Was ist Zwei-Faktor-Authentifizierung? | Cyber-Glossar | Fortinet (2024)

Die Zwei-Faktor-Authentifizierung (2FA) ist ein Sicherheitsverfahren, das die Wahrscheinlichkeit erhöht, dass eine Person diejenige ist, die sie vorgibt zu sein. Bei diesem Verfahren müssen Benutzer zwei verschiedene Authentifizierungsfaktoren angeben, bevor sie auf eine Anwendung oder ein System zugreifen können, nicht nur ihren Benutzernamen und ihr Passwort.

2FA ist ein entscheidendes Sicherheitstool für Unternehmen, um ihre Daten und Nutzer angesichts einer Cyber-Sicherheits-Landschaft zu schützen, die zunehmend von ausgefeilteren Cyber-Angriffen bedroht wird. Unternehmen jedweder Größe müssen mit der Raffinesse der Angreifer Schritt halten und ihre Abwehrmaßnahmen stetig weiterentwickeln, um böswillige Akteure aus ihren Netzwerken und Systemen auszusperren.

Ein sinnvoller Ansatz zur Beantwortung der Frage, was2FAist, besteht darin, sich vor Augen zu halten, dass es sich um einen Prozess handelt, bei dem sich Unternehmen nicht allein auf die Verwendung von Passwörtern verlassen, um Zugang zu Anwendungen und Websites zu gewähren. 2FA ist genau das, was es besagt: ein zweistufiges Authentifizierungsverfahren, das den Schutz des Unternehmens um eine weitere Sicherheitsebene erweitert.

Es gibt mehrere Arten von Authentifizierungsfaktoren, die zur Bestätigung der Identität einer Person verwendet werden können. Zu den häufigsten gehören:

1. Ein Wissensfaktor:Hierbei handelt es sich um Informationen, die der Benutzer kennt, z.B. ein Passwort, eine persönliche Identifikationsnummer (PIN) oder einen Zugangscode.
2. Ein Besitzfaktor:Hierbei handelt es sich um etwas, das der Nutzer hat oder besitzt, z.B. seinen Führerschein, seinen Personalausweis, ein mobiles Gerät oder eine Authentifizierungs-App auf seinem Smartphone.
3. Ein Inhärenzfaktor:Hierbei handelt es sich um ein persönliches Attribut oder etwas, das der Benutzer ist, in der Regel eine Art biometrischer Faktor. Dazu gehören Fingerprint-Leser, Gesichts- und Stimmerkennung sowie verhaltensbiometrische Verfahren wie Tastendruckdynamik und Sprachmustererkennung.
4. Ein Standortfaktor:Hierbei handelt es sich in der Regel um den Standort, an dem ein Nutzer versucht, seine Identität zu authentifizieren. Unternehmen können die Authentifizierungsversuche auf bestimmte Geräte an bestimmten Standorten beschränken, je nachdem, wie und wo sich Mitarbeiter in ihre Systeme anmelden.
5. Ein Zeitfaktor:Hierbei handelt es sich um einen Faktor, der Authentifizierungsanfragen auf bestimmte Zeiten beschränkt, zu denen sich Benutzer in einen Dienst anmelden dürfen. Alle Zugriffsversuche außerhalb dieser Zeit werden blockiert oder eingeschränkt.

Der Prozess derZwei-Faktor-Authentifizierungbeginnt, wenn ein Benutzer versucht, sich in eine Anwendung, einen Dienst oder ein System einzuloggen, bis ihm der Zugang zur Nutzung gewährt wird. Der Authentifizierungsprozess sieht folgendermaßen aus:

• Schritt 1:Der Benutzer öffnet die Anwendung oder Website des Dienstes oder Systems, auf den bzw. das er zugreifen möchte. Er wird dann aufgefordert, sich mit seinen Anmeldedaten anzumelden.
• Schritt 2:Der Benutzer gibt seine Anmeldedaten ein, in der Regel seinen Benutzernamen und sein Passwort. Die Anwendung oder Website bestätigt die Eingabe und stellt fest, ob die Daten zur Erstauthentifizierung korrekt eingegeben wurden.
• Schritt 3:Wenn die Anwendung oder die Website keine passwortgeschützten Anmeldedaten verwendet, wird ein Sicherheitsschlüssel für den Benutzer generiert. Der Schlüssel wird vom Authentifizierungstool verarbeitet und der Server validiert die ursprüngliche Anfrage.
• Schritt 4:Der Benutzer wird dann aufgefordert, einen zweiten Authentifizierungsfaktor anzugeben. Dies ist in der Regel der Besitzfaktor, über den nur er verfügen sollte. Die Anwendung oder Website sendet beispielsweise einen eindeutigen Code an das mobile Gerät des Nutzers.
• Schritt 5:Der Benutzer gibt den Code in die Anwendung oder die Website ein, und wenn der Code genehmigt wird, wird er authentifiziert und erhält Zugang zum System.

Hardware-Token sind eine der ersten Arten von 2FA-Formaten. Es handelt sich in der Regel um kleine schlüsselanhängerartige Geräte, die alle 30Sekunden einen eindeutigen numerischen Code generieren. Wenn ein Benutzer seine erste Authentifizierungsanfrage stellt, kann er den Schlüsselanhänger benutzen und den angezeigten Code eingeben. Andere Formen von Hardware-Token sind USB-Geräte (Universal Serial Bus), die beim Einstecken in einen Computer automatisch einen Authentifizierungscode übertragen.

Ein Beispiel dafür ist YubiKey, die Abkürzung für Ubiquitous Key, ein Sicherheitsschlüssel, mit dem Benutzer einen zweiten Authentifizierungsfaktor für Dienste wie Amazon, Google, Microsoft und Salesforce verwenden können. Das USB-Gerät wird verwendet, wenn sich Benutzer bei einem Dienst anmelden, der One-Time-Passwörter (OTP) unterstützt, z.B. GitHub, Gmail oder WordPress. Der Benutzer steckt den YubiKey in seinen USB-Anschluss, gibt sein Passwort ein, klickt auf das YubiKey-Feld und drückt eine Taste auf dem Gerät. Es generiert ein 44-stelliges OTP und gibt es automatisch auf dem Gerät des Benutzers ein, um ihn mit einem eigenen 2FA-Faktor zu verifizieren.

Die Ausgabe von Hardware-Token ist für Unternehmen in der Regel kostspielig. Außerdem gehen sie leicht verloren und können selbst von Hackern geknackt werden, was sie zu einer unsicheren Authentifizierungsoption macht.

2FA-Faktoren für Kurznachrichtendienste (SMS) und Textnachrichten werden erzeugt, wenn ein Benutzer versucht, sich in einer Anwendung oder einem Dienst anzumelden. Es wird eine SMS-Nachricht mit einem eindeutigen Code an das mobile Gerät des Nutzers gesendet, den dieser dann in die Anwendung oder den Dienst eingibt. Dieser 2FA-Faktortyp wird von Banken und Finanzdienstleistern verwendet, um Einkäufe oder Änderungen zu verifizieren, die Kunden an ihren Online-Banking-Konten vornehmen. Angesichts der Leichtigkeit, mit der Textnachrichten abgefangen werden können, verzichten sie jedoch im Allgemeinen auf diese Option.

Ähnlich wie der SMS-Faktor funktioniert die 2FA für Sprachanrufe. Wenn ein Benutzer seine Anmeldedaten eingibt, erhält er einen Anruf auf sein mobiles Gerät, der ihm den 2FA-Code mitteilt, den er eingeben muss. Dieser Faktor wird weniger häufig verwendet, wird aber von Organisationen in Ländern mit geringer Smartphone-Nutzung eingesetzt.

Ein häufiger verwendetes Format für die passwortlose zweistufige Authentifizierung sind Push-Benachrichtigungen. Anstatt einen Code per SMS oder Sprachnachricht auf ihr mobiles Gerät zu erhalten, das gehackt werden kann, können Benutzer stattdessen eine Push-Benachrichtigung an eine sichere App auf dem Gerät senden, das für das Authentifizierungssystem registriert ist. Die Benachrichtigung informiert den Benutzer über die angeforderte Aktion und macht ihn darauf aufmerksam, dass ein Authentifizierungsversuch stattgefunden hat. Dann genehmigt oder verweigert er den Zugangsantrag schlichtweg.

Dieses Authentifizierungsformat stellt eine Verbindung zwischen der Anwendung oder dem Dienst, auf die bzw. den der Benutzer zuzugreifen versucht, dem 2FA-Service-Provider, dem Benutzer selbst und seinem Gerät her. Es ist benutzerfreundlich und verringert die Möglichkeit von Sicherheitsrisiken wie Phishing, Man-in-the-Middle (MITM)-Angriffen, Social Engineering und unbefugten Zugriffsversuchen.

Smartphones bieten eine Vielzahl von Möglichkeiten für 2FA, sodass Unternehmen das auswählen können, was für sie am besten geeignet ist. Einige Geräte sind in der Lage, Fingerprints zu erkennen. Eine eingebaute Kamera kann zur Gesichtserkennung oder zum Scannen der Iris verwendet und das Mikrofon zur Spracherkennung genutzt werden. Smartphones, die mit einem Global Positioning System (GPS) ausgestattet sind, können den Standort als zusätzlichen Faktor verifizieren. Auch Sprachnachrichten oder SMS können als Kanal für dieOut-of-Band-Authentifizierung verwendet werden.

Eine vertrauenswürdige Telefonnummer kann verwendet werden, um Verifizierungscodes per Textnachricht oder automatischen Anruf zu erhalten. Ein Benutzer muss mindestens eine vertrauenswürdige Telefonnummer verifizieren, um sich für 2FA anzumelden.Apple iOS, Google Android und Windows 10 verfügen alle über Anwendungen, die 2FA unterstützen, sodass das Telefon selbst als physisches Gerät dienen kann, um den Besitzfaktor zu bestätigen.

Duo Security mit Sitz in Ann Arbor, Michigan, das 2018 von Cisco für 2,35Milliarden US-Dollar übernommen wurde, ist ein Anbieter von 2FA-Plattformen, dessen Produkt es Kunden ermöglicht, ihre vertrauenswürdigen Geräte für 2FA zu nutzen. Die Plattform von Duo stellt zunächst fest, ob ein Benutzer vertrauenswürdig ist, bevor sie prüft, ob auch das mobile Gerät zur Authentifizierung des Benutzers vertrauenswürdig ist.

Authentifikator-Anwendungen ersetzen die Notwendigkeit, einen Verifizierungscode per SMS, Anruf oder E-Mail zu erhalten. Um beispielsweise auf eine Website oder einen webbasierten Dienst zuzugreifen, der Google Authenticator unterstützt, geben Benutzer ihren Benutzernamen und ihr Passwort ein– ein Wissensfaktor. Die Benutzer werden dann aufgefordert, eine sechsstellige Nummer einzugeben. Anstatt ein paar Sekunden auf den Erhalt einer Textnachricht warten zu müssen, generiert ein Authentifikator die Nummer für sie. Diese Nummern ändern sich alle 30Sekunden und sind bei jeder Anmeldung anders. Durch die Eingabe der richtigen Nummer schließen die Nutzer den Verifizierungsprozess ab und weisen den Besitz des richtigen Geräts nach– ein Besitzfaktor.

2FA ist eine Unterkategorie des umfassenderen Konzepts der Multi-Faktor-Authentifizierung (MFA). Bei MFA müssen Benutzer mehrere Authentifizierungsfaktoren bestätigen, bevor sie Zugang zu einem Dienst erhalten. Es handelt sich um ein zentrales Element jeder Identitäts- und Zugriffsverwaltungslösung (identity and access management, IAM), das das Risiko einer Datenschutzverletzung oder eines Cyber-Angriffs verringert, indem es die Wahrscheinlichkeit erhöht, dass ein Benutzer derjenige ist, der er vorgibt zu sein.

Der Hauptunterschied zwischen 2FA und MFA besteht darin, dass 2FA nur eine zusätzliche Form des Authentifizierungsfaktors erfordert. MFA hingegen kann die Verwendung so vieler Authentifizierungsfaktoren beinhalten, wie die Anwendung erfordert, bevor sie davon ausgeht, dass der Benutzer derjenige ist, der er vorgibt zu sein.

Dies liegt daran, dass ein Angreifer einen Authentifizierungsfaktor wie den Personalausweis oder das Passwort eines Mitarbeiters kompromittieren kann. Folglich müssen Unternehmen weitere Authentifizierungsfaktoren einsetzen, die die Tätigkeit der Hacker erschweren. Hochsichere Umgebungen erfordern beispielsweise häufig umfangreichere MFA-Prozesse, die eine Kombination aus physischen und Wissensfaktoren sowie biometrischer Authentifizierung umfassen. Dabei werden oft auch Faktoren wie der geografische Standort, das verwendete Gerät, die Zeit, zu der auf den Dienst zugegriffen wird, und die laufende Überprüfung des Verhaltens berücksichtigt.

Die Notwendigkeit einer Authentifizierung mit mehreren Faktoren, bevor einem Benutzer der Zugang zu einer Anwendung oder Website gewährt wird, ist von Natur aus sicherer als die alleinige Verwendung von Kombinationen aus Benutzernamen und Passwort. Daher ist die 2FA sicherer als die alleinige Eingabe eines einzigen Passworts durch den Benutzer. Nach derselben Logik kann MFA auch als sicherer als 2FA angesehen werden, da sie es Organisationen ermöglicht, Benutzer zur Eingabe mehrerer Authentifizierungsfaktoren aufzufordern.

Allerdings gibt es Schwachstellen in den Sicherheitsstufen der 2FA. So kann bei der Zwei-Faktor-Authentifizierung beispielsweise die Verwendung von Hardware-Token eine Organisation angreifbar machen, wenn der Gerätehersteller eine Sicherheitslücke erfährt. Dies war der Fall, als das Sicherheitsunternehmen RSA im Jahr 2011 eine Datenschutzverletzung erlitt, weil seine SecurID-Authentifizierungs-Token gehackt worden waren.

Auch andere Authentifizierungsfaktoren haben ihre Schwächen. SMS-2FA ist kostengünstig und für Mitarbeiter einfach zu verwenden, aber anfällig für Cyber-Angriffe. Die Verwendung von SMS für 2FA wurde vom National Institute of Standards and Technology (NIST) mit der Begründung abgelehnt, sie sei anfällig für verschiedene Portabilitätsangriffe und Malware-Probleme.

Unternehmen verwalten zunehmend Identitätsumgebungen, die mehrere Systeme in Form von Cloud-Anwendungen, Verzeichnisdiensten, Netzwerkgeräten und Servern umfassen. Diese entwickeln sich schnell zu einer äußerst anspruchsvollen verwaltungstechnischen Herausforderung, die zu einem schlechten Benutzererlebnis führt, Anwendungsentwickler verwirrt und Administratoren vor einen logistischen Alptraum stellt. Infolgedessen machen sich Unternehmen anfällig für Datenschutzverletzungen durch Code-Schwachstellen, unangemessene Benutzerzugriffsrechte und schlecht verwaltete Software-Updates.

Die FortinetIdentitäts- und Access Management-Lösungbietet Unternehmen den Service, den sie benötigen, um die Identitäten der Benutzer und Geräte in ihren Netzwerken sicher zu bestätigen und zu verwalten. Diese robuste Lösung ermöglicht es Unternehmen, die Kontrolle über Benutzeridentitäten zu übernehmen, und stellt sicher, dass Benutzer nur auf die Systeme und Ressourcen zugreifen können, zu deren Nutzung sie berechtigt sind.

Die Fortinet IAM-Lösung besteht aus drei Hauptkomponenten:

1. FortiAuthenticator:FortiAuthenticator schützt vor unberechtigtem Zugriff auf Unternehmensressourcen, indem es zentralisierte Authentifizierungsdienste für die Fortinet Security Fabric bereitstellt, einschließlich Single Sign-On-Dienste, Zertifikatsverwaltung und Gastzugangsverwaltung.
2. FortiToken:Bietet eine zusätzliche Bestätigung der Benutzeridentität, indem ein zweiter Faktor für die Authentifizierung bereitgestellt wird. Dies erfolgt bei der Zwei-Faktor-Authentifizierung übermobile Anwendungenund physische Token.
3. FortiToken Cloud:Diese Lösung bietet MFA as-a-Service und verfügt über ein intuitives Dashboard, mit dem Unternehmen ihre MFA-Lösung verwalten können.

Diese drei Komponenten zusammengenommen sind die Antwort auf die IAM-Herausforderungen, denen sich Unternehmen bei der Organisation größerer Mitarbeiterzahlen gegenübersehen, die von einer wachsenden Anzahl von Geräten aus Zugriff auf ihre Systeme verlangen.