Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist ein Anmeldeverfahren im Internet, bei dem die Identität eines Benutzers oder einer Benutzerin anhand zweier unterschiedlicher, voneinander unabhängiger Faktoren geprüft wird. Sie ist damit eine Art von Mehrfaktor-Authentifizierung. Bei besonders hohem Schutzbedarf können auch mehr als zwei Faktoren nötig sein. In diesem Artikel geht es nur um die häufigste Art: die Zwei-Faktor-Authentifizierung.

Warum sollte die Zwei-Faktor-Authentifizierung verwendet werden?

Die Kombination eines persönlichen Passwortes mit einem zweiten Anmeldegeheimnis erschwert Angreifenden den Zugang zu einem fremden Account. Der zweite Faktor muss im besten Fall über einen anderen Weg und mit einer anderen Methode erzeugt werden als der erste. Weil Angreifende hoffentlich weder Weg noch Methode des zweiten Anmeldegeheimnisses kennen, können sie den fremden Account auch dann nicht übernehmen, wenn sie das Passwort kennen. Das erhöht die Sicherheit für digitale Dienste und sensible Daten beträchtlich.

Woher kommt der zweite Faktor?

Die knappe Antwort ist: Man braucht immer beides – „Etwas das man hat und etwas das man weiß“. Doch es gibt alles in allem drei Möglichkeiten, den zweiten Faktor zu erzeugen und damit die eigene Identität sicherer nachzuweisen:

• Besitz: mit einem Gegenstand, etwa einem Hardware-Token oder einer EC-Karte
• Wissen: mit etwas, das niemand sonst weiß, ein Einmalkennwort erzeugen, zum Beispiel per App
• Biometrie: mit körperlichen Merkmalen wie Fingerabdruck, Verhaltensmuster oder Gesicht

Diese Methoden können technisch unterschiedlich umgesetzt werden. Auch wenn nicht alle gleich sicher sind, gilt: Jedes Zwei-Faktor-Verfahren ist sicherer als nur ein Anmeldepasswort allein.

Per SMS oder E-Mail

Bei dieser Methode erhält man einen – meist 6-stelligen – Einmalcode per SMS oder E-Mail. Für eine SMS muss man die Handynummer angeben. Es ist aber nicht gesagt, dass jeder Dienst verantwortungsvoll damit umgeht. Dazu kommt, dass SMS und E-Mail unsichere Methoden sind, denn SIM-Karten können kopiert werden („SIM-Swapping“), SMS und E-Mail werden unverschlüsselt versandt.

Zweiter Faktor mit App

Mit einer PushTAN- oder einer TOTP-App (TOTP: „time-based one-time password“) wird der zweite Faktor per Smartphone generiert beziehungsweise übertragen. Während PushTAN-Apps eine Netzwerkverbindung brauchen und an einen Anbieter gebunden sind, gibt es für das TOTP-Verfahren verschiedene, auch freie Apps wie Aegis, die keine Netzwerkverbindung erfordern. Die Codes werden direkt auf dem Smartphone generiert und dann ins Loginfeld eingetragen.

Zweiter Faktor mit Hardware

Hardware-Tokens wie der YubiKey oder der Nitrokey sind physisch eigenständige Geräte, die einem USB-Stick ähneln. Wenn man sie an den Rechner anschließt, übertragen sie automatisch einen Code für den Login. Auch ChipTAN-Generatoren sind solche eigenständigen Geräte. Hardware-Tokens gelten als sicherster zweiter Faktor.

Biometrische Verfahren

Die Authentifizierung durch biometrische Merkmale ist eine Methode, die immer mehr Verbreitung findet. Das Entsperren des Smartphones per Fingerabdruck oder Gesichtsscan ist einfach bequem. Allerdings sind biometrische Merkmale zur Authentifizierung kritisch zu bewerten:

Ein unsicheres oder bekannt gewordenes Passwort kann man jederzeit ersetzen, persönliche Eigenschaften nicht. Fingerabdrücke, Stimme oder Gesichtszüge lassen sich nicht dauerhaft ändern, jedenfalls nicht mit vertretbarem Aufwand. Erschwerend kommt hinzu, dass sie leicht abgegriffen werden können. Menschen hinterlassen Fingerabdrücke an Gegenständen. Oder sie lassen sich filmen und die Kamera kann daraus biometrische Daten ableiten.

Der Missbrauch biometrischer Daten ist eine große Gefahr. Wer solche Verfahren benutzt, sollte seine biometrischen Daten deshalb nur lokal, in einer abgeschotteten Umgebung auf dem eigenen Gerät speichern. Smartphones haben dafür ein sogenanntes „Secure Element“.

Erster und zweiter Faktor auf demselben Gerät

Weil es praktisch ist, wird der zweite Faktor oft auf demselben Gerät generiert, mit dem man sich anmeldet. Das unterläuft allerdings das Prinzip des zweiten Faktors. Wird das Smartphone gestohlen, kann der Täter unter Umständen sowohl auf das Passwort zugreifen, falls es auf dem Gerät gespeichert ist, als auch auf den zweiten Faktor, der zum Beispiel in einer App generiert oder über die eingelegte SIM-Karte empfangen wird. Wer beide Faktoren auf einem Gerät haben muss, sollte den zweiten Faktor zusätzlich schützen, zum Beispiel mit einem eigenen App-Kennwort. Wer das Smartphone hat, hat dann wenigstens nicht automatisch beide Faktoren.

Zweiten Faktor einrichten

Vor dem Einrichten muss man prüfen, ob der Dienst die Option „zweiter Faktor“ überhaupt anbietet. Das ist nicht immer einfach. Meistens findet man die Zwei-Faktor-Einstellung im Menü unter „Einstellungen“, „Konto“ oder „Sicherheit“. Wenn es die Option gibt, sollte man sie auf jeden Fall nutzen. Auch mit einem eher unsicheren zweiten Faktor wie dem per SMS ist die Anmeldung sicherer als mit einem Passwort allein.

Zweiten Faktor sichern und wiederherstellen

Wer seine Telefonnummer wechselt, sollte die neue Nummer nicht nur seinen Kontakten mitteilen, sondern sie auch bei den Accounts ändern, bei denen sie hinterlegt ist. Um eine neue Nummer einzutragen, braucht man natürlich noch Zugriff auf den Account. Wer eine App benutzt, sollte regelmäßig eine Sicherung der Datenbank erstellen. Geht das Smartphone verloren oder wird die App deinstalliert, sperrt man sich sonst im schlimmsten Fall aus seinen Accounts aus. Um das zu verhindern, bieten viele Websites Wiederherstellungscodes für den zweiten Faktor an. Diese Codes muss man gut aufbewahren: zum Einloggen, wenn der zweite Faktor verloren gegangen ist. Darüber hinaus lassen sich bei manchen Diensten auch mehrere Methoden der Zwei-Faktor-Authentifizierung hinterlegen.

Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.