie können mehr als nur Einmalpasswörter verwalten. Je nach Modell können sie auch permanente Passwörter und andere Sicherheitsprotokolle für Sie speichern und verwenden. Einige beinhalten Fingerabdruckleser zur Authentifizierung, bevor Software ausgeführt wird. Hardware-Schlüssel können auch direkt in das sichere Enklave eines Geräts eingebaut werden (eine Methode, die aufgrund der weit verbreiteten Unterstützung von Passkeys immer häufiger wird).

Push-Benachrichtigung

Für diesen MFA-Prozess ist der erste Schritt das normale Anmelden mit einer ID und einem Passwort. Dann “pusht” der Server, der für die Authentifizierung des Nutzers zuständig ist, eine Nachricht durch die App auf das vom Nutzer gewählte Gerät (in der Regel ihr Mobiltelefon) und bittet ihn zu bestätigen, dass er es ist, der sich versucht anzumelden. Obwohl keine Informationen wie beim OTP bereitgestellt werden, zählt dies als zweiter Faktor des Typs “haben”, da es ein physisches Gerät (das Telefon) verwendet, das mit dem richtigen Nutzer verbunden ist. Die Push-Benachrichtigung profitiert auch von der Sicherheitsschicht auf dem Telefon—der Nutzer muss das Telefon entsperren (mit Fingerabdruck, Gesichtserkennung oder PIN), um die Genehmigung zu erteilen.

Eine Push-Benachrichtigung kann den Nutzer warnen, wenn eine nicht autorisierte Person versucht, sich in das Konto des Nutzers einzuloggen. Es hat jedoch eine eigene Phishing-Angriffsanfälligkeit. Ein böswilliger Akteur kann den Dienst dazu bringen, mehrere Push-Benachrichtigungen zu senden (indem er wiederholt versucht, sich anzumelden), bis die Person schließlich aus Frustration oder Verwirrung auf “akzeptieren” tippt. Dies wird als “Multifaktor-Ermüdungsangriff” oder “Push-Bombing” bezeichnet

Beste Praktiken für den Einsatz von Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung bietet zusätzliche Sicherheitsschichten für Ihre Online-Aktivitäten. Hier sind einige Dinge, die du tun kannst, um von den Vorteilen der MFA zu profitieren:

  • Aktiviere die MFA-Option, wann immer sie verfügbar ist.
  • Wenn die einzige verfügbare MFA-Option OTP-SMS-Codes sind, wird trotzdem empfohlen, sie über gar nichts zu verwenden. Es wird jedoch empfohlen, dass du eine separate Prepaid-Telefonnummer oder Google Voice-Telefonnummer verwenden, die nur zum Empfangen dieser OTP-SMS-Codes verwendet wird.
  • Gebe niemals einen einmalig verwendbaren Passcode an jemanden weiter.
  • Wenn du eine Textnachricht oder eine andere Benachrichtigung mit einem OTP erhältst, das du nicht angefordert hast, wende dich an die Organisation und überprüfe deine Konten. Verwende jedoch keine unerwünschten Text- oder E-Mail-Links, um dies zu tun - dies könnten Phishing-Versuche sein. Gebe stattdessen die Website-Adresse selbst ein oder verwende ein zuvor gespeichertes Lesezeichen.
  • Bewerte Push-Benachrichtigungen sorgfältig, insbesondere wenn du diese mehrmals erhältst. Dies ist wahrscheinlich ein Hinweis darauf, dass jemand versucht, in dein Konto einzudringen.
  • Richte, wenn verfügbar, MFA über eine Authentifikator-App ein. Es gibt mehrere davon für jedes mobile Gerät, und sie sind in der Regel kostenlos herunterzuladen und zu verwenden.

Was kommt als Nächstes für die Multi-Faktor-Authentifizierung?

Eine aktuelle Entwicklung bei MFA ist ein phishingsicheres Verfahren namens Passkeys. Wenn du ein Konto mit Passkeys einrichtest, speichert dein Gerät oder deine App den Passkey sicher und verknüpft ihn nur mit der Website, für die er ursprünglich registriert wurde. Dann, wann immer du diesen Dienst verwendest, überprüft dein Gerät automatisch, ob du auf der richtigen Website bist, bevor du dich mit dem Passkey authentifizierst. Wenn du versehentlich auf eine gefälschte Phishing-Seite klickst, erkennt dein Gerät die Website nicht und kann den richtigen Passkey nicht zum Einloggen finden. In diesem Fall wird der Phishing-Versuch erfolgreich blockiert und du bist sicherer.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.