Zwei-Faktor-Authentifizierung - LinkFang.de





Zwei-Faktor-Authentifizierung


Die Zwei-Faktor-Authentifizierung (2FA) dient dem Identitätsnachweis eines Nutzers mittels der Kombination zweier verschiedener und insbesondere unabhängiger Komponenten (Faktoren). Das kann typischerweise etwas sein, was er weiß, etwas, was er besitzt, oder etwas, was untrennbar zu ihm gehört. Aus dem Alltag ist dies zum Beispiel vom Geldautomaten bekannt. Erst die Kombination aus Bankkarte und PIN ermöglicht die Transaktion. Die Zwei-Faktor-Authentifizierung ist somit ein Spezialfall der Multi-Faktor-Authentifizierung.

Gesetzliche Anforderungen in Deutschland fordern die offene Angabe von Namen des Kontoinhabers, Adresse des Kontoinhabers und Kontonummer im Geschäftsverkehr. Diese Daten können also beim Authentifizieren nicht allein und auch nicht im Zusammenhang als Geheimnis taugen. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die Zwei-Faktor-Authentifikation in seinen IT-Grundschutz-Katalogen.[1]

Komponenten

Die Zwei-Faktor-Authentifizierung ist nur dann erfolgreich, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen. Der Zugriff, der durch die Zwei-Faktor-Authentifizierung gesichert ist, bleibt verweigert.

Die Faktoren können sein:[2]

Mittelbare Zwei-Faktor-Authentifizierung

Wird die Authentifizierung durchgeführt über etwas, das die Person besitzt, plus einen weiteren Faktor, ergibt sich ein wesentlicher Nachteil: Das jeweilige Token muss jederzeit mitgeführt werden. Wird der Gegenstand gestohlen, verloren oder hat der Nutzer ihn schlicht nicht dabei, sind Zugriffe unmöglich. Außerdem entstehen Kosten: zum einen bei der Erstanschaffung, zum anderen bei Ersatzbeschaffungen. Das ist das Risiko jeder Sicherungsmaßnahme mit dinglichen Objekten.

Um diesen Risiken aus dem Weg zu gehen, ist die tokenlose Zwei-Faktor-Authentifizierung als Alternative entwickelt worden. Sie nutzt Mobilgeräte wie Handys und Smartphones als Token, also „etwas, was der Nutzer besitzt“ (und auch verlieren kann). Möchte sich der Anwender authentifizieren, nutzt er seine persönliche Zugangslizenz (das heißt etwas, was nur er kennt) plus einen einmalig gültigen, dynamischen Passcode, bestehend aus Ziffern. Diesen Code erhält er per SMS, E-Mail oder über eine entsprechende App auf sein Mobilgerät. Der Vorteil bei dieser Methode: Ein zusätzliches Token wird entbehrlich, da das Mobilgerät bei vielen Menschen ohnehin schon ständiger Begleiter ist. Einige professionelle Zwei-Faktor-Authentifizierungslösungen sorgen dafür, dass stets ein gültiger Passcode bereitsteht. Hat der Nutzer eine Ziffernfolge verwendet, wird diese automatisch gelöscht und das System sendet einen neuen Code an das Mobilgerät. Wird der neue Code nicht innerhalb einer festgelegten Frist eingegeben, ersetzt ihn das System automatisch. Auf diese Weise verbleiben keine alten, schon verwendeten Codes auf der mobilen Komponente.

Für noch gesteigerte Sicherheit lässt sich festlegen, wie viele Falscheingaben toleriert werden, bevor das System den Zugang sperrt.

Vorteile der mittelbaren Zwei-Faktor-Authentifizierung

  • Dynamisch generierte Passcodes sind dank stetiger Veränderung sicherer als feststehende (statische) Login-Informationen
  • Je nach Lösung: Verwendete Passcodes werden automatisch ersetzt, dadurch steht jederzeit ein aktueller Code bereit; akute Übertragungsprobleme sind damit kein Hindernis für Logins.

Halbautomatische Zwei-Faktor-Authentifizierung

Wenn der sich authentisierende Benutzer keinerlei manuelle Dateneingabe mehr erledigen muss, gilt der Prozess als halbautomatisiert. Das ist mit der NFC-Methode als internationale Norm erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Vollautomatische Zwei-Faktor-Authentifizierung

Erst dann wenn der sich authentisierende Benutzer keinerlei Handhabung mehr erledigen muss, gilt der Prozess als vollautomatisiert. Das ist mit dem Verwenden von Piconetzen (Bluetooth) als internationaler Industrie-Standard erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Universelle Zwei-Faktor-Authentifizierung

Die FIDO-Allianz hat am 9. Dezember 2014 die erste Version des universellen und lizenzfreien Standards U2F für die Zwei-Faktor-Authentifizierung veröffentlicht, die mit verschiedenen Verfahren und Geräten kompatibel ist.[3] Im Februar 2015 kündigte Microsoft an, dass der Standard 2.0 der FIDO-Allianz für die Authentifikation im Internet vom Betriebssystem Windows 10 unterstützt wird.[4]

Einzelnachweise

  1. M 4.133 Geeignete Auswahl von Authentikationsmechanismen , BSI, Stand: 13. EL Stand 2013, abgerufen am 20. Februar 2015
  2. Zwei-Faktor-Authentifikation: So funktioniert sie , test.de, 28. Januar 2015, abgerufen am 20. Februar 2015
  3. FIDO 1.0 Specifications are Published and Final Preparing for Broad Industry Adoption of Strong Authentication in 2015 , FIDO-Allianz, abgerufen am 12. Dezember 2014
  4. Dustin Ingalls: Microsoft Announces FIDO Support Coming to Windows 10 , windows.com, abgerufen am 15. Februar 2015

Kategorien: Authentifizierungstechnik | IT-Sicherheit

Quelle: Wikipedia - http://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung (Vollständige Liste der Autoren des Textes [Versionsgeschichte])    Lizenz: CC-by-sa-3.0

Änderungen: Alle Bilder mit den meisten Bildunterschriften wurden entfernt. Ebenso alle zu nicht-existierenden Artikeln/Kategorien gehenden internen Wikipedia-Links (Bsp. Portal-Links, Redlinks, Bearbeiten-Links). Entfernung von Navigationsframes, Geo & Normdaten, Mediadateien, gesprochene Versionen, z.T. ID&Class-Namen, Style von Div-Containern, Metadaten, Vorlagen, wie lesenwerte Artikel. Ansonsten sind keine Inhaltsänderungen vorgenommen worden. Weiterhin kann es durch die maschinelle Bearbeitung des Inhalts zu Fehlern gerade in der Darstellung kommen. Darum würden wir jeden Besucher unserer Seite darum bitten uns diese Fehler über den Support mittels einer Nachricht mit Link zu melden. Vielen Dank!

Stand der Informationen: August 201& - Wichtiger Hinweis: Da die Inhalte maschinell von Wikipedia übernommen wurden, ist eine manuelle Überprüfung nicht möglich. Somit garantiert LinkFang.de nicht die Richtigkeit und Aktualität der übernommenen Inhalte. Sollten die Informationen mittlerweile fehlerhaft sein, bitten wir Sie darum uns per Support oder E-Mail zu kontaktieren. Wir werden uns dann innerhalb von spätestens 10 Tagen um Ihr Anliegen kümmern. Auch ohne Anliegen erfolgt mindestens alle drei Monate ein Update der gesamten Inhalte.