24. August 2022 Mehrfaktor-Authentifizierung im Fokus: Methoden und Entwicklungen

Fast jeder hat sie schon mal verwendet: die Multifaktor-Authentifizierung. IT-Security-Expertin Silvie Schmidt im Gespräch über Möglichkeiten der Multifaktor-Authentifizierung zum Schutz persönlicher Online-Konten.

Die Mehrfaktor-Authentifizierung (MFA) kombiniert mindestens zwei unterschiedliche Methoden der Authentifizierung einer Userin oder eines Users. Online-Konten können dadurch weitaus effektiver geschützt werden als durch die herkömmliche Eingabe eines Benutzernamens und eines Passwortes. Silvie Schmidt ist Mitarbeiterin im Kompetenzzentrum für IT-Security an der FH Campus Wien und erklärt im Interview, welche MFA-Methode am sichersten ist und wie in naher Zukunft der goldene Mittelweg zwischen Usability und Security aussehen könnte.

Methoden der Mehrfaktor-Authentifizierung: ein Interview 

Was versteht man unter Mehrfaktor-Authentifizierung?
Silvie Schmidt: Es gibt drei Arten von Faktoren für eine Authentifizierung: etwas, das ich weiß; etwas, das ich habe; und etwas, das ich bin. Werden mindestens zwei dieser Faktoren kombiniert, nennt man das Mehrfaktor-Authentifizierung.

Können Sie für jeden dieser Faktoren ein Beispiel nennen?
Schmidt: Etwas, das ich weiß, ist zum Beispiel das klassische Passwort. Etwas, das ich habe, ist etwa die Bankomatkarte. Etwas, das ich bin, ist biometrisch wie der Fingerabdruck oder die Iris.

In welchen Bereichen sollte die Mehrfaktor-Authentifizierung eingesetzt werden?
Schmidt: Am verbreitetsten ist die MFA sicher im Bankwesen, wo ich Bankomatkarte und PIN haben muss. Aber auch mobile Apps für Onlinebanking funktionieren nach diesem Prinzip. Die Userin oder der User bekommt via SMS eine TAN oder PIN, die nur einmal verwendet werden kann. Immer mehr Online-Services wie PayPal und Amazon bieten inzwischen die Zwei-Faktor-Authentifizierung an.

Sinnvoll ist sie überall, wo ich mich authentifizieren muss. Es gibt vielleicht Dienste, für die ein Account angelegt werden muss, beispielsweise um ein PDF herunterzuladen – da spielt das eine weniger wichtige Rolle. Insbesondere wenn ich den Dienst nur einmal verwenden möchte. Aber überall dort, wo ich einkaufe, wo meine Bankdaten hinterlegt sind, mein E-Mail-Konto geschützt bleiben soll, würde ich die Mehrfaktor-Authentifizierung dringend empfehlen.

Welche Kombination von Faktoren ist am sichersten?
Schmidt: Die Frage lautet: Was ist die sicherste Variante für welchen Zweck? Es kommt sehr auf die Art der Applikation an. Beim Onlinebanking oder im medizinischen Bereich werde ich als Userin oder User mehr Anforderungen an die Sicherheit haben als anderswo.

Die sicherste Variante ist meines Erachtens ein Krypto-Hardware-Schlüssel, kombiniert mit einem zusätzlichen Passwort. Krypto-Hardware (Hardware-Token) ist häufig ein USB-Stick oder ein kleiner Chip, der über Bluetooth oder NFC funktioniert. Zusätzlich zu diesem Schlüssel ein Passwort oder eine PIN zu verwenden, ist eine sehr zuverlässige Methode der MFA.

Das Passwort muss man ja nicht weglassen. Es gibt Passwort-Manager, die dabei helfen, starke Passwörter zu generieren, und diese auch verwalten. Das heißt, ich brauche mir nur ein einziges schwieriges Kennwort zu merken. In Kombination mit einem Krypto-Hardware-Token sind Userinnen und User sehr sicher unterwegs. Das wäre meine Empfehlung.

Können Sie die Technologie hinter Krypto-Hardware erklären?
Schmidt: Das Krypto-Token ist wie ein Schlüssel. Das zugrundeliegende Sicherheitsprotokoll nennt sich „Universal Second Factor“ (U2F). Gegenwärtig wird daran gearbeitet, den U2F-Standard für alle denkbaren Services einzurichten. PayPal hat das zum Beispiel schon. Im Idealfall kann ich den Standard dann für Onlinebanking, Google, Amazon beziehungsweise für einen Webshop meiner Wahl verwenden. Im Vorfeld müssen die Dienste dieses Protokoll aber auch implementiert haben. „Universal Second Factor“ ist insofern universal, als der Schlüssel bei allen möglichen Services und Diensten zum Einsatz kommen kann. Dabei werden kryptografische Schlüssel ausgetauscht und ein digitales Zertifikat erstellt.

Welcher der drei Faktoren kann am leichtesten ausgetrickst werden?
Schmidt: Passwörter sind wahrscheinlich am leichtesten zu knacken. Das ist auch im Bereich IoT, dem Internet of Things, die größte Schwachstelle. Die häufigsten Passwörter weltweit sind nach wie vor „12345678“, „Mama123“ und Ähnliches. Solche Kennwörter können sehr leicht geknackt werden. Die Untergrenze in Bezug auf Sicherheit bildet nach heutigem Stand ein Passwort von mindestens zwölf Zeichen. Bei der Biometrie haben wir ein anderes Problem: Wenn mein Fingerabdruck einmal geleakt wurde, kann ich den nicht einfach wechseln wie ein Passwort.

Wie könnte ein Fingerabdruck geleakt werden?
Schmidt: Wenn das biometrische System nicht gut implementiert ist und keine sogenannte Lebenderkennung hat, kann das System mit einem nachgemachten Fingerabdruck aus Wachs oder Superkleber überlistet werden. Das ist alles schon vorgekommen. Natürlich wurden diese Sicherheitslücken geschlossen, aber man hinkt den Angreiferinnen und Angreifern stets ein bisschen hinterher. Die kommen immer wieder auf neue Ideen.

Die Zwei-Faktor-Authentifizierung mittels SMS-Einmalcode ist weit verbreitet. Unter welchen Umständen könnte es hier zu einem Cyberangriff kommen?
Schmidt: SMS ist leider nicht so sicher, wie viele glauben. Es ist relativ leicht, eine SIM-Karte zu klonen. Dann bekommt auch die Angreiferin oder der Angreifer die PIN oder TAN zugeschickt. Die dafür benötigten Tools sind günstig und leicht erhältlich.

Auf welche Sicherheitsrisiken sollten Userinnen und User im Allgemeinen achten?
Schmidt: Wenn ich alles auf dem Smartphone habe, also zum Beispiel die Banking-App und auch die App, die mir das Einmalkennwort schickt, dann gehe ich ein gewisses Risiko ein. Wenn das Handy gestohlen wird, hat die Angreiferin oder der Angreifer mit einem Schlag alles in der Hand.

Wie wird sich die Mehrfaktor-Authentifizierung weiterentwickeln?
Schmidt: Es gibt zwei Trends, die wir beobachten. Das ist einerseits U2F, der Universal Second Factor. Andererseits gibt es das Social Login, das per Single-Sign-on-Verfahren die Authentifizierung mit bestehenden Anmeldedaten ermöglicht. Ein Beispiel: Ich authentifiziere mich bei Google sicher über die Mehrfaktor-Authentifizierung und Google authentifiziert mich dann gegenüber Drittanbietern wie etwa PayPal. Das ist ein Weg, der Usability und Security vereint – eine Methode, die nicht zu kompliziert oder zu aufwendig ist, um sie im Alltag anzuwenden.

Was würden Sie Userinnen und Usern empfehlen, um Online-Zugänge besser abzusichern?
Schmidt: Wann immer Sie die Möglichkeit haben, zwei oder mehrere Faktoren für die Authentifizierung zu wählen – tun Sie es. Die Wahrscheinlichkeit, dass Sie gehackt werden, sinkt, grob geschätzt, um 70 Prozent.

Was steht einer flächendeckenden Einführung der Mehrfaktor-Authentifizierung im Weg?
Schmidt: Sicherlich Bequemlichkeit, aber auch Unwissenheit. Wir sind seit Jahren bemüht, in öffentlichen Workshops Bewusstsein zu schaffen. Vielen Menschen ist gar nicht klar, was es bedeutet, wenn ein Passwort geleakt wird, oder was es für Wege gibt, Anmeldeprozesse im Netz sicherer zu gestalten.