Veröffentlicht: 20. Dezember 2023
Mitwirkende: Matthew Kosinski, Amber Forrest
Die Zwei-Faktor-Authentifizierung (2FA) ist eine Methode zur Identitätsüberprüfung. Die Benutzer müssen zwei Nachweise erbringen, z. B. ein Passwort und einen einmaligen Passcode, um sich „auszuweisen“ und auf ein Online-Konto oder andere sensible Ressourcen zugreifen zu dürfen.
Die meisten Internetnutzer sind wahrscheinlich mit 2FA-Systemen vertraut, die SMS verwenden. Hierbei sendet eine App bei der Anmeldung einen numerischen Code an das Mobiltelefon des Benutzers. Der Benutzer muss dann neben seinem Passwort auch diesen Code eingeben, um fortzufahren. Es reicht nicht aus, nur das eine oder das andere einzugeben.
2FA ist die häufigste Form der Multi-Faktor-Authentifizierung (MFA), also einer Authentifizierung, bei der Benutzer mindestens zwei Identitätsnachweise erbringen müssen.
2FA ist weit verbreitet, weil es die Kontosicherheit erhöht. Benutzerpasswörter können leicht erraten oder gefälscht werden. 2FA bedeutet eine weitere Sicherheitsstufe, weil ein zweiter Identifizierungsfaktor angefordert wird. Hacker müssen nicht nur zwei Sätze von Zugangsdaten entwenden, um in ein System einzudringen: Der zweite Faktor ist oft schwer auszuspähen, wie ein Fingerabdruck oder ein zeitlich begrenzter Passcode.
Gewinnen Sie mit dem Index „IBM Security X-Force Threat Intelligence“ Einblicke, um sich schneller und effektiver auf Cyberangriffe vorzubereiten und auf sie zu reagieren.
Wenn ein Benutzer auf eine Ressource zugreifen möchte, die durch ein 2FA-Sicherheitssystem geschützt ist – zum Beispiel ein Unternehmensnetzwerk – fordert das System den Benutzer auf, den ersten Authentifizierungsfaktor einzugeben. Oft ist dieser erste Faktor eine Kombination aus Benutzername und Passwort.
Wenn der erste Faktor gültig ist, fragt das System nach einem zweiten. Beim zweiten Faktor gibt es tendenziell mehr Variationen. Es kann sich um zeitlich begrenzt gültige Codes, biometrische Daten und ähnliches handeln. Der Benutzer kann erst dann auf die Ressourcen zugreifen, wenn beide Faktoren verifiziert wurden.
Auch wenn man bei 2FA oft an ein Computersystem denkt, lassen sich damit auch physische Vermögenswerte und Standorte schützen. Ein Gebäude mit Zugangsbeschränkung könnte beispielsweise verlangen, dass man einen Ausweis vorzeigt und seinen Fingerabdruck scannt, um Zutritt zu erhalten.
Es gibt mehrere Arten von Faktoren für 2FA. Echte 2FA-Systeme verwenden zwei Faktoren jeweils unterschiedlicher Art. Dieses Vorgehen gilt als sicherer als zwei Faktoren derselben Art zu verwenden, da Hacker je nach Art des Faktors verschiedene Methoden brauchen, um sie zu knacken.
Das Passwort eines Benutzers kann beispielsweise gestohlen werden, indem Spyware auf dem Computer installiert wird. Diese Spyware könnte aber keine Einmalpasswörter auf dem Mobiltelefon des Benutzers ausspähen. Der Hacker müsste dann eine andere Möglichkeit finden, um diese Nachrichten abzufangen.
Bei den meisten 2FA-Implementierungen ist geheimes Wissen das erste Authentifizierungselement. Geheimes Wissen ist eine Information, die theoretisch nur der Benutzer kennt. Passwörter sind das am häufigsten genutzte geheime Wissen. Oft werden auch persönliche Identifikationsnummern (PIN) und Antworten auf Sicherheitsfragen verwendet.
Obwohl es so verbreitet ist, ist geheimes Wissen im Allgemeinen – und Passwörter im Besonderen – die anfälligste Art von Authentifizierungsfaktor. Hacker können Passwörter und anderes geheimes Wissen durch Phishing-Angriffe, das Installieren von Malware auf den Benutzergeräten oder Brute-Force-Angriffe ausspähen. Hierbei kommen Bots zum Einsatz, die potenzielle Passwörter für ein Konto generieren und so lange testen, bis eines funktioniert.
Auch andere Arten von geheimem Wissen stellen keine größere Herausforderung dar. Die Antworten auf viele Sicherheitsfragen – wie zum Beispiel die klassische Frage nach dem Mädchennamen der Mutter – lassen sich leicht durch einfache Nachforschungen oder Social-Engineering-Angriffe, wo der Benutzer zur Preisgabe personenbezogener Daten verleitet wird, knacken.
Das übliche Vorgehen, ein Passwort und eine Sicherheitsfrage zu verlangen, ist übrigens keine echte 2FA, weil dabei zwei Komponenten derselben Art verwendet werden, in diesem Fall zwei Instanzen von geheimem Wissen. Stattdessen ist es ein Beispiel für einen zweistufigen Verifizierungsprozess.
Eine zweistufige Verifizierung kann sicherer als nur ein Passwort sein, da zwei Komponenten erforderlich sind. Weil beide Komponenten jedoch dieselbe Art Authentifizierungsfaktor sind, lassen sie sich einfacher entwenden als echte 2FA-Faktoren.
Geheimnishütende Gegenstände sind Dinge, die jemand besitzt und mit denen er sich ausweisen kann. Die beiden häufigsten Arten von geheimnishütenden Gegenständen sind Software-Token und Hardware-Token.
Software-Token treten häufig als Einmalpasswörter (One-Time-Passwords, OTPs) in Erscheinung. OTPs sind 4- bis 8-stellige Passwörter zur einmaligen Verwendung, die nach einer bestimmten Zeit ablaufen. Software-Token können per SMS, E-Mail oder Sprachnachricht an das Mobiltelefon eines Benutzers gesendet oder von einer auf dem Gerät installierten Authenticator-App generiert werden.
In beiden Fällen dient das Gerät des Benutzers als geheimnishütender Gegenstand. Das 2FA-System geht davon aus, dass nur der legitime Benutzer Zugriff auf alle Informationen hat, die von diesem Gerät weitergeleitet oder generiert werden.
SMS-basierte OTPs gehören zwar zu den benutzerfreundlichsten geheimnishütenden Gegenständen, sind aber auch am unsichersten. Die Benutzer benötigen eine Internet- oder Mobilfunkverbindung, um diese Codes zu erhalten, und Hacker können sie durch raffinierte Phishing- oder Man-in-the-Middle-Angriffe entwenden. Außerdem sind OTPs anfällig für das SIM-Klonen: Hierbei erstellen Kriminelle ein funktionierendes Duplikat der SIM-Karte des Smartphones des Opfers, um SMS abzufangen.
Authenticator-Apps können Token ohne Netzwerkverbindung generieren. Der Benutzer koppelt die App mit seinen Konten, und die App verwendet einen Algorithmus, um kontinuierlich zeitbasierte Einmalpasswörter (Time Based One Time Passwords, TOTPs) zu generieren. Jedes TOTP läuft nach 30 bis 60 Sekunden ab, was einen Diebstahl erschwert. Einige Authenticator-Apps setzen auf Push-Benachrichtigungen statt TOTPs. Will sich ein Benutzer an einem Konto anmelden, sendet die App eine Push-Benachrichtigung an sein Mobiltelefon, auf die er tippen muss, um den Versuch als legitim zu bestätigen.
Zu den gängigsten Authenticator-Apps gehören Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator und Duo. Diese Apps sind zwar schwerer zu knacken als SMS, aber auch nicht unfehlbar. Hacker können TOTPs mithilfe spezieller Malware direkt von Authenticator-Apps1 entwenden oder einen MFA-Fatigue-Angriff starten: Hier wird ein Gerät mit betrügerischen Push-Benachrichtigungen überflutet, in der Hoffnung, dass das Opfer eine von ihnen versehentlich bestätigt.
Hardware-Token sind dedizierte Geräte – elektronische Türöffner/-schließer, ID-Karten, Dongles – die als Sicherheitsschlüssel fungieren. Einige Hardware-Token werden an den USB-Anschluss eines Computers angeschlossen und übertragen Authentifizierungsinformationen an die Anmeldeseite. Andere generieren Bestätigungscodes, die der Benutzer auf Aufforderung manuell eingeben muss.
Hardware-Token sind zwar extrem schwer zu hacken, können aber physisch entwendet werden – ebenso wie ein mobiles Benutzergerät mit Software-Token. Laut dem IBM Bericht Die Kosten einer Datenschutzverletzung sind verloren gegangene und gestohlene Geräte sogar mit 6 % an Datenschutzverletzungen beteiligt.
Diese so genannten „inhärenten“ Faktoren sind körperliche Merkmale oder Eigenschaften, die den Benutzer unverwechselbar machen, z. B. Fingerabdrücke, Gesichtszüge und Netzhautmuster. Viele moderne Smartphones und Laptops besitzen eine integrierte Gesichtserkennung und Fingerabdruckleser, und viele Anwendungen und Websites können diese biometrischen Daten als Authentifizierungsfaktor verwenden.
Obwohl biometrische Charakteristika am schwierigsten zu knacken sind, kann ihre Ausspähung verheerende Folgen haben. Im Jahr 2019 wurde eine biometrische Datenbank mit 1 Million Fingerabdrücken gehackt.2 Theoretisch könnten Hacker diese Fingerabdrücke entwenden oder den eigenen Fingerabdruck mit dem Profil eines anderen Benutzers in der Datenbank verknüpfen.
Die Fortschritte bei der Generierung von KI-Bildern geben Cybersicherheitsexperten Anlass zur Sorge, dass Hacker mithilfe dieser Tools Gesichtserkennungssoftware täuschen können.
Wenn biometrische Daten kompromittiert werden, können sie weder schnell noch einfach geändert werden; das macht es schwierig, einen laufenden Angriff zu stoppen.
Verhaltensfaktoren sind digitale Artefakte, die die Identität eines Benutzers anhand von Verhaltensmustern überprüfen. Beispiele hierfür sind der typische IP-Adressbereich eines Benutzers, der übliche Standort und die durchschnittliche Tippgeschwindigkeit.
Verhaltensbasierte Authentifizierungssysteme arbeiten mit künstlicher Intelligenz, um einen Ausgangswert für das normale Verhaltensmuster des Benutzers zu ermitteln und anomale Aktivitäten, zum Beispiel die Anmeldung über ein neues Gerät, eine neue Telefonnummer oder einen neuen Standort, zu erkennen. Auf manchen 2FA-Systeme können Benutzer als Verhaltensfaktoren vertrauenswürdige Geräte zur Authentifizierung registrieren. Zwar muss der Benutzer bei der ersten Anmeldung zwei Faktoren angeben, doch die Verwendung des vertrauenswürdigen Geräts wird in Zukunft automatisch als zweiter Faktor akzeptiert.
Verhaltensfaktoren spielen auch bei adaptiven Authentifizierungssystemen eine Rolle, die ihre Anforderungen je nach Risikoniveau ändern. Beispiel: Ein Benutzer benötigt nur ein Passwort, um sich über ein vertrauenswürdiges Gerät im Unternehmensnetzwerk an einer App anzumelden. Er muss aber möglicherweise einen zweiten Faktor hinzufügen, wenn er sich über ein neues Gerät oder ein unbekanntes Netzwerk anmelden möchte.
Verhaltensfaktoren sind zwar eine elegante Möglichkeit, um einen Endbenutzern zu authentifizieren, erfordern bei der Bereitstellung jedoch erhebliche Ressourcen und Fachkenntnisse. Dazu kommt, dass ein Hacker den Benutzer imitieren kann, wenn er Zugriff auf ein vertrauenswürdiges Gerät erhält.
Da geheimes Wissen so leicht zu kompromittieren ist, probieren viele Unternehmen passwortlose Authentifizierungssysteme aus, die nur geheimnishütende Gegenstände, biometrische Charakteristika und Verhaltensfaktoren akzeptieren. Muss sich ein Benutzer beispielsweise mit einem Fingerabdruck und einem physischen Token authentifizieren, handelt es sich um passwortlose 2FA.
Zwar verwenden die meisten aktuellen 2FA-Methoden Passwörter, doch Branchenexperten rechnen damit, dass passwortlose Verfahren in Zukunft immer häufiger genutzt werden. Wichtige Technologieanbieter wie Google, Apple, IBM und Microsoft führen bereits passwortlose Authentifizierungsoptionen ein.3
Laut dem IBM Bericht Die Kosten einer Datenschutzverletzung gehören Phishing und kompromittierte Anmeldeinformationen zu den häufigsten Vektoren für Cyberangriffe. Zusammen machen sie 31 Prozent der Datenschutzverletzungen aus. Beide Vektoren setzen mehrheitlich auf das Entwenden von Passwörtern, mit denen dann rechtmäßige Konten und Geräte übernommen werden, um Schaden anzurichten.
Hacker zielen in der Regel auf Passwörter ab, weil sie durch Brute-Force-Angriffe oder Täuschung ziemlich leicht auszuspähen sind. Da Passwörter oft wiederverwendet werden, reicht in vielen Fällen ein einziges gestohlenes Passwort, um in mehrere Konten einzudringen. Die Folgen eines entwendeten Passworts können für Benutzer und Unternehmen schwerwiegend sein und zu Identitätsdiebstahl, finanziellen Verlusten, Systemsabotage und mehr führen.
Durch die zusätzliche Sicherheitsebene trägt 2FA zur Abwehr unbefugter Zugriffe bei. Auch wenn beispielsweise das Passwort entwendet wurde, so fehlt noch der zweite Faktor, um ein Konto zu hacken. Außerdem ist es in der Regel schwieriger, an den zweiten Faktor zu gelangen als an geheimes Wissen. Hacker müssten dafür biometrische Daten fälschen, Verhaltensweisen nachahmen oder physische Geräte stehlen.
Zwei-Faktor-Authentifizierungsmethoden können auch zur Einhaltung von Konformitätsauflagen beitragen. Zum Beispiel erfordert der Payment Card Industry Data Security Standard (PCI-DSS) ausdrücklich MFA für Systeme, die Kreditkartendaten verarbeiten.4 Andere Vorschriften wie der Sarbanes-Oxley (SOX) Act und die Datenschutz-Grundverordnung (DSGVO) erfordern nicht ausdrücklich 2FA. Unternehmen können mit 2FA jedoch die strengen Sicherheitsstandards dieser Gesetze einhalten.
Es gab Fälle, in denen Unternehmen aufgrund von Datenschutzverletzungen gezwungen waren, eine Multi-Faktor-Authentifizierung einzuführen. So ordnete die Federal Trade Commission 2023 an, dass der Online-Alkoholhändler Drizly nach einer Sicherheitsverletzung, von der 2,5 Millionen Kunden betroffen waren, MFA einführen musste.5
Ergänzen Sie Entscheidungen darüber, welche Benutzer Zugriff auf die Daten und Anwendungen Ihres Unternehmens haben sollen, mit umfassendem Kontext, Informationen und Sicherheit – ganz gleich ob On-Premises oder in der Cloud.
Ergänzen Sie Cloud IAM mit umfassendem Kontext, um risikobasiert zu authentifizieren. Bieten Sie Kunden und Mitarbeitern einen reibungslosen, sicheren Zugang – mit den cloudbasierten IAM-Lösungen von IBM Security Verify.
Verlassen Sie sich nicht länger ausschließlich auf Basisauthentifizierung, sondern wählen Sie aus Optionen für Authentifizierung ohne Kennwort und Multi-Faktor-Authentifizierung.
IAM gehört zum Bereich Cybersicherheit und befasst sich mit der Verwaltung von Benutzeridentitäten und Zugriffsberechtigungen in einem Computernetzwerk.
MFA ist eine Methode zur Identitätsüberprüfung, bei der Benutzer mindestens zwei Nachweise erbringen müssen, um ihre Identität zu belegen.
Der Bericht „Cost of a Data Breach“ bereitet Sie auf den Fall der Fälle vor und macht Sie mit den Ursachen von Sicherheitsverletzungen und den Faktoren vertraut, die Ihre Kosten steigern oder senken.
Fußnoten
Alle Links befinden sich außerhalb von ibm.com
1 Android malware can steal Google Authenticator 2FA codes, ZDNET, 26. Februar 2020
2 '1m fingerprint' data leak raises doubts over biometric security, ScienceDirect, September 2019
3 You no longer need a password to sign in to your Google account, The Verge, 3. Mai 2023
4 PCI DSS: v4.0, Security Standards Council, März 2022
5 In the Matter of Drizly, LLC, Federal Trade Commission, 10. Januar 2023