Information zur MFA
Mittlerweile bieten viele Online-Dienstleister Verfahren an, mit denen die Nutzerin oder der Nutzer sich zusätzlich bzw. alternativ zur Kennworteingabe identifizieren können, wenn sie sich in ein Konto einloggen. Diese sogenannte Mehr-Faktor-Authentisierung (MFA) gibt es in zahlreichen Varianten. Einige ergänzen das zuvor eingegebene Kennwort um einen zusätzlichen Faktor, andere ersetzen das vorherige Anmeldung mit Kennwort komplett durch eine direkte Kombination zweier Faktoren. Dabei bieten vor allem hardwaregestützte Verfahren ein hohes Maß an Sicherheit und sollten ergänzend (beziehungsweise ersetzend) zu einem starken Kennwort genutzt werden.
Die Anmeldung mit MFA wurde durch Shibboleth (auch Single Sign-On, kurz SSO genannt) an Web-Anwendungen bereits eingeführt.
FAQ
Eine Authentisierung mittels mehrerer Faktoren beginnt in vielen Fällen mit der gewöhnlichen Eingabe eines guten Kennworts. Das System, in das sich Nutzerin oder Nutzer einloggen möchten, bestätigt daraufhin die Richtigkeit des eingegebenen Kennworts. Dies führt jedoch nicht - wie bei einfachen Systemen üblich - direkt zum gewünschten Inhalt, sondern zu einer weiteren Schranke. Auf diesem Weg wird verhindert, dass unbefugte Dritte Zugang zu Nutzerdaten oder Funktionen erhalten, nur weil sie in den Besitz des Kennworts gelangt sind.
Viele übliche Zwei-Faktor-Systeme greifen nach der Kennwortabfrage auf externe Systeme zurück, um eine zweistufige Überprüfung der Nutzerin oder des Nutzers durchzuführen. Das kann bedeuten, dass der Anbieter, bei dem Sie sich anmelden möchten, einen Bestätigungscode an ein weiteres Ihrer Geräte sendet, z. B. Ihr Smartphone. Der zweite Faktor kann allerdings auch Ihr Fingerabdruck auf einem entsprechenden Sensor oder die Verwendung eines USB-Tockens oder einer Chipkarte sein. Erst wenn sich auch dieses Mittel zur Identitätsbestätigung in Ihrem Besitz befindet, sind Sie in der Lage, die angeforderten Inhalte aufzurufen und den Online-Dienst oder das Gerät zu benutzen.
TAN/OTP-Systeme als zweiter Faktor nach einem Kennwort: Eine TAN bzw. ein OTP ist ein Einmalkennwort, das als zweiter Faktor übermittelt werden kann. In der Vergangenheit wurden TANs vorab auf Papierlisten (iTAN) bereitgestellt. Dieses Verfahren gilt jedoch seit geraumer Zeit als nicht mehr sicher genug. Besser sind TAN-Generatoren (Hardware) bzw.AuthenticatorApps (Software), die Einmalkennwörter zeit- oder ereignisbasiert stets neu generieren. Noch sicherer sind TAN-Generatoren, die in die Erzeugung der TAN auch Daten aus der Transaktion (z.B. Kontonummer und Betrag) einbeziehen (eTAN, chipTAN).
Alternativ wird die TAN der Benutzerin oder dem Benutzer vom Diensteanbieter auf einem anderen Übermittlungsweg bzw. an ein anderes Endgerät übermittelt. Gängig ist hier vor allem die Übermittlung per SMS (mTAN, smsTAN) ggf. mit Angabe zusätzlicher Transaktionsinformationen. Es ist jedoch davon abzuraten, für den Empfang der mTAN dasselbe Gerät zu verwenden wie für das Loginbzw. die Nutzung des Dienstes (keine ausreichende Trennung der Faktoren).
Kryptographische Token: Ein kryptographisches Token speichert einen privaten kryptographischen Schlüssel. Die Authentisierung erfolgt durch das Senden einer Anforderung an das Token, die das Token nur mithilfe des privaten Schlüssels korrekt beantworten kann.
Der Schlüssel kann als Softwarezertifikat gespeichert werden (bekannt von ELSTER), sicherer ist aber die Speicherung in Hardware auf einer Chipkarte (HBCI, Signaturkarten) oder einem speziellen USB-Stick/NFC-Token (FIDO/U2F). Auch der Personalausweis und der elektronische Aufenthaltstitel enthalten einen sicheren Schlüsselspeicher und ermöglichen damit die Online-Ausweisfunktion.
Biometrische Systeme: Bei biometrischen Systemen wird das Vorhandensein eines zuvor erfassten einzigartigen körperlichen Merkmals überprüft (Fingerabdruck, Gesicht, Retina). Biometrische Merkmale sind im Normalfall nicht "geheim", sodass eine Lebenderkennung wichtig ist, damit die Systeme nicht z.B. mit einem Foto ausgetrickst werden können.
Die Bestätigung unserer Identität gegenüber digitalen Systemen stellt für die meisten Menschen eine Routinehandlung dar, über die wir nicht aktiv nachdenken. Im Unterschied dazu befassen sich Sicherheitsexperten hingegen sehr intensiv mit Login-Verfahren. Aus Perspektive der Informationssicherheit läuft die Anmeldung eines Benutzers in drei klar getrennten Phasen ab:
- Authentisierung bezeichnet den Nachweis der Identität durch den Benutzer, z.B. durch die Eingabe von Benutzername und Passwort.
- Authentifizierung bezeichnet die Kontrolle der Identität durch das System, also die Überprüfung der Angaben und gegebenenfalls die Forderung zusätzlicher Nachweise im Rahmen der MFA
- Autorisierung beschreibt die Zuweisung von Rechten auf Basis der nachgewiesenen Identität, also der Zugriff, der dem Benutzer nach erfolgreicher Anmeldung gewährt wird.
Der Unterschied zwischen Authentisierung, Authentifizierung und Autorisierung kann wie folgt zusammgefasst werden:
Authentisierung ist der Nachweis der Identität, Authentifizierung die Überprüfung der Identität und Autorisierung der Zugang zum System nach bestandener Kontrolle.
Im Alltag sind diese einzelnen Schritte natürlich eng miteinander verknüpft, weshalb die Begriffe häufig synonym gebraucht werden können.