Was ist 2FA und welche Methode solltest du wählen

Zwei-Faktor-Authentisierung ist eine Methode, um einen relativ sicheren Identitätsnachweis eines Nutzers oder Kunden zu gewährleisten. Man denke hier an die Kombination von Passwörtern und per SMS versendeten Codes bei Online-Accounts oder die Kombination aus Bankkarte und PIN bei privaten Banktransaktionen. Nun gibt es Methoden, die sicherer sind als andere. Welche das sind und warum werden wir in diesem Artikel erläutern.

Wie funktioniert 2FA?

Zwei-Faktor-Authentisierung (2FA) setzt, wie der Name suggeriert, zwei Faktoren voraus, die eine erfolgreiche Authentisierung
überhaupt erst möglich machen. Fehlt oder scheitert ein Faktor, so wird der Zugriff verweigert. Dabei kommende Faktoren in Frage:
• Wissen (Passwort, Pin, Transaktionsnummer)
• Besitz (Bankkarte, App, physischer Schlüssel, Hardware-Token)
• Inhärenz (biometrische Charakteristika wie Fingerabdruck (Touch-ID), Iris-Erkennung, Face-ID (Gesichtserkennung))

Warum 2FA wichtig ist

Auch wenn es immer noch Menschen gibt, die ihre Accounts mit “Passwort”, “1234” oder den Ziffern ihres Geburtstags sichern wollen,
so dürfte vielen Nutzern inzwischen klar sein, dass ein starkes Passwort ein wichtiger Bestandteil ihres Online-Lebens ist. Beim Erstellen
von Passwörtern in Accounts wird man automatisch darauf hingewiesen, wie stark oder schwach ein Passwort ist. So ist vielerorts die Kombination aus mindestens 8 Zeichen, Groß- Kleinbuchstaben, Zahlen und Sonderzeichen in Gebrauch. Das führt in der Praxis jedoch zu Passwörtern, die sich Menschen nicht gut merken können, vor allem wenn man bestrebt ist, nicht bei jedem Account das gleiche Passwort zu verwenden. Das wiederum erklärt die Beliebtheit von Passwort-Managern. Wenn jetzt aber Hacker oder andere bösartige Akteure Kenntnis vom Passwort haben und sich dadurch Zugriff zum Account verschaffen, so ist man diesem Angriff schutzlos ausgeliefert, da er eben nur auf dem Faktor Wissen (Passwort) beruht. Käme in diesem Szenario noch ein zweiter Faktor hinzu, so wäre es für den Angreifer bedeutend schwieriger, wenn nicht sogar unmöglich, den Angriff erfolgreich abzuschließen.

Verschiedene 2FA Methoden

Folgende 2FA werden heutzutage häufig verwendet:
• SMS
• Apps zur Generierung von Einmalpasswörtern
• Hardware Token
Wenn wir die drei Methoden vergleichen, so kann man sagen dass SMS und Apps weniger sicher und privat sind als Hardware Token. Bei SMS kann ein Sicherheitscode ggf. direkt vom Handybildschirm abgelesen werden, auch im Lock Screen. Darüber hinaus sind SMS nicht verschlüsselt und können abgefangen werden. Sie sind keinesfalls vor Angriffen sicher, wie eine fünf Jahre andauernde Datenpanne eines großen Telekommunikationsproviders erst jüngst deutlich machte.

Erschwerend hinzu kommen Bedenken aus der Privacy-Szene, die in der Kombination aus Passwörtern und SMS einen gewaltigen Einschnitt in die Privatsphäre sehen, wenn diese Methode von großen Tech-Konzernen verwendet wird. Wenn also ein Social-Media Gigant nicht nur die E-Mail-Adresse und die IP-Adresse von Nutzern hat, sondern eben auch deren Telefonnummer, die wiederum in den meisten Ländern an einen echten Identitätsnachweis geknüpft ist und mit Gerätekennnummern und Device-Fingerprinting eben auch an eindeutig identifizierbare Hardware wie Smartphones, so bedeutet das für den Nutzer zwar vielleicht ein sicheres einloggen in das soziale Netzwerk seiner Wahl. Gleichzeitig wird damit das Tracken und Verfolgen des Nutzers Plattform- und Geräteübergreifend wesentlich einfacher für jene Firmen. Und dass es mit diesem Einschnitt in die Privatsphäre längst nicht nur bei personalisierter Werbung bleibt, muss an dieser Stelle nicht diskutiert werden.

Apps können zwar im gleichen Maße Einmalpasswörter generieren und für einen zusätzlichen Sicherheitswall sorgen. Aber auch hier ist die Sicherheit gefährdet, wenn das Gerät mit Zugriff auf die App gestohlen wird.

Warum sind Hardware-Token sicherer als andere Methoden?

Hardware Token nutzen kryptografische Verschlüsselung und sind allein dadurch schon weniger leicht zu hacken. Sie müssten für einen erfolgreichen Angriff physisch gestohlen werden und darüber hinaus müsste der Passwortschutz des Gerätes umgangen werden. Hardware-Token kommunizieren nicht mit einem Server, so wie es bei SMS der Fall ist. Daher können hier auch nicht durch Man-in-the-Middle-Angriffe sensible Daten abgefangen werden. So wurde zum Beispiel im Dezember 2019 bekannt, dass zwei Python Programmbibliotheken Schadcode enthielten, der SSH und GPG-Schlüssel abgriff. SSH und GPG sind Verschlüsselungsmethoden, deren Erfolg auf der Integrität der verwendeten Public- und Private-Keys beruht. Wenn jedoch beide Schlüssel durch einen solchen Abgriff bekannt sind, haben Angreifer ein leichtes Spiel. Zwar nutzen Hardware-Token auch Public- und Private-Keys, jedoch sind die Private-Keys auf dem Gerät gespeichert und verschlüsselt und können daher nicht wie oben erwähnt kompromittiert werden.

Passwort Manager

Eine Methode, die du schon heute einrichten kannst, ist ein Passwort Manager. Dabei solltest du eine Open Source Variante wählen, die am Besten nicht mit einem Server kommuniziert. Wenn deine Passwörter auf einem anderen Rechner irgendwo am anderen Ende des Planeten gespeichert sind, ist das nicht so sicher, als wenn sie lokal auf deinem Computer gespeichert sind. Mit einem Passwort Manager kannst du ebenso Einmalpasswörter als einen zusätzlichen Faktor zu deinem normalen Passwort einrichten. Alle deine Passwörter sind mit einem Master Passwort gesichert, welches nur du kennen solltest.

Photo Credit:

Lock by FLY:D

Code by Markus Spiske

Hardware key by Sara Kurfeß