2FA oder Zwei-Faktor-Authentifizierung ist eine Methode zur Identitätsüberprüfung, bei der ein Benutzer einen zweiten Authentifizierungsfaktor zusätzlich zu einem Passwort oder zwei Authentifizierungsfaktoren anstelle eines Passworts angeben muss, um auf eine Website, eine Anwendung oder ein Netzwerk zugreifen zu können. Wenn zum Beispiel eine Online-Banking-App von einem Kunden verlangt, sowohl ein Passwort als auch einen Verifizierungscode einzugeben, der per SMS an das Mobiltelefon des Kunden gesendet wird, verwendet die App 2FA.

Da es mehr Arbeit macht, einen zweiten Authentifizierungsfaktor zu hacken, und weil andere Arten von Faktoren schwieriger zu stehlen oder zu fälschen sind, verbessert 2FA die Kontosicherheit und schützt eine Organisation und ihre Benutzer besser vor unbefugtem Zugriff.

2FA ist die am häufigsten verwendete Art der Multi-Faktor-Authentifizierung (MFA)  – eine Authentifizierung, die mindestens einen Authentifizierungsfaktor zusätzlich zu einem Passwort oder mindestens zwei Authentifizierungsfaktoren anstelle eines Passworts erfordert.

Die Zwei-Faktor-Authentifizierung reduziert das Risiko eines unbefugten Zugriffs auf zwei Arten. Erstens müssen Hacker zwei Faktoren hacken statt nur einen. Zweitens ist mindestens einer der für die 2FA erforderlichen Faktoren schwieriger zu knacken als ein Passwort.

Letztendlich hängt die Stärke jedes 2FA-Schemas von der Art der Authentifizierungsfaktoren ab, die ein Benutzer angeben muss.

Wissensfaktoren: Etwas, das der Benutzer weiß

Bei der überwiegenden Mehrheit der 2FA-Implementierungen dient ein Wissensfaktor als erster Authentifizierungsfaktor. Ein Wissensfaktor ist eine Information, die theoretisch nur der Benutzer kennen würde. Ein Passwort ist der häufigste Wissensfaktor; persönliche Identifikationsnummern (PINs) und Antworten auf Sicherheitsfragen sind weitere.

Trotz ihrer weit verbreiteten Verwendung sind Wissensfaktoren im Allgemeinen – und Passwörter im Besonderen – die anfälligsten Arten von Authentifizierungsfaktoren. Hacker können Passwörter und andere Wissensfaktoren durch Phishing-Angriffe erlangen, indem sie Tastatureingaben aufzeichnen oder Spyware auf den Geräten der Benutzer installieren oder Brute-Force-Angriffe durchführen, indem sie Skripte oder Bots ausführen, die potenzielle Passwörter generieren und testen, bis eines funktioniert.

Andere Wissensfaktoren stellen keine größere Herausforderung dar. Antworten auf einige Sicherheitsfragen – z. B. „Wie lautet der Mädchenname Ihrer Mutter?“ – können leicht durch einfache Nachforschungen oder Social-Engineering-Angriffe geknackt werden, bei denen Hacker die Nutzer zur Preisgabe persönlicher Informationen verleiten. Andere Sicherheitsfragen – z. B. „Wo haben Sie Ihre Flitterwochen verbracht?“ – sind relativ einfach zu erraten. Es ist nicht verwunderlich, dass kompromittierte Anmeldedaten im Jahr 2021 der am häufigsten genutzte erste Angriffsvektor waren und 20 Prozent aller Datenschutzverletzungen ausmachten.

Es ist erwähnenswert, dass die immer noch übliche Praxis, ein Passwort und eine Sicherheitsfrage zu verlangen  – zwei Wissensfaktoren – nicht 2FA ist. Es ist eine Zwei-Schritt-Verifizierung. Echte 2FA erfordert zwei verschiedene Arten von Authentifizierungsfaktoren.

Besitzfaktoren: Etwas, das der Benutzer hat

Besitzfaktoren sind physische Gegenstände, die der Benutzer bei sich trägt und die die für die Authentifizierung erforderlichen Informationen enthalten. Es gibt zwei Arten von Besitzfaktoren: Software-Token und Hardware-Token.

Heutzutage sind die meisten Software-Tokens Einmalpasswörter (OTPs)  – zeitlich begrenzte 4- bis 8-stellige Passwörter, die per SMS (oder E-Mail oder Sprachnachricht) an das Telefon des Benutzers gesendet oder von einer auf dem Telefon installierten Authentifizierungs-App generiert werden. Authentifizierungs-Apps können Token ohne Internet- oder Mobilfunkverbindung generieren. Der Benutzer koppelt die App mit Konten, indem er QR-Codes scannt, die von den Dienstanbietern angezeigt werden. Die App generiert dann kontinuierlich zeitbasierte Einmalpasswörter OTPs (TOTPs) oder andere Software-Tokens für jedes Konto, in der Regel alle 30-60 Sekunden. Zu den am häufigsten verwendeten Authentifizierungs-Apps gehören Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator und Duo, das Push-Benachrichtigungen anstelle von TOTPs verwendet.

Hardware-Tokens sind spezielle Geräte – Anhänger, ID-Karten, Dongles –,  die als Sicherheitsschlüssel fungieren. Einige Hardware-Tokens werden an den USB-Anschluss eines Computers angeschlossen und übertragen Authentifizierungsinformationen an die Anmeldeseite; andere generieren Sicherheitscodes, die der Benutzer nach Aufforderung manuell eingeben muss.

Besitzfaktoren bieten gegenüber Wissensfaktoren mehrere Vorteile. Um sich als Benutzer auszugeben, muss ein Hacker zum Zeitpunkt der Anmeldung das physische Gerät in der Hand haben oder die Übertragung zum Gerät abfangen, um das OTP oder TOTP zu erhalten, bevor es abläuft.

Aber Besitzfaktoren sind nicht unknackbar. Physische Token und Smartphones können gestohlen oder verlegt werden. OTPs und TOTPs sind zwar schwieriger zu stehlen als herkömmliche Passwörter, aber sie sind immer noch anfällig für raffinierte Phishing- oder Man-in-the-Middle-Angriffe. Und OTPs sind anfällig für SIM-Klonen – das Erstellen eines funktionalen Duplikats der SIM-Karte des Smartphones des Betroffenen.

Inhärente Faktoren: Etwas Einzigartiges für den Benutzer als Person

Inhärente Faktoren, auch Biometrie genannt, sind physische Merkmale oder Eigenschaften, die dem Benutzer eigen sind – ein Fingerabdruck, eine Stimme, Gesichtszüge oder Iris- und Netzhautmuster. Heutzutage können viele mobile Geräte mit Fingerabdrücken oder Gesichtserkennung entsperrt werden. Einige Computer können Fingerabdrücke verwenden, um Kennwörter in Websites oder Anwendungen einzugeben.

Inhärente Faktoren sind die am schwierigsten zu knackenden Faktoren: Sie können nicht vergessen, verloren oder verlegt werden, und sie sind außerordentlich schwer zu replizieren. Aber das bedeutet nicht, dass sie absolut sicher sind. Wenn inhärente Faktoren in einer Datenbank gespeichert sind, können sie gestohlen werden. Beispielsweise wurde 2019 eine biometrische Datenbank mit den Fingerabdrücken von 1 Million Benutzern gehackt. Theoretisch könnten Hacker diese Fingerabdrücke stehlen oder ihre eigenen Fingerabdrücke mit dem Profil eines anderen Benutzers in der Datenbank verknüpfen.

Wenn biometrische Daten kompromittiert werden, können sie nicht schnell oder einfach geändert werden, was es für die Betroffenen schwierig machen kann, laufende Angriffe zu stoppen.

Verhaltensfaktoren: Etwas, das der Benutzer tut

Verhaltensfaktoren sind digitale Artefakte, die die Identität eines Benutzers anhand von Verhaltensmustern überprüfen. Beispiele hierfür sind ein IP-Adressbereich oder die Standortdaten, die das Gebiet angeben, von dem aus sich ein Benutzer normalerweise bei einer Anwendung anmeldet.

Verhaltensauthentifizierungslösungen verwenden künstliche Intelligenz, um eine Baseline für die normalen Verhaltensmuster von Benutzern zu bestimmen und dann anomale Aktivitäten zu kennzeichnen, z. B. das Anmelden von einem neuen Gerät, einer neuen Telefonnummer, einem neuen Webbrowser oder einem neuen Standort. Einige 2FA-Implementierungen nutzen verhaltensbasierte Faktoren, indem sie es den Benutzern ermöglichen, vertrauenswürdige Geräte als Authentifizierungsfaktoren zu registrieren. Während der Benutzer bei der ersten Anmeldung möglicherweise zwei Faktoren manuell eingeben muss, wird die Verwendung des vertrauenswürdigen Geräts in Zukunft automatisch als zweiter Faktor fungieren.

Verhaltensfaktoren werden häufig bei der adaptiven Authentifizierung verwendet, die auch als „risikobasierte Authentifizierung“ bezeichnet wird. Hierbei ändern sich die Authentifizierungsanforderungen, wenn sich das Risiko ändert, z. B. wenn ein Benutzer versucht, sich von einem nicht vertrauenswürdigen Gerät aus anzumelden, wenn er zum ersten Mal auf eine Anwendung zugreift oder wenn er versucht, auf besonders sensible Daten zuzugreifen. Adaptive Authentifizierungsschemata erlauben es Systemadministratoren in der Regel, separate Authentifizierungsrichtlinien für jede Art von Benutzer oder Rolle festzulegen. Benutzer mit geringem Risiko benötigen möglicherweise nur zwei Faktoren, um sich anzumelden, während Benutzer mit hohem Risiko – oder hochsensible Apps – möglicherweise drei oder mehr Faktoren benötigen.

Während Verhaltensfaktoren eine ausgeklügelte Methode zur Authentifizierung von Benutzern bieten, erfordern sie erhebliche Ressourcen und Fachwissen, um sie bereitzustellen. Wenn ein Hacker Zugriff auf ein vertrauenswürdiges Gerät erhält, kann er es außerdem als Faktor für die Verhaltensauthentifizierung verwenden.

Da kompromittierte Wissensfaktoren der häufigste Ausgangsvektor bei Cybersecurity-Verletzungen sind, erforschen viele Unternehmen die passwortlose  Authentifizierung – eine Authentifizierung, die sich auf Besitz, inhärente und verhaltensbezogene Faktoren stützt, um Identitäten zu verifizieren. Die passwortlose Authentifizierung verringert die Anfälligkeit für Angriffe, die auf Passwörter abzielen, wie z. B. Phishing-Angriffe und Credential Stuffing, bei dem Hacker von einem System gestohlene Anmeldedaten verwenden, um Zugang zu einem anderen zu erhalten.

Während die meisten aktuellen 2FA-Methoden Passwörter verwenden, erwarten Branchenexperten eine zunehmend passwortlose Zukunft, da immer mehr Organisationen sich von diesem weithin als schwächstes Glied in der Identitätsüberprüfungskette geltenden Verfahren abwenden. Dies wird wahrscheinlich die Einführung von passwortlosen 2FA-Systemen vorantreiben, bei denen Benutzer zwei verschiedene Arten von Authentifizierungsnachweisen ohne Wissensfaktor angeben müssen. Eine passwortlose 2FA-Konfiguration wäre beispielsweise, wenn ein Benutzer einen Fingerabdruck und ein physisches Token angeben müsste.

Als Reaktion auf die steigende Zahl von Cyberangriffen verlangen viele Regierungs- und Industrievorschriften nun MFA für Systeme, die mit sensiblen Daten umgehen. Beispielsweise:

• Der Internal Revenue Service (IRS) hat MFA für Anbieter von Online-Steuererstellungssystemen im Jahr 2020 vorgeschrieben.
• Die Exekutivverordnung von Präsident Biden von 2021 zur Verbesserung der Cybersicherheit der Nation machte MFA zu einer Anforderung für alle Bundesbehörden. Ein Folgememorandum verlangt, dass alle Systeme der nationalen Sicherheit, des Verteidigungsministeriums und Geheimdienste MFA bis zum 18. August 2022 implementieren.
• Der Payment Card Industry Data Security Standard (PCI-DSS) fordert ausdrücklich MFA für Systeme, die Kreditkarten- und Zahlungskartendaten verarbeiten.

Zwei-Faktor-Authentifizierungsmethoden erfüllen das Mindestmaß an Übereinstimmung mit diesen und anderen Vorschriften. Viele andere Vorschriften, darunter der Sarbanes-Oxley Act (SOX) und der HIPAA, empfehlen dringend die Verwendung von mindestens 2FA als Mittel zur Einhaltung der Vorschriften.

Single Sign-On (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, über einen Satz Anmeldedaten auf mehrere verwandte Anwendungen und Dienste zuzugreifen. Der Benutzer meldet sich einmal an, und eine SSO-Lösung authentifiziert seine Identität und generiert ein Sitzungsauthentifizierungstoken. Dieses Token fungiert als Sicherheitsschlüssel des Benutzers für verschiedene miteinander verbundene Anwendungen und Datenbanken.

Um das Risiko zu vermindern, sich auf einen einzigen Satz von Anmeldedaten für mehrere Anwendungen zu verlassen, aktivieren Unternehmen häufig 2FA für SSO-Anmeldungen. Dies bietet eine zusätzliche Sicherheitsebene, da zwei verschiedene Authentifizierungsfaktoren erforderlich sind, bevor ein Benutzer auf die SSO-Sitzung zugreifen kann.

Unternehmen können eine adaptive Authentifizierung für SSO implementieren, bei der 2FA für die erste Anmeldung und den Zugriff auf weniger sensible Anwendungen und Inhalte kombiniert wird und zusätzliche Authentifizierungsfaktoren erforderlich sind, wenn der Benutzer versucht, auf sensiblere Daten zuzugreifen oder ein anormales Verhalten zeigt (z. B. wenn er versucht, eine Verbindung über ein nicht erkanntes VPN herzustellen). Dies ist besonders in Zero-Trust-Cybersicherheitsarchitekturen üblich, bei denen die Identität eines Benutzers niemals vertrauenswürdig ist und immer überprüft wird, während sich der Benutzer im Netzwerk bewegt.