Was ist Zwei-Faktor-Authentifizierung (2FA)?
- IAM-Glossar
- Was ist Zwei-Faktor-Authentifizierung (2FA)?
Die Zwei-Faktor-Authentifizierung (2FA) ist ein Sicherheitsverfahren, bei dem Benutzer zwei verschiedene Authentifizierungsfaktoren angeben, um sich zu verifizieren. Diese Methode ist eine zusätzliche Sicherheitsebene, die sicherstellen soll, dass jemand, der versucht, auf ein Online-Konto zuzugreifen, auch die Person ist, für die er sich ausgibt. Der erste Faktor ist normalerweise ein Passwort oder eine persönliche Identifikationsnummer (PIN), und der zweite kann ein physisches Objekt (wie eine Smartcard oder ein Sicherheitstoken) oder etwas Biometrisches (wie ein Fingerabdruck oder eine Gesichtserkennung) oder ein Standortsignal sein.
Elemente der Zwei-Faktor-Authentifizierung
Bei der Zwei-Faktor-Authentifizierung (2FA) werden normalerweise zwei verschiedene Arten von Authentifizierungsmethoden aus den folgenden Kategorien kombiniert.
Wissensfaktor - etwas, das Sie wissen
Dies kann ein Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage sein.
Besitzfaktor - etwas, das Sie haben
Dies kann ein physisches Token sein, beispielsweise eine Smartcard oder ein USB-Sicherheitsschlüssel, oder ein virtuelles Token, das von einer Authentifizierungs-App auf dem Smartphone eines Benutzers generiert wird. Diese virtuellen Token werden als Einmalpasswörter (One-Time Passwords, OTPs) oder zeitbasierte Einmalpasswörter (Time-Based One-Time Passwords, TOTPs) bezeichnet.
Biometrischer Faktor - etwas, das Sie sind
Biometrische Informationen, wie etwa ein Fingerabdruck, eine Gesichtserkennung oder ein Iris-Scan.
Standortfaktor - irgendwo, wo Sie sind
Ihr geografischer Standort. Einige Apps und Dienste sind nur für Benutzer zugänglich, die sich an einem bestimmten geografischen Standort befinden. Dieser spezielle Authentifizierungsfaktor wird häufig in Zero-Trust-Sicherheitsumgebungen verwendet.
Zwei-Faktor-Authentifizierung (2FA) vs. Multi-Faktor-Authentifizierung (MFA): Was ist der Unterschied?
Die Zwei-Faktor-Authentifizierung (2FA) ist ein Sicherheitsvorgang, der zwei verschiedene Authentifizierungsfaktoren kombiniert. Im Gegensatz dazu verwendet die Multi-Faktor-Authentifizierung (MFA) zwei oder mehr Authentifizierungsfaktoren und bietet so ein höheres Maß an Sicherheit. Einfach ausgedrückt ist 2FA eine Art MFA, und MFA kann mehr Authentifizierungsschritte als 2FA erfordern, um die Sicherheit weiter zu erhöhen. Weitere Einzelheiten finden Sie in diesem Artikel .
Zwei-Faktor-Authentifizierung vs. Zwei-Schritt-Verifizierung: Was ist der Unterschied?
Bei der Zwei-Faktor-Authentifizierung (2FA) müssen Benutzer zwei verschiedene Arten von Authentifizierungsdaten angeben, um ihre Identität zu bestätigen. Diese Daten stammen von etwas, das der Benutzer weiß (z. B. ein Passwort), etwas, das er besitzt (z. B. ein Smartphone) oder einem inhärenten Aspekt der Biometrie des Benutzers (z. B. einem Fingerabdruck). Daher erfordert 2FA die Verwendung von zwei vollständig getrennten Sicherheitsebenen, was die Sicherheit des Authentifizierungsprozesses erhöht. Selbst wenn also eine der Daten kompromittiert wird, bleibt die zweite bestehen, um das Konto zu schützen.
Im Gegensatz dazu umfasst die zweistufige Verifizierung (auch als zweistufige Authentifizierung bezeichnet) ein Verfahren, bei dem Benutzer zwei unterschiedliche Phasen durchlaufen müssen, um ihre Identität zu bestätigen. Insbesondere erfordern diese Phasen möglicherweise keine unterschiedlichen Arten von Authentifizierungsdaten. Beispielsweise kann der erste Schritt die Eingabe eines Passworts beinhalten, gefolgt von der Verwendung eines temporären Codes, der im nächsten Schritt an das Mobiltelefon des Benutzers gesendet wird. Der wesentliche Aspekt der zweistufigen Verifizierung besteht darin, dass zwei separate Aktionen erforderlich sind, die nicht unterschiedliche Arten von Authentifizierungsdaten erfordern müssen.
| Funktion | Zwei-faktor-authentifizierung (2FA) | Zweistufige Verifizierung (2SV) |
|---|---|---|
| Definition | Erfordert zwei verschiedene Arten von Authentifizierungsfaktoren. | Erfordert zwei Überprüfungsschritte, die auf gleichen oder unterschiedlichen Faktoren beruhen können. |
| Authentifizierungsfaktoren | Verwendet zwei verschiedene Faktoren: etwas, das Sie wissen (Passwort), etwas, das Sie haben (Sicherheitstoken, Telefon) oder etwas, das Sie sind (biometrische Verifizierung). | Es können zwei Instanzen desselben Faktortyps (z. B. ein Passwort gefolgt von einem per SMS gesendeten Code) oder unterschiedliche Typen verwendet werden. |
| Sicherheitsstufe | Wird im Allgemeinen als sicherer angesehen, da vom Benutzer zwei unterschiedliche Nachweisarten verlangt werden, was einen unbefugten Zugriff erschwert. | Bietet zusätzliche Sicherheit im Vergleich zu einem einzelnen Kennwort, kann jedoch weniger sicher als 2FA sein, wenn in beiden Schritten ähnliche Faktoren verwendet werden. |
Authentifizierungsmethoden für 2FA
Es gibt verschiedene Methoden zur Implementierung der Zwei-Faktor-Authentifizierung (2FA). Jede Methode wird basierend auf den Bedürfnissen und Sicherheitsanforderungen des Benutzers ausgewählt. Im Folgenden finden Sie einige gängige 2FA-Methoden.
1. SMS-basierte Authentifizierung
Bei der SMS-basierten Authentifizierung wird beim Anmeldeversuch eines Benutzers ein temporärer Authentifizierungscode vom Server an das Mobiltelefon des Benutzers gesendet. Der Benutzer muss diesen Authentifizierungscode während des Anmeldevorgangs eingeben. Der Vorteil dieser Methode besteht darin, dass sie einfach implementiert werden kann, da die meisten Benutzer über ein Mobiltelefon verfügen. Es gibt jedoch Sicherheitsrisiken wie das Abfangen von SMS-Nachrichten und Angriffe zum Austauschen der SIM-Karte . Daher wird diese Methode nicht empfohlen, wenn andere Optionen verfügbar sind.
2. Authentifizierungs-Apps
Die Verwendung von Authentifizierungs-Apps (z. B. bestimmte Passwortmanager, Google Authenticator, Authy) für 2FA ist sicherer als die SMS-basierte Authentifizierung. Bei dieser Methode generieren Benutzer mithilfe einer Authentifizierungs-App auf ihrem Smartphone einen temporären Authentifizierungscode. Beim Anmelden muss dieser Code eingegeben werden. Der Authentifizierungscode ändert sich alle paar Sekunden, was die Sicherheit erhöht. Darüber hinaus ist keine Internetverbindung erforderlich, sodass die Methode auch in Offline-Umgebungen verwendet werden kann.
3. Physische Sicherheitsschlüssel
Mithilfe physischer Sicherheitsschlüssel (z. B. YubiKey) können sich Benutzer authentifizieren, indem sie ein bestimmtes USB-Gerät oder NFC-Gerät an ihren Computer oder ihr Smartphone anschließen. Diese Methode gilt als sehr wirksam gegen Phishing-Angriffe. Da es sich bei dem Sicherheitsschlüssel um einen physischen Besitz handelt, verringert er effektiv das Risiko eines unbefugten Zugriffs, allerdings muss auch das Risiko des Verlusts des Schlüssels berücksichtigt werden.
4. Biometrische Authentifizierung
Bei der biometrischen Authentifizierung werden die biometrischen Daten des Benutzers, wie Fingerabdrücke, Gesichtserkennung oder Iriserkennung, zur Authentifizierung verwendet. Diese Methode ist für Benutzer sehr praktisch und bietet hohe Sicherheit. Die biometrische Authentifizierung wird auf Mobilgeräten und einigen der neuesten Computer weitgehend unterstützt. Da biometrische Daten jedoch nicht geändert werden können, muss auch das Risiko eines Informationsverlusts berücksichtigt werden.
