Geheimnishütende Gegenstände sind Dinge, die jemand besitzt und mit denen er sich ausweisen kann. Die beiden häufigsten Arten von geheimnishütenden Gegenständen sind Software-Token und Hardware-Token.
Software-Token treten häufig als Einmalpasswörter (One-Time-Passwords, OTPs) in Erscheinung. OTPs sind 4- bis 8-stellige Passwörter zur einmaligen Verwendung, die nach einer bestimmten Zeit ablaufen. Software-Token können per SMS, E-Mail oder Sprachnachricht an das Mobiltelefon eines Benutzers gesendet oder von einer auf dem Gerät installierten Authenticator-App generiert werden.
In beiden Fällen dient das Gerät des Benutzers als geheimnishütender Gegenstand. Das 2FA-System geht davon aus, dass nur der legitime Benutzer Zugriff auf alle Informationen hat, die von diesem Gerät weitergeleitet oder generiert werden.
SMS-basierte OTPs gehören zwar zu den benutzerfreundlichsten geheimnishütenden Gegenständen, sind aber auch am unsichersten. Die Benutzer benötigen eine Internet- oder Mobilfunkverbindung, um diese Codes zu erhalten, und Hacker können sie durch raffinierte Phishing- oder Man-in-the-Middle-Angriffe entwenden. Außerdem sind OTPs anfällig für das SIM-Klonen: Hierbei erstellen Kriminelle ein funktionierendes Duplikat der SIM-Karte des Smartphones des Opfers, um SMS abzufangen.
Authenticator-Apps können Token ohne Netzwerkverbindung generieren. Der Benutzer koppelt die App mit seinen Konten, und die App verwendet einen Algorithmus, um kontinuierlich zeitbasierte Einmalpasswörter (Time Based One Time Passwords, TOTPs) zu generieren. Jedes TOTP läuft nach 30 bis 60 Sekunden ab, was einen Diebstahl erschwert. Einige Authenticator-Apps setzen auf Push-Benachrichtigungen statt TOTPs. Will sich ein Benutzer an einem Konto anmelden, sendet die App eine Push-Benachrichtigung an sein Mobiltelefon, auf die er tippen muss, um den Versuch als legitim zu bestätigen.
Zu den gängigsten Authenticator-Apps gehören Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator und Duo. Diese Apps sind zwar schwerer zu knacken als SMS, aber auch nicht unfehlbar. Hacker können TOTPs mithilfe spezieller Malware direkt von Authenticator-Apps1 entwenden oder einen MFA-Fatigue-Angriff starten: Hier wird ein Gerät mit betrügerischen Push-Benachrichtigungen überflutet, in der Hoffnung, dass das Opfer eine von ihnen versehentlich bestätigt.
Hardware-Token sind dedizierte Geräte – elektronische Türöffner/-schließer, ID-Karten, Dongles – die als Sicherheitsschlüssel fungieren. Einige Hardware-Token werden an den USB-Anschluss eines Computers angeschlossen und übertragen Authentifizierungsinformationen an die Anmeldeseite. Andere generieren Bestätigungscodes, die der Benutzer auf Aufforderung manuell eingeben muss.
Hardware-Token sind zwar extrem schwer zu hacken, können aber physisch entwendet werden – ebenso wie ein mobiles Benutzergerät mit Software-Token. Laut dem IBM Bericht Die Kosten einer Datenschutzverletzung sind verloren gegangene und gestohlene Geräte sogar mit 6 % an Datenschutzverletzungen beteiligt.