Arten der Zwei-Faktor-Authentifizierung: Vor- und Nachteile

Welche Arten der Zwei-Faktor-Authentifizierung es gibt und welche zu bevorzugen sind.

In unserem letzten Beitrag haben wir erläutert, was die Zwei-Faktor-Authentifizierung ist und wofür Sie sie benötigen. Kurz gesagt handelt es sich um einen Mechanismus zur Zugriffsprüfung, der auf zwei grundlegend verschiedenen Authentifizierungsmethoden beruht.

Benutzer benötigen die Zwei-Faktor-Authentifizierung, um ihre Konten zuverlässiger zu schützen: Während jede einzelne Authentifizierungsmethode anfällig ist, erschweren zwei (oder mehr) von ihnen zusammen die Kontoübernahme erheblich.

In diesem Beitrag beschreibe ich die verfügbaren Optionen der Multi-Faktor-Authentifizierung, erläutere deren Vor- und Nachteile und spreche Empfehlungen aus, welche der Optionen Ihre Konten am wirksamsten schützen.

Einmalige Codes per SMS, E-Mail oder Sprachanruf

Einer der gebräuchlichsten Mechanismen der Zwei-Faktor-Authentifizierung zur Validierung der Anmeldung sind Einmalcodes. Diese werden in der Regel per SMS an eine bei der Registrierung angegebene Telefonnummer gesendet. E-Mail kann auch dafür verwendet werden, ist aber weniger beliebt. Große Dienste bieten in der Regel auch die Möglichkeit eines Sprachanrufs an die bei der Registrierung angegebene Telefonnummer an.

Unabhängig vom verwendeten Übermittlungskanal wird die gleiche Idee verfolgt: Es soll überprüft werden, ob Sie Zugriff auf ein anderes Konto oder eine andere Telefonnummer erhalten, die Sie bei der Anmeldung für den Dienst angegeben haben. Wenn also jemand Ihr Kennwort stiehlt und keinen Zugriff auf Ihr Telefon hat, funktioniert dieser Schutz einwandfrei.

SMS mit einmaligem Authentifizierungscode für das Google-Konto

Häufigste Option der Zwei-Faktor-Authentifizierung: Einmaliger Code per SMS

Dieser Mechanismus der Zwei-Faktor-Authentifizierung hat jedoch auch Schattenseiten. Wenn zur Bestätigung der Anmeldung eine E-Mail-Adresse verwendet wird und das Passwort für die Anmeldung mit dem Passwort für das Konto identisch ist, das Sie schützen möchten, erhalten Sie nur sehr eingeschränkte zusätzliche Sicherheit. Ein Angreifer, der das Passwort des Kontos kennt, wird dieses Passwort auch verwenden, um sich in Ihrer E-Mail-Adresse anzumelden, und erhält so den einmaligen Validierungscode.

Bei der Bestätigung über eine Telefonnummer – ob per SMS oder Sprachanruf – gibt es ein anderes Problem: Es ist leicht, den Zugriff darauf zu verlieren. Manchmal vergessen Benutzer einfach, ihr Telefonkonto aufzuladen, verlieren das Telefon oder ändern die Nummer.

Es ist auch nicht ungewöhnlich, dass Kriminelle die Telekommunikationsanbieter davon überzeugen, ihnen eine SIM-Karte mit der Telefonnummer des Opfers zu geben, um Zugang zu Validierungscodes zu erhalten. Außerdem können Textnachrichten abgefangen werden – solche Fälle hat es durchaus schon gegeben.

Zusammenfassung: Diese Option der Zwei-Faktor-Authentifizierung erledigt die Aufgabe, aber um besonders wertvolle Konten zu schützen – insbesondere diejenigen, die mit Finanzen zusammenhängen – ist es besser, eine zuverlässigere Methode zu verwenden.

Passwort als zweiter Faktor

Manchmal ist das Passwort nicht der erste, sondern der zweite Faktor. Messenger tun dies häufig: Standardmäßig genügt es, den Einmalcode aus der SMS einzugeben, um sich anzumelden. Das Passwort ist normalerweise optional. Optional, aber notwendig, wenn Sie mich fragen. Es schützt Sie vor einer ganzen Reihe potenzieller Probleme auf einmal.

Am wichtigsten ist, dass es Ihre Gesprächspartner bei versehentlichem Verlust des Zugriffs auf die Telefonnummer schützt, mit der Sie sich in WhatsApp oder Telegram registriert haben. Angenommen, Sie haben Ihre Haupttelefonnummer geändert und Ihre alte SIM-Karte in eine Schublade gelegt und lange nicht dafür bezahlt. Nach einer Weile verkauft der Anbieter Ihre Nummer weiter und ermöglicht es dem neuen Besitzer, sich unter Ihrem Namen bei dem Messenger anzumelden – es sei denn, dieser ist zusätzlich mit einem Passwort geschützt.

Und tatsächlich bietet das Passwort Ihrem Messenger-Konto zumindest einen gewissen Schutz vor Schadakteuren, die sich auf die eine oder andere Weise Zugang zu Ihrer Telefonnummer verschafft haben.

Vorgenerierte Liste mit Einmalcodes

Eine weitere Option, auf die Sie stoßen können, ist eine Liste mit vorgenerierten Einmalcodes. Manchmal stellen Banken solche Listen an ihre Kunden aus, um Transaktionen zu bestätigen, aber auch einige Internetdienste (z. B. Google) erlauben die Verwendung dieser Listen für die Kontowiederherstellung.

Dies kann als zuverlässiger Mechanismus angesehen werden: Solche Codes werden äußerst selten an den Nutzer übertragen, sodass die Möglichkeiten zum Abfangen minimal sind. Die Codes sind zufällig, was bedeutet, dass sie einzigartig sind, sodass es fast unmöglich ist, sie zu erraten.

Aber es gibt ein Speicherproblem: Wenn es Angreifern gelingt, Ihre Liste mit vorgenerierten Codes zu stehlen, ist es extrem einfach, Ihr Konto zu kapern oder Geld davon zu stehlen.

Liste der vorgenerierten Einmalcodes

Liste der vorgenerierten Einmalcodes zur Verifizierung von Banktransaktionen

Daher sollten einmalige Bestätigungscodes in einem Safe oder einem entsprechenden elektronischen Speicher aufbewahrt werden. Beispielsweise befinden sich verschlüsselte Notizen in Kaspersky Password Manager. Wenn Sie die Liste der Einmalcodes in diesen Notizen speichern, ist der Schutz dieser Codes gewährleistet, vorausgesetzt, Sie haben für den Kaspersky Password Manager ein eindeutiges Hauptpasswort festgelegt.

Der größte Nachteil dieser Authentifizierungsmethode besteht jedoch darin, dass Ihnen die vorgenerierten Codes schnell ausgehen, wenn Sie häufig Verifizierungen benötigen. Das bedeutet, dass Sie immer mehr neue generieren und speichern müssen. Und bei mehreren Konten kann man bei all diesen Listen schnell den Überblick verlieren. Aus diesem Grund wurden vorgenerierte Codes als wichtigste Authentifizierungsmethode durch Codes ersetzt, die auf Anfrage generiert werden – so wie Sie sie benötigen.

Einmalcodes aus einer Authenticator-App

Die Generierung der Einmalcodes erfolgt durch Authentifikatoren. Dies können manchmal eigenständige Geräte mit einem kleinen Bildschirm sein, auf dem der aktuelle Code angezeigt wird – einige Banken stellen ihren Kunden solche Authentifikatoren zur Verfügung.

Heutzutage sind jedoch spezielle Authentifizierungs-Apps, die auf Smartphones ausgeführt werden, beliebter als eigenständige Geräte. Wir haben eine Reihe von Blogbeiträgen über sie:

Wenn Sie also Informationen darüber suchen, wie diese Authentifizierungsmethode funktioniert, wie Sie eine Authentifizierungs-App auswählen und was Sie beachten müssen, sobald Sie eine haben, folgen Sie den Links oben. In der Zwischenzeit möchte ich nur kurz darauf hinweisen, dass Authentifikator-Apps einen optimalen Kompromiss zwischen Komfort und Sicherheit bieten – was sie immer beliebter macht.

Google Authenticator: die bekannteste Authentifizierungs-App

Google Authenticator: der bekannteste, aber bei weitem nicht die einzige erhältliche Authenticator-App

Biometrie: Fingerabdruck, Gesicht oder Stimme

Vor nicht allzu langer Zeit war die biometrische Authentifizierung für die meisten Menschen noch etwas Exotisches. Das änderte sich jedoch recht schnell: Die meisten Smartphones verfügen mittlerweile über die Möglichkeit, sich entweder per Fingerabdruck oder Gesichtserkennung zu authentifizieren – was nicht sonderlich überraschend kommt.

Ändere biometrische Methoden scheinen da eher ungewöhnlich: auf Sprach-, Iris-, Geh- und Tipp-Gewohnheiten basierende Authentifizierung. Eine der originellsten für mich war die Forschung zur geruchsbasierten Authentifizierung (obwohl sie nicht so gut funktioniert)!

Biometrische Authentifizierung hat einige gravierende Nachteile. Erstens: Alle Eigenschaften, auf die es sich stützt, sind permanente Eigenschaften des Nutzers. Ein unterwandertes Passwort können Sie ändern – aus Sicherheitsgründen können Sie dies sogar mehrmals tun. Ein registrierter Fingerabdruck kann jedoch nur eine begrenzte Anzahl von Malen geändert werden – die Versuche lassen sich buchstäblich an den Fingern zweier Hände abzählen.

Der zweite wichtige Punkt besteht darin, dass biometrische Daten äußerst sensibel sind – sowohl weil sie unveränderlich sind als auch, weil sie nicht nur die Authentifizierung eines Benutzers, sondern auch die Identifizierung einer Person ermöglichen. Die Erhebung und Übermittlung dieser Daten an digitale Dienste ist daher mit äußerster Vorsicht zu behandeln.

Aus diesem Grund werden biometrische Daten normalerweise für die lokale Authentifizierung verwendet: Sie werden auf dem Gerät gespeichert und verarbeitet, um eine Übertragung an andere Orte zu vermeiden. Für die biometrische Remote-Authentifizierung müsste der digitale Dienst dem Gerätehersteller vertrauen, was Dienste normalerweise nicht möchten. Das Endergebnis lautet: Nur Apple verfügt über einen vollständigen biometrischen Remote-Authentifizierungsmechanismus, da das Unternehmen die vollständige Kontrolle über sein Ökosystem hat – von der Softwareentwicklung bis zur Geräteherstellung.

Authentifizierung per Fingerabdruck

Anmeldung per Fingerabdruck: heutzutage üblich

Die biometrische Authentifizierung hat jedoch einen wichtigen Vorteil, der ihre Nachteile überwiegt. Bei richtiger Implementierung wird das Leben der Nutzer viel einfacher: Sie müssen nicht mehr tippen – Sie müssen nur mit dem Finger auf den Sensor tippen oder Ihr Gesicht in die Kamera halten. Und die Methode ist auch ziemlich zuverlässig – allerdings nur, wenn sie richtig implementiert wird.

Standort

Ein weiterer Benutzerauthentifizierungstyp ist der Standort. Sie müssen diese Methode nicht aktivieren: Sie ist standardmäßig aktiviert. Aus diesem Grund bleibt sie normalerweise unbemerkt, und die Person wird nur dann benachrichtigt, wenn die Authentifizierung fehlschlägt, d. h. wenn ein Anmeldeversuch von einem Ort aus erfolgt, den der Dienst nicht erwartet hat. In diesem Fall fordert der Dienst möglicherweise die Verwendung einer zusätzlichen Überprüfungsmethode.

Natürlich ist der Standort kein sehr zuverlässiger Authentifizierungsfaktor. Erstens ist es nicht sehr einzigartig: Es können sich jederzeit viele andere Personen am selben Ort aufhalten. Zweitens ist die Methode recht einfach zu manipulieren, insbesondere wenn es sich um einen IP-basierten Standort handelt – nicht um eine ordnungsgemäße GPS-Geolokalisierung. Der Standort kann jedoch als einer der Authentifizierungsfaktoren verwendet werden, und viele Dienste tun dies.

Hardwareschlüssel FIDO U2F (auch bekannt als YubiKey)

Die oben beschriebenen Authentifizierungsoptionen haben einen großen Nachteil: Sie ermöglichen die Authentifizierung des Benutzers, nicht jedoch des Dienstes. Das macht sie anfällig für MitM-Angriffe (Man-in-the-Middle).

Angreifer können eine gefälschte Seite erstellen, die dem Anmeldemechanismus des tatsächlichen Dienstes täuschend ähnlich sieht. Sobald der Benutzer seinen Benutzernamen und sein Passwort übermittelt hat, verwenden Kriminelle diese sofort, um sich auf der echten Website anzumelden. Der Verifizierungscode ist das nächste, was der Nutzer dann angeben soll – und im Handumdrehen wird er verwendet, um das Konto des Opfers zu übernehmen.

Um diese Art von Bedrohungen zu bekämpfen, wurden FIDO U2F-Schlüssel entwickelt, die auch unter dem Namen ihres beliebtesten Modells bekannt sind – YubiKey. Der Hauptvorteil dieser Methode besteht darin, dass sich der Dienst und der U2F-Schlüssel bei der Registrierung bestimmte Informationen merken, die für jeden Dienst und für jeden Benutzer eindeutig sind. Später während der Authentifizierung muss der Dienst eine bestimmte Anfrage an den Schlüssel senden, auf die der Schlüssel nur dann antwortet, wenn diese Anfrage korrekt ist.

Auf diese Weise können bei diesem Austausch beide Seiten erkennen, ob der Vorgang legitim ist oder nicht. Darüber hinaus basiert dieser Authentifizierungsmechanismus auf Kryptographie mit offenen Schlüsseln, sodass der gesamte Prozess gut vor Fälschung, Abfangversuchen und ähnlichen Bedrohungen geschützt ist.

FIDO U2F-Schlüssel: Yubico YubiKey und Google Titan (Feitian ePass)

Ein Paar von FIDO U2F-Schlüsseln: Yubico YubiKey (links) und Google Titan (rechts)

Ein weiterer Vorteil: Auch wenn die Technologie ziemlich ausgereift ist und Hardcore-Kryptographie verwendet, sieht alles oberflächlich betrachtet sehr einfach aus — aus der Sicht des Nutzers. Sie stecken den Schlüssel einfach in eine USB-Buchse (oder halten ihn an Ihr Smartphone – solche Schlüssel unterstützen oft NFC ) und berühren mit dem Finger eine Sensortaste auf dem Schlüssel, um die Authentifizierung abzuschließen.

Die Verwendung von U2F-Hardwareschlüsseln ist die derzeit zuverlässigste Authentifizierungsmethode und wird für wertvolle Benutzerkonten empfohlen. Bei Google wird das bereits gelebt: Alle Mitarbeiter des Unternehmens verwenden seit über fünf Jahren solche Schlüssel für ihre Unternehmenskonten.

FIDO-Hauptschlüssel: Zukunft ohne Passwörter

Es ist nicht einfach, aber dennoch möglich, dafür zu sorgen, dass alle Mitarbeiter in Ihrem Unternehmen Hardwareschlüssel für die Authentifizierung verwenden. Für Millionen von regelmäßigen Internetnutzern ist die Methode jedoch kaum geeignet. Der Durchschnittsnutzer ist von der Idee einer Zwei-Faktor-Authentifizierung nicht gerade begeistert, auch möchte er kein Geld für spezielle Geräte bezahlen.

Aus diesem Grund hat die gleiche FIDO Alliance, die Entwickler von U2F-Schlüsseln, einen neuen Authentifizierungsstandard entwickelt, der anstelle von Passwörtern sogenante „Passkeys“ verwendet. Einfach ausgedrückt, ist die Technologie ungefähr dieselbe wie bei U2F-Schlüsseln, außer dass Sie kein spezielles Gerät zum Speichern der Authentifizierungsdaten benötigen.

Hauptschlüssel können praktisch überall gespeichert werden – auf dem Smartphone, dem Computer, im Benutzerprofil des Browsers oder – ganz herkömmlich – auf einem USB-Stick. Wenn Sie sich für den eindeutigen Passcode-Modus entscheiden, können Sie wählen, ob Sie diese über die Cloud synchronisieren oder gar nicht synchronisieren möchten.

Eine solch lange Liste von Speicheroptionen macht Hauptschlüssel natürlich etwas weniger sicher. Wie viel weniger – das hängt davon ab, welche Kombination von Geräten und Services Sie verwenden.

Im Gegenzug genießen Nutzer den Vorteil, dass Hauptschlüssel die Passwörter für Benutzerkonten nicht nur ergänzen, sondern komplett ersetzen. Darüber hinaus ist eine solche Authentifizierung immer noch eine Multi-Faktor-Authentifizierung: Sie müssen nicht nur ein Gerät besitzen, auf dem Ihre Hauptschlüssel gespeichert sind, sondern müssen die Anmeldung entweder mithilfe biometrischer Daten (falls Ihr Gadget dies unterstützt) oder mithilfe einer PIN validieren, um Ihr Gerät zu entsperren. Wie Sie sehen, können Sie in einigen Fällen nicht ganz auf Passwörter verzichten, aber immerhin reduzieren Hauptschlüssel ihre Anzahl erheblich.

Das Hauptproblem der Initiative besteht darin, dass die Lösung eher ein Flickenteppich ist. Verschiedene Plattformen und Dienste verwenden sehr unterschiedliche Ansätze für die Datenspeicherung, die Benutzerauthentifizierung und die Sicherheit insgesamt. Anstelle einer einzigen werden mehrere verschiedene Methoden kombiniert, die sich in ihrer Zuverlässigkeit stark unterscheiden.

Es wäre also etwas verfrüht, vollständig auf Hauptschlüssel umzustellen. Sie können jedoch bereits damit experimentieren: Vor einiger Zeit hat Google die vollständige Unterstützung von Hauptschlüsseln durch Google-Konten angekündigt, so dass jeder Interessierte sehen kann, wie das im wirklichen Leben funktioniert.

Welche Methoden zur Zwei-Faktor-Authentifizierung sind besser und was Sie sonst noch beachten sollten

Zum Abschluss hier noch einmal die wichtigsten Punkte:

  • Im Jahr 2023 ist die Zwei-Faktor-Authentifizierung kein Luxus mehr, sondern eine Notwendigkeit. Verwenden Sie sie, wo immer möglich.
  • Jede Zwei-Faktor-Authentifizierungsmethode ist um Längen besser als gar keine.
  • Authentifizierungs-Apps sind optimal für die Zwei-Wege-Authentifizierung.
  • Ein FIDO U2F-Hardwareschlüssel – Yubico YubiKey, Google Titan oder Ähnliches – ist aktuell die bessere Option. Insbesondere für Konten mit hohem Wert.
  • Sie können bereits mit Hauptschlüsseln experimentieren, aber die Technologie vollständig zu nutzen, scheint noch etwas verfrüht.
  • Daher ist es nach wie vor wichtig, Passwörter mit Bedacht zu verwenden: Wählen Sie komplexe Passwörter, verwenden Sie sie nicht für mehrere Dienste und bewahren Sie sie mit einem Passwort-Manager auf.
  • Und vergessen Sie nicht, dass die meisten Methoden der Zwei-Faktor-Authentifizierung (außer U2F und Hauptschlüssel) anfällig für Phishing sind. Setzen Sie daher lieber auf eine zuverlässige Lösung, die diese Bedrohung automatisch entfernt, z. B. Kaspersky Premium.
Tipps