Was ist die Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung, kurz 2FA, nutzt zwei unabhängige Komponenten. Mit 2FA lässt sich eine Erhöhung der Authentifizierungssicherheit gegenüber einfachen Anmeldeverfahren per Passwort realisieren. Dadurch wird der Identitätsdiebstahl erschwert.

Die 2FA unterscheidet sich vom einfachen Anmeldeverfahren mit Anmeldenamen und Kennwort dadurch, dass zwei unabhängige Komponenten (Faktoren) für die Anmeldung genutzt werden. Der Identitätsnachweis lässt sich somit wesentlich sicherer gestalten. 2FA stellt eine Form der Multi-Faktor-Authentifierung (MFA) dar und verhindert den Diebstahl von Identitäten durch einfachen Passwortklau. Die verschiedenen Faktoren lassen sich in Besitz-, Wissens- und Merkmalfaktoren einteilen. Mittlerweile empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) den grundsätzlichen Einsatz der Zwei-Faktor-Authentifizierung für die Nutzung von IT-Services in seinen IT-Grundschutz-Katalogen.

Bei der Anmeldung mittels 2FA müssen beide Faktoren vorhanden und korrekt sein. Ist ein Faktor fehlerhaft oder nicht vorhanden, kann keine Authentifizierung des Benutzers durchgeführt werden und der Zugang wird verweigert.

Abfrage des Bestätigungscodes für die Zwei-Faktor-Authentifizierung
Abbildung 9 Abfrage des Bestätigungscodes für die Zwei-Faktor-Authentifizierung

Der große Vorteil der 2FA besteht darin, dass der Diebstahl oder das unbefugte Kopieren von Zugangskennungen zum Beispiel per Phishing, Hackerangriff oder Trojaner noch keine Anmeldung am System ermöglicht. Für den erfolgreichen Zugang, benötigt der Angreifer den zweiten Faktor.

Der gravierendste Nachteil der 2FA ist, dass der Zugewinn an Sicherheit zulasten der Benutzerfreundlichkeit bei der Anmeldung geht. Oft ist der Benutzer gezwungen, den zweiten Faktor in Form eines Tokens oder Mobiltelefons ständig mit sich zu führen. Hat er ihn vergessen oder ist er abhanden gekommen, ist eine Anmeldung am System zunächst unmöglich.

Grundsätzlich sind verschiedene Verfahren für die 2FA möglich:

E-Mail

Dem Benutzer wird der Code per E-Mail geschickt. Diese kann je nach Infrastruktur und verwendetem System verzögert zugestellt werden. Der Benutzer benötigt Zugriff auf seine E-Mails.

SMS

Dem Benutzer wird der Code per SMS auf sein Mobiltelefon geschickt. Die Zustellung erfolgt in der Regel zeitnah, Empfang vorausgesetzt.

App

Der Benutzer nutzt eine App für das Smartphone, um die Codes zu erzeugen. Der Zugriff erfolgt zeitnah.

Weitere Infos finden Sie unter BSI - M 4.133 Geeignete Auswahl von Authentikationsmechanismen.

Zurück Nach oben Weiter
 Zum Anfang