Höhere Sicherheit durch Zwei-Faktor-Authentisierung

Viele Online-Dienste bieten inzwischen das Verfahren an, bei dem die Kontoinhaber sich zusätzlich bzw. alternativ zur Passworteingabe identifizieren können, sobald sie sich in ihr Konto einloggen. Die Zwei-Faktor-Authentisierung (2FA) gibt es in mehreren Varianten. Die hardwaregestützte Verfahren bieten ein hohes Maß an Sicherheit, es empfiehlt sich diese ergänzend zu einem starken Passwort zu nutzen.

Begriffserklärung

Authentisierung oder Authentifizierung?

Im allgemeinen Sprachgebrauch werden die Begriffe Authentisierung und Authentifizierung oft synonym verwendet. Dabei beschreiben sie aber verschiedene Teilprozesse eines Anmeldevorgangs.

Ein Benutzer AUTHENTISIERT sich an einem System mittels eindeutiger Anmeldeinformationen (z. B. Passwort). Das System überprüft die Gültigkeit der angegebenen Daten - es AUTHENTIFIZIERT den Benutzer.

Quelle: www.bsi-fuer-buerger.de

Log-In mit einem zweiten Faktor

Sie wollen sich in Ihr Konto einloggen: wie gewöhnlich fangen Sie mit der Eingabe eines gutes Passworts an. Das System prüft daraufhin die Richtigkeit Ihrer Angaben und bestätigt ggf. die korrekte Eingabe des Passworts. Dies führt Sie aber noch nicht zum Inhalt Ihres Kontos, sondern zu einer weiteren Hürde - so wird verhindert, dass die Unbefugten Zugang zu Ihrem Konto erhalten, falls sie in den Besitz Ihres Passworts gelangen.

Viele eingesetzten Zwei-Faktor-Systeme greifen nach der Passwortabfrage auf externe Systeme zurück, um die zweistufige Überprüfung durchzuführen. Für Sie bedeutet es, dass der Anbieter, bei dem Sie sich anmelden, Ihnen einen Bestätigungscode an ein weiteres Ihrer Geräte sendet, z. B. per SMS auf Ihr Smartphone. 

Als Zweitfaktor können aber auch andere Faktoren gelten:

  • Ihr Fingerabdruck auf einem entsprechenden Sensor
  • die Verwendung eines USB-Tokens / Chipkarte

Erst nach dieser Identitätsbestätigung gelangen Sie zu den angeforderten Inhalten.

Wichtig ist, dass die Faktoren aus verschiedenen Kategorien stammen, also, wie PSD2 es verlangt, eine Kombination aus Wissen (z. B. Passwort, PIN), Besitz (z. B. Chipkarte, TAN-Generator) oder Biometrie (z. B. Fingerabdruck).

Einige Verfahren kombinieren verschiedene Faktoren miteinander, daher kann die Abfrage nicht hintereinander abfolgen, sondern gleichzeitig. Beispiel: Online-Ausweisfunktion eines Personalausweises kombiniert den Faktor "Besitz Chipkarte" zusammen mit dem Faktor "Wissen PIN". Erst mit dieser Kombination findet eine Authentisierung beim Dienstanbieter statt.

Einsatz dieser Sicherheitsverfahren

  • Online-Banking: Anmeldung mit Passwort + zusätzliche Bestätigung jeder Transaktion mit pushTAN oder bei kartenbasierten Systemen z. B. mit chipTAN, HBCI.
  • Debit- oder Kreditkartenzahlung: Die beiden Faktoren - derChip in der Kreditkarte als Faktor "Besitz" und die PIN als Faktor "Wissen" legitimieren den Vorgang.
  • Online-Ausweisfunktion des Personalausweises: Der Chip im Ausweis muss durch Eingabe der PIN zuerst freigegeben werden, anschließend erfolgt die Datenübermittlung. Nach der gegenseitigen Authentisierung zwischen Ausweis und Dienstanbieter werden die ausgelesenen Daten mit Ende-zu-Ende Verschlüsselung zum Dienstanbieter übertragen.
  • Steuererklärung: Ihre Steuererklärung können Sie auch digital mit ELSTER einreichen. Die Anmeldung erfolgt dabei mit einem passwortgeschützten Software-Zertifikat oder der Online-Ausweisfunktion Ihres Personalausweises.
  • Cloud- oder Mail-Anbieter, Social Media Plattformen: Wenden Sie eine Zwei-Faktor-Authentisierung an, sobald Ihr Online-Dienstanbieter es ermöglicht: z. B. sicherer Log-In mit Passwort und mTAN oder einem OTP aus einer Authenticator-App.