Information zur MFA
Mittlerweile bieten viele Online-Dienstleister Verfahren an, mit denen die Nutzerin oder der Nutzer sich zus?tzlich bzw. alternativ zur Kennworteingabe identifizieren k?nnen, wenn sie sich in ein Konto einloggen. Diese sogenannte Mehr-Faktor-Authentisierung (MFA) gibt es in zahlreichen Varianten. Einige erg?nzen das zuvor eingegebene Kennwort um einen zus?tzlichen Faktor, andere ersetzen das vorherige Anmeldung mit Kennwort komplett durch eine direkte Kombination zweier Faktoren. Dabei bieten vor allem hardwaregestützte Verfahren ein hohes Ma? an Sicherheit und sollten erg?nzend (beziehungsweise ersetzend) zu einem starken Kennwort genutzt werden.
Die Anmeldung mit MFA wurde durch Shibboleth (auch Single Sign-On, kurz SSO genannt) an Web-Anwendungen bereits eingeführt.
FAQ
Eine Authentisierung mittels mehrerer Faktoren beginnt in vielen F?llen mit der gew?hnlichen Eingabe eines guten Kennworts. Das System, in das sich Nutzerin oder Nutzer einloggen m?chten, best?tigt daraufhin die Richtigkeit des eingegebenen Kennworts. Dies führt jedoch nicht - wie bei einfachen Systemen üblich - direkt zum gewünschten Inhalt, sondern zu einer weiteren Schranke. Auf diesem Weg wird verhindert, dass unbefugte Dritte Zugang zu Nutzerdaten oder Funktionen erhalten, nur weil sie in den Besitz des Kennworts gelangt sind.
Viele übliche Zwei-Faktor-Systeme greifen nach der Kennwortabfrage auf externe Systeme zurück, um eine zweistufige ?berprüfung der Nutzerin oder des Nutzers durchzuführen. Das kann bedeuten, dass der Anbieter, bei dem Sie sich anmelden m?chten, einen Best?tigungscode an ein weiteres Ihrer Ger?te sendet, z. B. Ihr Smartphone. Der zweite Faktor kann allerdings auch Ihr Fingerabdruck auf einem entsprechenden Sensor oder die Verwendung eines USB-Tockens oder einer Chipkarte sein. Erst wenn sich auch dieses Mittel zur Identit?tsbest?tigung in Ihrem Besitz befindet, sind Sie in der Lage, die angeforderten Inhalte aufzurufen und den Online-Dienst oder das Ger?t zu benutzen.
TAN/OTP-Systeme als zweiter Faktor nach einem Kennwort: Eine TAN bzw. ein OTP ist ein Einmalkennwort, das als zweiter Faktor übermittelt werden kann. In der Vergangenheit wurden TANs vorab auf Papierlisten (iTAN) bereitgestellt. Dieses Verfahren gilt jedoch seit geraumer Zeit als nicht mehr sicher genug. Besser sind TAN-Generatoren (Hardware) bzw.AuthenticatorApps (Software), die Einmalkennw?rter zeit- oder ereignisbasiert stets neu generieren. Noch sicherer sind TAN-Generatoren, die in die Erzeugung der TAN auch Daten aus der Transaktion (z.B. Kontonummer und Betrag) einbeziehen (eTAN, chipTAN).
Alternativ wird die TAN der Benutzerin oder dem Benutzer vom Diensteanbieter auf einem anderen ?bermittlungsweg bzw. an ein anderes Endger?t übermittelt. G?ngig ist hier vor allem die ?bermittlung per SMS (mTAN, smsTAN) ggf. mit Angabe zus?tzlicher Transaktionsinformationen. Es ist jedoch davon abzuraten, für den Empfang der mTAN dasselbe Ger?t zu verwenden wie für das Loginbzw. die Nutzung des Dienstes (keine ausreichende Trennung der Faktoren).
Kryptographische Token: Ein kryptographisches Token speichert einen privaten kryptographischen Schlüssel. Die Authentisierung erfolgt durch das Senden einer Anforderung an das Token, die das Token nur mithilfe des privaten Schlüssels korrekt beantworten kann.
Der Schlüssel kann als Softwarezertifikat gespeichert werden (bekannt von ELSTER), sicherer ist aber die Speicherung in Hardware auf einer Chipkarte (HBCI, Signaturkarten) oder einem speziellen USB-Stick/NFC-Token (FIDO/U2F). Auch der Personalausweis und der elektronische Aufenthaltstitel enthalten einen sicheren Schlüsselspeicher und erm?glichen damit die Online-Ausweisfunktion.
Biometrische Systeme: Bei biometrischen Systemen wird das Vorhandensein eines zuvor erfassten einzigartigen k?rperlichen Merkmals überprüft (Fingerabdruck, Gesicht, Retina). Biometrische Merkmale sind im Normalfall nicht "geheim", sodass eine Lebenderkennung wichtig ist, damit die Systeme nicht z.B. mit einem Foto ausgetrickst werden k?nnen.
Die Best?tigung unserer Identit?t gegenüber digitalen Systemen stellt für die meisten Menschen eine Routinehandlung dar, über die wir nicht aktiv nachdenken. Im Unterschied dazu befassen sich Sicherheitsexperten hingegen sehr intensiv mit Login-Verfahren. Aus Perspektive der Informationssicherheit l?uft die Anmeldung eines Benutzers in drei klar getrennten Phasen ab:
- Authentisierung bezeichnet den Nachweis der Identit?t durch den Benutzer, z.B. durch die Eingabe von Benutzername und Passwort.
- Authentifizierung bezeichnet die Kontrolle der Identit?t durch das System, also die ?berprüfung der Angaben und gegebenenfalls die Forderung zus?tzlicher Nachweise im Rahmen der MFA
- Autorisierung beschreibt die Zuweisung von Rechten auf Basis der nachgewiesenen Identit?t, also der Zugriff, der dem Benutzer nach erfolgreicher Anmeldung gew?hrt wird.
Der Unterschied zwischen Authentisierung, Authentifizierung und Autorisierung kann wie folgt zusammgefasst werden:
Authentisierung ist der Nachweis der Identit?t, Authentifizierung die ?berprüfung der Identit?t und Autorisierung der Zugang zum System nach bestandener Kontrolle.
Im Alltag sind diese einzelnen Schritte natürlich eng miteinander verknüpft, weshalb die Begriffe h?ufig synonym gebraucht werden k?nnen.