Zwei-Faktor-Authentisierung
Mehr Sicherheit für Online-Konten und vernetzte Geräte
Mittlerweile bieten viele Online-Dienstleister Verfahren an, mit denen die Nutzerin oder der Nutzer sich zusätzlich bzw. alternativ zur Passworteingabe identifizieren können, wenn sie sich in ein Konto einloggen. Diese sogenannte Zwei-Faktor-Authentisierung (2FA) gibt es in zahlreichen Varianten. Einige ergänzen das zuvor eingegebene Passwort um einen zusätzlichen Faktor, andere ersetzen das vorherige Login mit Passwort komplett durch eine direkte Kombination zweier Faktoren. Dabei bieten vor allem hardwaregestützte Verfahren ein hohes Maß an Sicherheit und sollten ergänzend (beziehungsweise ersetzend) zu einem starken Passwort genutzt werden.
Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT-Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.
Wie funktioniert ein Login mit einem zweiten Faktor?
Eine Authentisierung mittels mehrerer Faktoren beginnt in vielen Fällen mit der gewöhnlichen Eingabe eines guten Passworts. Das System, in das sich Nutzerin oder Nutzer einloggen möchten, bestätigt daraufhin die Richtigkeit des eingegebenen Kennworts. Dies führt jedoch nicht - wie bei einfachen Systemen üblich - direkt zum gewünschten Inhalt, sondern zu einer weiteren Schranke. Auf diesem Weg wird verhindert, dass unbefugte Dritte Zugang zu Nutzerdaten oder Funktionen erhalten, nur weil sie in den Besitz des Passworts gelangt sind.
Alle Informationen zum zweiten Faktor im Erklärfilm:
Viele übliche Zwei-Faktor-Systeme greifen nach der Passwortabfrage auf externe Systeme zurück, um eine zweistufige Überprüfung der Nutzerin oder des Nutzers durchzuführen. Das kann bedeuten, dass der Anbieter, bei dem Sie sich anmelden möchten, einen Bestätigungscode an ein weiteres Ihrer Geräte sendet, z. B. Ihr Smartphone. Der zweite Faktor kann allerdings auch Ihr Fingerabdruck auf einem entsprechenden Sensor oder die Verwendung eines USB-Tokens oder einer Chipkarte sein. Erst wenn sich auch dieses Mittel zur Identitätsbestätigung in Ihrem Besitz befindet, sind Sie in der Lage, die angeforderten Inhalte aufzurufen und den Online-Dienst oder das Gerät zu benutzen.
Dr. Niels Räth vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Video-Interview zum Thema Zwei-Faktor-Authentisierung:
Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, d.h. eine Kombination aus Wissen (z.B. Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) verwendet wird.
Statt der mehrstufigen Überprüfung verschiedener Faktoren hintereinander durch den Diensteanbieter, kombinieren einige Verfahren auch mehrere Faktoren direkt miteinander. Beispielsweise kann bei der Online-Ausweisfunktion des Personalausweises der Faktor "Besitz Chipkarte" nur zusammen mit dem Faktor "Wissen PIN" eingesetzt werden. Erst mit Beidem in Kombination findet eine Authentisierung beim Diensteanbieter statt. Dies bietet noch größere Sicherheit als die sequentielle Prüfung eines Passwortes und eines separaten zweiten Faktors.
Was sind gängige Systeme zur Zwei-Faktor-Authentisierung?
Grundsätzlich erhöht ein zweiter Faktor zwar immer die Sicherheit, es kommt dabei aber auch auf die Art der Umsetzung und Verwendung des zweiten Faktors an. Es lassen sich im Wesentlichen folgende Gruppen von Verfahren zur Zwei-Faktor-Authentisierung unterscheiden:
TAN/OTP-Systeme als zweiter Faktor nach einem Passwort: Eine TAN bzw. ein OTP ist ein Einmalkennwort, das als zweiter Faktor übermittelt werden kann. In der Vergangenheit wurden TANs vorab auf Papierlisten (iTAN) bereitgestellt. Dieses Verfahren gilt jedoch seit geraumer Zeit als nicht mehr sicher genug. Besser sind TAN-Generatoren (Hardware) bzw. Authenticator Apps (Software), die Einmalkennwörter zeit- oder ereignisbasiert stets neu generieren. Noch sicherer sind TAN-Generatoren, die in die Erzeugung der TAN auch Daten aus der Transaktion (z.B. Kontonummer und Betrag) einbeziehen (eTAN, chipTAN).
Alternativ wird die TAN der Benutzerin oder dem Benutzer vom Diensteanbieter auf einem anderen Übermittlungsweg bzw. an ein anderes Endgerät übermittelt. Gängig ist hier vor allem die Übermittlung per SMS (mTAN, smsTAN) ggf. mit Angabe zusätzlicher Transaktionsinformationen. Es ist jedoch davon abzuraten, für den Empfang der mTAN dasselbe Gerät zu verwenden wie für das Login bzw. die Nutzung des Dienstes (keine ausreichende Trennung der Faktoren).
Kryptographische Token: Ein kryptographisches Token speichert einen privaten kryptographischen Schlüssel. Die Authentisierung erfolgt durch das Senden einer Anforderung an das Token, die das Token nur mithilfe des privaten Schlüssels korrekt beantworten kann.
Der Schlüssel kann als Softwarezertifikat gespeichert werden (bekannt von ELSTER), sicherer ist aber die Speicherung in Hardware auf einer Chipkarte (HBCI, Signaturkarten) oder einem speziellen USB-Stick/NFC-Token (FIDO/U2F). Auch der Personalausweis und der elektronische Aufenthaltstitel enthalten einen sicheren Schlüsselspeicher und ermöglichen damit die Online-Ausweisfunktion.
Biometrische Systeme: Bei biometrischen Systemen wird das Vorhandensein eines zuvor erfassten einzigartigen körperlichen Merkmals überprüft (Fingerabdruck, Gesicht, Retina). Biometrische Merkmale sind im Normalfall nicht "geheim", sodass eine Lebenderkennung wichtig ist, damit die Systeme nicht z.B. mit einem Foto ausgetrickst werden können.
Was ist der Unterschied zwischen Authentisierung und Authentifizierung?
Die Begriffe Authentisierung und Authentifizierung werden im allgemeinen Sprachgebrauch oft synonym verwendet, beschreiben aber verschiedene Teilprozesse z.B. eines Anmeldevorgangs. Ein Benutzer AUTHENTISIERT sich an einem System mittels eindeutiger Anmeldeinformationen (z.B. Passwort oder Chipkarte). Das System überprüft daraufhin die Gültigkeit der verwendeten Daten, es AUTHENTIFIZIERT die Nutzerin oder den Nutzer.
Wo kommen diese Sicherheitsverfahren zum Einsatz?
Anwendung findet Mehrfaktor-Authentisierung in unterschiedlichen Anwendungsfällen. Hier ein paar Beispiele:
- Online-Banking: Anmeldung mit Passwort und Bestätigung von Transaktionen zusätzlich mit TAN via mTAN oder pushTAN, alternativ auch kartenbasierte Systeme wie chipTAN oder HBCI.
- Debit- oder Kreditkartenzahlung: Der Chip in der Karte zeigt den Besitz an und das Wissen der PIN legitimiert den Vorgang.
- Online-Ausweisfunktion des Personalausweises: Zur Datenübermittlung muss der Chip im Ausweis durch Eingabe der PIN zunächst freigegeben werden. Zusätzlich findet eine gegenseitige Authentisierung zwischen Ausweis und Diensteanbieter statt und die ausgelesenen Daten werden Ende-zu-Ende-verschlüsselt zum Diensteanbieter übertragen.
- Cloud- oder E-Mail-Anbieter, Social Media Plattformen: Sicherer Login mit Passwort und mTAN oder einem OTP aus einer Authenticator-App, alternativ auch hardwarebasiert mit einem U2F/FIDO-Token.
- Steuererklärung: Mit ELSTER kann die Steuererklärung digital eingereicht werden, die Anmeldung erfolgt mit einem passwortgeschützten Softwarezertifikat oder der Online-Ausweisfunktion des Personalausweises.
Bitte nicht: Die Zwei-Faktor-Authentisierung deaktivieren
Einen Online-Account ausreichend abzusichern, ist manchmal unbequem. Das BSI rät jedoch in jedem Fall davon ab, die Zwei-Faktor-Authentisierung zu deaktivieren. Sobald dies bei einem Online-Dienst möglich ist, sollte man sie anwenden. Gerade beim Online-Banking, dem Online-Shopping und bei Accounts mit weitreichenden Rechten und Möglichkeiten (z.B. E-Mail und Social Media) lohnt sich das Mehr an Sicherheit. Identitätsdiebstahl, fremde Accountübernahmen oder die Veröffentlichung sensibler Daten müssen also nicht sein.
Aktuelle Empfehlungen und Risiken
Empfehlungen:
- Wenden Sie eine Zwei-Faktor-Authentisierung an, sobald ein Online-Dienst dies ermöglicht.
- Viele Dienste haben die Funktion standardmäßig deaktiviert, bieten sie aber dennoch an. Eine Überprüfung der Login-Verfahren lohnt sich.
- Gelangt Ihr Passwort oder Ihre PIN in die falschen Hände, sind Ihre sensiblen Daten dennoch gut gesichert, wenn sie durch die weitere Barriere eines zweiten Faktors vor fremdem Zugriff abgeschirmt werden.
Nachteile:
- Eine Mehrfaktor-Authentisierung verlängert den Anmeldevorgang geringfügig. Auf vertrauenswürdigen Geräten kann sie zwar unter Umständen übersprungen werden, dies verringert aber die Sicherheit.
- Wenn Sie keinen Zugriff auf Ihren besitzbasierten Faktor mehr haben oder er kaputt geht, verlieren Sie in der Regel den Zugang zum entsprechenden Dienst oder seine Funktionalität wird eingeschränkt. Sorgen Sie für diesen Fall vor, indem Sie – wenn möglich – mehrere "zweite Faktoren" hinterlegen (z.B. ein weiteres Token, eine weitere TAN-App oder eine weitere Mobiltelefonnummer für mTAN).
Der Cybersicherheits-Lotse ist eine Orientierungshilfe für Verbraucherinnen und Verbraucher, die gezielt und über das Informations- und Beratungsangebot des BSI hinausgehend zu weiteren Akteuren im Digitalen Verbraucherschutz und deren Unterstützungsangeboten vermittelt. Wenn Sie uns Feedback zu unserem neuen Tool geben möchten, hier geht es zu einer kurzen Umfrage.
- Kurz-URL:
- https://www.bsi.bund.de/dok/509176