Der aspectra-Blog seit 2012

Zwei-Faktor-Authentifizierung - Kurz erklärt

Bei der Verwendung einer sicherheitskritischen Website, wie zum Beispiel E-Banking, wird oft von Zwei- bzw. Multi-Faktor-Authentifizierung (2FA, bzw. MFA) gesprochen. Diese Sicherheitsprozedur wird auch als «starke» Authentifizierung bezeichnet.

In Zusammenhang mit Authentifizierung tauchen oft weitere Begriffe auf, die nachfolgend kurz erläutert werden.

Authentifizierung vs. Autorisierung

Eine Person authentisiert sich an einem System, das heisst, sie erbringt den Nachweis, die vorgegebene Person zu sein. Das System authentifiziert die Person, das heisst, es überprüft den Nachweis, den die Person erbracht hat, auf seine Echtheit. Bei einer erfolgreichen Authentifizierung wird die Person autorisiert, das heisst, der Person werden die Rechte eingeräumt, die ihr zustehen.

Faktoren

Bei einer Mehrfaktor-Authentifizierung müssen von einer Person mindestens zwei unterschiedliche und voneinander unabhängige Faktoren für die Überprüfung bereitgestellt werden. Diese Faktoren sind in drei Gruppen eingeteilt. Es folgt eine Auflistung der Gruppen mit entsprechenden Beispielen.

  1. Wissen: PIN, Passwort, Benutzernamen
  2. Besitz: SecurID-Token, mTAN-Code, Badge
  3. Biometrie: Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme

Je nach Einsatzgebiet kann es Faktor-Kombinationen geben, welche mehr oder weniger sinnvoll sind. 

2FA/MFA

Bei einer sicheren Authentifizierung via Web-Browser werden alle Faktoren von demselben Eingabegerät (PC, Mobiltelefon, etc.) über einen verschlüsselten Kanal an die Webseite übertragen. Falls sich ein Angreifer Zugriff auf diesen Kanal verschafft, bekommt er beide Faktoren in die Hände. Um diese Gefahr einzudämmen, können dynamische Faktoren eingesetzt werden. Ein Beispiel hierfür ist der RSA SecurID-Hardwaretoken (Faktorgruppe: Besitz), welcher nach dem zeitbasierten Einmalkennwort-Verfahren (Time-Based One-Time Password, TOTP) funktioniert. Dieses Gerät generiert jede Minute einen neuen Token-Code, bestehend aus 6 Ziffern. Jeder Token-Code ist nur ein einziges Mal verwendbar. Bei der Verwendung mit einer PIN (Faktorgruppe: Wissen) ergibt sich eine sehr sichere Authentifizierung.

Auch für den physischen Zutritt zu ein Rechenzentrum werden in der Regel mehrere Faktoren verlangt. Zum Beispiel kann für den Zugriff ein Badge (Faktorgruppe: Besitz) verwendet werden, um eine Vereinzelungsanlage zu öffnen. In dieser Anlage kann ein Fingerabdruck (Faktorgruppe: Biometrie) als zweiter Faktor verlangt werden, um erst nach dessen erfolgreicher Authentifizierung den Zutritt zum Innere freizugeben.

Um eine starke Authentisierung der von aspectra betriebenen Systeme zu gewährleisten, bieten wir eine Vielzahl an Authentisierungsmitteln und -Methoden an: Ob Mobile TAN (mTAN), Mobile OTP, Matrix-Karte, E-Mail-OTP, RSA SecurID, Kobil SecOVID, VASCO Digipass, Client-Zertifikate (X.509, SuisseID etc.), CrontoSign, Kobil AST, Swisscom Mobile ID (Mobile Signature Services) OATH-Token oder eine Kombination von mehreren Komponenten - Wir beraten Sie gerne

Weiterführende Informationen: