10.05.2017 Zwei-Faktor-Authentifizierung

Wir leben in einem Zeitalter, in dem es immer schwieriger wird Daten vor Dritten zu schützen, da Phishing und Malware-Angriffe immer aggressiver und ausgeklügelter werden.

Die Zwei-Faktor-Authentifizierung (2FA) soll helfen sensible Daten besser zu schützen indem sie Anmeldungen, die Benutzernamen (Identifizierung) und Passwort (Authentifizierung) benötigen, um einen zusätzlichen Authentifizierungsschritt erweitert. Das Entscheidende dabei ist, dass dafür ein gesonderter Übertragungskanal verwendet wird. Diese doppelte Absicherung reduziert das Risiko, dass Dritte unautorisierten Zugriff auf sensible Daten erlangen.

Grundsätzlich gibt es drei unterschiedliche Möglichkeiten, um sich auszuweisen:

  • durch Wissen (z. B. Passwort)
  • durch Besitz (z. B. Bankomatkarte, Token)
  • durch biometrische Merkmale (z. B. Fingerabdruck) 

„Token“ ist ein Überbegriff für jegliche Technologien, mit deren Hilfe sich eine Person authentisieren kann. Hierzu zählen sowohl Hardware-Tokens als auch Software-Tokens. Hardware-Tokens sind beispielsweise Smartcards, USB-Tokens und RFID-Chips, mit denen Einmalpasswörter generiert werden, oder auch Smartphones, an die ein Authentifikationsfaktor übertragen wird. Software-Tokens benötigen keine zusätzliche Hardware – hier werden via Software One-Time-Passwords (OTPs) generiert. Solche Einmalpasswörter sind Passwörter, die ein einziges Mal verwendet werden können und danach ihre Gültigkeit verlieren.

Eine bekannte Zwei-Faktor-Authentifizierung ist das Zusammenspiel von Bankomatkarte (der Besitz) und die dazugehörige PIN (das Wissen). Um Bargeld beheben zu können, werden beide Bestandteile benötigt. Das Gleiche gilt für Online-Überweisungen, bei denen die Anmeldedaten (das Wissen) und – zur Freigabe einer Überweisung – die TAN (der Besitz) vorliegen müssen. Früher funktionierte dies mit einer im Voraus generierten TAN-Liste, welche von der Bank postalisch der Kundin oder dem Kunden zugestellt wurde. Dabei war jede TAN ein einziges Mal gültig. Heutzutage sind die meisten Banken von Papier-TANs auf ihre digitalen Pendants umgestiegen: per SMS (je nach Bank wird dieses Verfahren unterschiedlich benannt: smsTAN, mobileTAN, TAC-SMS), TAN-Generator oder digitaler Signatur. Ein TAN-Generator ist ein selbstständiges Gerät, in das eine EC-Karte gesteckt wird und nach der Eingabe eines PIN-Codes eine TAN generiert wird. So ein TAN-Generator hat durch die zusätzliche Einbeziehung der EC-Karte und der fehlenden Vernetzung eine hohe Sicherheit. Nichtsdestotrotz sind smsTAN wegen ihrer einfachen Bedienung und schnellen Verfügbarkeit bei Kundinnen und Kunden am beliebtesten, da kein weiteres Gerät – außer dem in der Regel bereits vorhandenen Mobiltelefon – benötigt wird. So eine smsTAN hat einen Gültigkeitszeitraum von typischerweise nur einigen wenigen Minuten, was einen Missbrauch stark einschränkt.

Physikalische Tokens zu verwenden ist für die Anbieter ein zu beachtender Kostenpunkt, da die Tokens  gekauft, einer speziellen Person zugewiesen und dieser zugestellt werden müssen. Außerdem haben diese in der Regel eine begrenzte Lebensdauer von ein bis fünf Jahren und werden gerne verlegt oder gehen verloren. Da viele Unternehmen derzeit von COPE (Corperate Owned, Personally Enabled) auf BYOD (Bring Your Own Device) umstellen, entwickelt sich ein Trend, dies zu BYOT (Bring Your Own Token) auszubauen, und das Smartphone der Mitarbeiterinnen und Mitarbeiter als Token-Empfänger zu verwenden. 

Die Verwendung eines Smartphones als Empfänger für OTPs wird auch als tokenlose Authentifizierung bezeichnet, da kein extra Hardware-Token von Anbietern zur Verfügung gestellt werden muss, sondern das Smartphone der Kundin oder des Kunden als Empfangs- oder Anzeigegerät für Tokens dient.

Die tokenlose Authentifizierung etabliert sich mittlerweile auch außerhalb der Bankenbranche und unternehmensinternen Systemen. Google unterstützt beispielsweise eine Zwei-Faktor-Authentifizierung als Anmeldeverfahren für seine Dienste, bei dem das Smartphone verwendet wird, um OTPs zu empfangen. Dies bedeutet, dass entweder ein SMS-Dienst verwendet wird, der bei einem Anmeldungsversuch in das Google-Konto ein OTP per SMS sendet, oder alternativ dazu eine von Google bereitgestellte App (Google Authenticator) verwendet wird, um gültige OTPs anzuzeigen. Die App-Lösung ist nicht auf eine Mobilfunkverbindung angewiesen und bietet daher mehr Flexibilität.

Das System der tokenlosen Authentifizierung mit dem Mobiltelefon erhöht jedoch nur dann die Sicherheit, wenn das Mobiltelefon nicht auch zur Anmeldung auf dem Konto verwendet wird, für welches das OTP angefordert wird. Der Sinn des Tokens ist es einen zweiten, unabhängigen Authentifizierungsfaktor zu liefern, der über einen gesonderten Kanal übertragen oder generiert wird. Falls aber zum Beispiel das Google-Konto über das Smartphone aufgerufen wird und das OTP für die Anmeldung ebenfalls auf das Smartphone gesendet wird, ist die Risikominimierung, die durch Verwendung der Zwei-Faktor-Authentifizierung entstehen sollte, nicht mehr gegeben, da beide Authentifizierungsschritte auf demselben Gerät stattfinden und somit eine mögliche Angriffsstelle für Kriminelle gegeben ist.

Jede Art des Tokens hat seine Vor- und Nachteile, daher ist es wichtig, einen gewissen Grad an Flexibilität zwischen den verschieden Methoden zu erlauben. Der Nachteil bei der Verwendung eines Smartphones ist, dass es zum Zeitpunkt der Authentifikation aufgeladen und verfügbar sein muss, da ansonsten kein OTP zugesendet oder angezeigt werden kann. Zu bedenken ist auch, dass es bei Verlust, Diebstahl oder Defekt des Smartphones nicht möglich sein wird, sich ohne größeren Aufwand in ein durch Zwei-Faktor-Authentifizierung gesichertes Konto einzuloggen. 

In Österreich besteht eine weitere Möglichkeit der Zwei-Faktor-Authentifizierung. Im Zuge der Forcierung des e-Governments wurde mit der Bürgerkarte als Token eine elektronische Möglichkeit geschaffen, sich amtlich auszuweisen. Dies ist auch im österreichischen E-Government-Gesetz verankert. Bei der Bürgerkarte fallen keine zusätzlichen Kosten an, da die Funktion der Bürgerkarte auf der bereits verbreiteten „e-card“ lediglich aktiviert werden muss. Auch an eine tokenlose Authentifizierung wurde gedacht und mit der „Handy-Signatur“ geschaffen. Das Mobiltelefon stellt dabei den Faktor des Besitzes dar und empfängt den Einmalcode (OTP), der fünf Minuten gültig ist. Ein weiterer Vorteil in Österreich: die Handy-Signatur und die Bürgerkarte können für eine rechtsgültige elektronische Unterschrift genutzt werden, diese ist durch das Signaturgesetz der eigenhändigen Unterschrift gleichgestellt.

Fazit

Die Zwei-Faktor-Authentifizierung bietet durch die Kombination mehrerer Authentifizierungsschritte eine höhere Sicherheit für Konten. Jede Nutzerin und jeder Nutzer muss für sich entscheiden, ob der Mehraufwand, der mit der Zwei-Faktor-Authentifizierung verbunden ist, für das jeweilige Konto sinnvoll ist. Falls eine tokenlose Authentifizierung verwendet wird, sollten Nutzerinnen und Nutzer unbedingt darauf achten, dass die OTPs nicht auf das Gerät geschickt werden, welches für die Anmeldung oder Überweisung verwendet wird.

Weiterführende Informationen:

Datum der Veröffentlichung: 10.05.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria