Zwei-Faktor-Authentifizierung / -Autorisierung

Mit Zwei-Faktor-Authentifizierung (2FA) sichert man seine eigene digitale Identität. Zwei-Faktor-Authentifizierung schützt vor Identitätsdiebstahl.

Funktionsweise

Die Zwei-Faktor-Authentifizierung (2FA), auch Zwei-Faktor-Authentisierung genannt, ist eine starke Authentifizierungsmethode und beispielsweise beim Mobile Banking laut Experten die sicherste Variante. Sie zeichnet sich dadurch aus, dass man als Benutzer oder Anwender mindestens zwei der drei Faktoren (Komponenten) Besitz, Wissen oder Biometrie benötigt, um sich gegenüber dem IT-System ("Dienst") auszuweisen (Authentisierung: der Identitätsnachweis seitens des Nutzers) und auf sein Benutzerkonto zuzugreifen zu können (Login) oder um eine Transaktion zu autorisieren:

Faktor	Beispiel
Besitz	ein Smartphone mit einer Authentifizierungs-App, die bereits zuvor für den genutzten Dienst (z.B. Banking oder E-Mail) registriert (i.e. eingerichtet) wurde ein TAN-Generator / Chip-TAN-Gerät: das ist ein kleines Zusatzgerät, über das jede Transaktion bestätigt / autorisiert wird. Hierzu muss keine TAN mehr eingetippt werden; es genügt, die im Display angezeigten Überweisungsdaten zu prüfen und dann mittels des "OK"-Buttons zu bestätigen. Ein TAN-Generator / Chip-TAN-Gerät wird per USB oder Blootooth mit dem PC bzw. Smartphone verbunden. !GiroCard oder Kreditkarte
Wissen	Passwort PIN
biometrisches Merkmal	Fingerabdruck Iris-Scan Foto des Gesichts

Die Absicherung mit dem zusätzlichen zweiten Faktor (z.B. via Authy-App) musst du man bei jedem zu schützenden Online-Dienst einzeln einrichten. Aber dann sind diese Dienste auch für den Fall geschützt, dass dein Passwort mal in fremde Hände gerät.

Beispiele

Typische Beispiele für Zwei-Faktor-Authentifizierung sind etwa:

• GiroCard / Kreditkarte plus PIN am Geldautomaten,
• schule.hessen.de - E-Mail-Adresse: Passwort + 6-stelliges Einmal-Passwort (OTP) über eine Authentikator-App,
• Fingerabdruck plus Zugangscode in Gebäuden,
• Benutzername/Passwort plus TAN beim Online-Banking.
• Passwort-Manager (z.B. Keepass): Passwort + eine Schlüsseldatei auf dem USB-Stick

Vorsicht!

• Authentifizierungs-Verfahren, die bloß auf einer SMS oder einem Anruf auf das Mobiltelefon basieren, sind nicht sicher, vgl. SIM-Swapping. Diese Möglichkeit wird beim (veralteten) Mobile TAN-Verfahren im Online-Banking genutzt oder zum Zurücksetzen des Passworts bei Online-Diensten wie Instagram, Facebook und vielen E-Mail-Anbietern angeboten. 2FA über SMS oder Anruf ist besser als kein 2FA, aber es ist die schwächste Form von 2FA.
• Wenn man sich nicht schon in dem Moment, in dem man ein Konto per 2FA sichert, Gedanken darüber macht, wie man im Fall des Falles (z.B. Handy verloren oder gestohlen) wieder an seine Daten kommt, läuft man Gefahr, dauerhaft von seinen 2FA-gesicherten Konten ausgesperrt zu werden. Daher: hinterlege mehrere "zweite Faktoren", z.B. ein weiteres Token (i.e. Besitz bzw. Gerät), eine weitere Authenticator-App oder eine weitere Mobiltelefonnummer.

TOTP-basierte Authentifizierungsverfahren

Ein TOTP-basiertes Authentifizierungsverfahren stützt sich auf gemeinsames Geheimnis (in der Regel eine Datei), das der Authentifizierungsserver (z.B. der Mail-Server) auf Seiten des Dienstes bei der Einrichtung bzw. Registrierung erzeugt und an die Authentifizierungs-App auf dem Gerät des Benutzers (z.B. Twilio Authy oder Google Authenticator) sendet. Die Authentifizierungs-App speichert (für jeden auf diese Art gesicherten Dienst) ein solches Geheimnis. Bei Bedarf generiert die Authentifizierungs-App nun auf Basis des Geheimnisses, der aktuellen Uhrzeit sowie eines Zählers ein Einmal-Passwort (TOTP = time based one-time password), das der Benutzer - zusätzlich zu Benutzernamen und Kennwort - eingeben muss, um sich gegenüber dem Dienst zu authentisieren. Der Authentifizierungsserver des Dienstes kann das TOTP auf dieselbe Weise generieren und damit prüfen. Ein Einmal-Passwort (TOTP) ist nur kurze Zeit (z.B. 30 Sekunden) gültig. Das Geheimnis selbst wird bei diesem Vorgang nicht preisgegeben, weil es nicht übermittelt wird. Es verbleibt auf dem Gerät, auf dem die Authentifizierungs-App installiert ist (bzw. auf dem Hardware-Token beim YubiKey).

Gegen Man-in-the-Middle-Angriffe schützen TOTP-basierte Authentifizierungsverfahren nicht.

Authenticator-Apps für TOTP

Die bekanntesten TOTP-Apps, um Konten über 2FA abzusichern, sind Google Authenticator und Microsoft Authenticator. Beide haben jedoch Nachteile und Sicherheits-Issues.

	Yubico Authenticator	verfügbar für: Android, iOS, Windows, Mac, Linux	Mehr Sicherheit als die Authenticators von Microsoft oder Google bietet der Yubico Authenticator. Diese Authenticator-App für iOS und Android kannst du überall dort benützen, wo du Authenticators von Microsoft oder Google benützt, außer dass du zusätzlich ein Stück Hardware, ein Hardware-Token in der Größe eines USB-Sticks, benötigst: den YubiKey. Der YubiKey 5 NFC ist gemacht für den mobilen und den Desktop-Einsatz: Yubico bietet hierzu eine App für Android und iOS (berührungslos via NFC-Schnittstelle: einfach an dein NFC-fähiges Handy dranhalten) und eine für Windows- / Mac- / Linux-Computer (per USB-Schnittstelle). Die Vorteile sind: Hardware-gestützte Sicherheit: deine 2FA-Geheimnisse sind auf dem externen Hardware-Token sicherer gespeichert als auf deinem Mobiltelefon. Sie können aus dem YubiKey auch nicht ausgelesen werden. Cross-Plattform: da die 2FA-Geheimnisse auf dem Hardware-Token (und nicht auf dem Handy) gespeichert sind, kann man sie sowohl auf dem Smartphone wie am Desktop benützen. Übertragbarkeit: im Fall, dass dein Handy gestohlen oder kompromittiert wurde oder du schlicht auf ein neues Handy wechseln willst, nimmst du alle 2FA-Geheimnisse mit: einfach die App auf dem neuen Gerät installieren und den bestehenden YubiKey 5 weiterverwenden. Die Yubico-Windows-Authenticator sieht aus wie jeder Authenticator: Tipp: man kann den YubiKey auch schlicht als zusätzlichen Sicherheitsschlüssel am PC - parallel zu und unabhängig von der Authenticator-App auf dem Handy - verwenden: falls das Handy mal abhanden gekommen ist, bleibt man arbeitsfähig am PC. Umgekehrt: falls der YubiKey selbst mal defekt sein sollte, ist man dann noch immer über die Authenticator-App auf dem Handy (sei es Google, Microsoft, Twilio oder eine andere) arbeitsfähig. Der YubiKey unterstützt U2F: manche Anbieter wie z.B. mail.de bieten zusätzlich ds U2F -Verfahren an: man muss dann bloß noch den YubiKey als "U2F (Universal Second Factor)" mit dem Finger berühren. Einen 6-stelligen Code muss man nicht mehr tippen (oder kopieren).
	Twilio Authy	verfügbar für: Android, iOS	Das Mobilgerät mit der 2FA-App, die du verwendest, wirst du irgendwann durch ein anderes ersetzen wollen (vielleicht sogar, weil es beschädigt oder gestohlen wurde). Die Informationen zu den Konten, für die du eine 2FA-Sicherung eingerichtet hast (also die Datenbank mit den Geheimnissen, die du mit jedem einzelnen der Dienste teilst) kann Twilio Authy - passwort-gesichert - sichern, um sie auf einem anderen Gerät (später) wieder herstellen zu können (Back-up). Dies erspart dir, bei jedem einzelnen Dienst die Notfall-Einstellungen zum Zurücksetzen der Zwei-Faktor-Authentifizierung durchzugehen. Authy selbst nutzt 3 Passwörter - die sollte man sich unbedingt notieren und sicher verwahren (am besten in seinem Passwort-Manager): ein Master-Passwort, das man bei der Anmeldung am ersten Gerät und bei der Registrierung jedes weiteren Geräts braucht; eine Sicherheits-PIN (for iOS and Android), um die App zu entsperren (falls das Handy mal in fremde Hände gelangt), ein Backup-Passwort - das die Synchronisierung über mehrere Geräte ermöglicht.
	Google Authenticator	verfügbar für: Android, BlackBerry, iOS	Zu empfehlen für Google-Produkte und -Dienste, wie z.B. GMail. Unterstützt PushUp (statt 6-stelliger PIN). Auch in der Version vom 12. Mai 2020 fehlt allerdings die Backup-Möglichkeit. Immerhin können Konten/Tokens jetzt auf ein anderes Gerät übertragen werden, jedoch nur per QR-Code - und der scheint manchmal zu streiken. Dann sind viele DAten futsch und man muss den 2FA-Schutz auf allen Konten von vorne erneut einrichten. (Ganz zu schweigen von dem Fall, dass das Smartphone mal verloren geht oder einen Defekt hat.)
	Microsoft Authenticator	verfügbar für: Android, iOS	Zu empfehlen für Microsoft-Produkte und -Dienste, wie z.B. Outlook, OneDrive, Office. Unterstützt PushUp (statt 6-stelliger PIN) sowie SingleSignOn. Beim Wechsel des Smartphones synchronisiert der Microsoft Authenticator allerdings NUR das Microsoft Konto, alle anderen Konten müssen manuell, also Seite für Seite, neu eingerichtet werden. Insbesondere benötigt man dazu das alte Gerät. (So es hoffentlich noch da ist und funktioniert!)

U2F (universal second factor)

...schafft hier mehr Sicherheit: Das U2F -Authentifizierungsverfahren schützt auch gegen Man-in-the-Middle-Angriffe, weil die Software prüfen kann, ob sie tatsächlich mit dem vereinbarten Dienst (also z.B. dem Server für die Schul-ID) kommuniziert oder mit einem gefakten Nachbau der Webseite, die nur so aussieht wie das Original.

Der YubiKey von Yubico leistet U2F. Immer mehr Web-Dienste arbeiten damit, u.a. die Schul-ID oder mail.de

Weiterführende Hinweise

• Zwei-Faktor-Authentisierung für höhere Sicherheit. BSI für Bürger, Bundesamt für Sicherheit in der Informationstechnik
• Online-Konten schützen mit 2FA. So funktioniert Zwei-Faktor-Authentifizierung. Test.de, Stiftung Warentest, 11. Dezember 2020
• Die besten 2FA-Apps. Alex Drozhzhin, kaspersky daily, 17. Oktober 2018
• The Best Two-Factor Authentication App. Thorin Klosowski, NY Times, 15. SEPTEMBER 2020
• Protect yourself: How to choose the right two-factor authenticator app. Von Ed Bott, ZDnet, 5. August 2019
• Zwei-Faktor-Authentifizierung (Wikipedia)
• Google Authenticator (Wikipedia)
• Twilio (Wikipedia)

Siehe auch

• Digitale Identität und Passwort-Management
• Datenraub, Datenhandel, Datenschutz und Datensicherheit - auf privaten Geräten & im Internet
• Online-Banking / Mobile Banking