Was ist Zweifaktor-Authentifizierung? 🤔

Die Zweifaktor-Authentifizierung (2FA), oft auch Zwei-Faktor-Authentisierung geschrieben, ist ein Sicherheitsverfahren zur Überprüfung der Identität eines Nutzers (Authentifizierung), bei dem dieser erfolgreich zwei unterschiedliche und voneinander unabhängige Nachweise (Faktoren) erbringen muss, um Zugriff auf ein Konto, ein System oder eine Ressource zu erhalten. Es ist eine spezifische Form der Multi-Faktor-Authentifizierung (MFA), die eben genau zwei Faktoren kombiniert.

Das Ziel von 2FA ist es, die Sicherheit gegenüber der traditionellen Authentifizierung mittels eines einzigen Faktors (typischerweise nur etwas, das der Nutzer weiß, wie ein Passwort) signifikant zu erhöhen. Selbst wenn ein Angreifer einen der Faktoren kompromittiert (z.B. das Passwort durch Phishing oder einen Datenleak erlangt), benötigt er immer noch den zweiten, unabhängigen Faktor, um sich erfolgreich anmelden zu können.

Die drei Faktorenkategorien

Die Faktoren, die für die Authentifizierung verwendet werden können, lassen sich generell in drei Kategorien einteilen:

1. Wissen (Something you know): Informationen, die nur der legitime Nutzer kennen sollte.
   • Beispiele: Passwort, PIN (Personal Identification Number), Sicherheitsfrage/-antwort, Muster zum Entsperren.
2. Besitz (Something you have): Ein physischer oder digitaler Gegenstand, den nur der legitime Nutzer besitzen sollte.
   • Beispiele: Smartphone (für SMS-Codes oder Authenticator-App-Codes), Hardware-Token (z.B. YubiKey, RSA SecurID), Chipkarte, eine spezifische E-Mail-Adresse (für Bestätigungslinks), ein USB-Sicherheitsschlüssel.
3. Inhärenz / Sein (Something you are): Ein eindeutiges biometrisches Merkmal des Nutzers.
   • Beispiele: Fingerabdruck, Gesichtserkennung (Face ID), Iris-Scan, Stimmerkennung.

Eine echte Zweifaktor-Authentifizierung kombiniert immer Nachweise aus zwei unterschiedlichen dieser drei Kategorien. Die Kombination von zwei Faktoren aus derselben Kategorie (z.B. Passwort und PIN) gilt nicht als 2FA, sondern als zweistufige Verifizierung (Two-Step Verification - 2SV), obwohl die Begriffe manchmal umgangssprachlich vermischt werden.

Gängige 2FA-Methoden und Beispiele

In der Praxis werden verschiedene Methoden zur Umsetzung von 2FA eingesetzt:

• Passwort + SMS-Code: Nach Eingabe des Passworts (Faktor Wissen) erhält der Nutzer einen Einmalcode per SMS auf sein registriertes Mobiltelefon (Faktor Besitz). Diese Methode ist verbreitet, gilt aber als weniger sicher, da SMS abgefangen oder SIM-Karten geklont werden können (SIM Swapping).
• Passwort + Authenticator-App (TOTP/HOTP): Nach Eingabe des Passworts (Wissen) muss der Nutzer einen zeitbasierten (Time-based One-Time Password - TOTP) oder zählerbasierten (HMAC-based One-Time Password - HOTP) Code eingeben, der von einer Authenticator-App (wie Google Authenticator, Authy, Microsoft Authenticator) auf seinem Smartphone (Besitz) generiert wird. Dies gilt als sicherer als SMS-Codes.
• Passwort + Hardware-Token/Sicherheitsschlüssel: Nach Eingabe des Passworts (Wissen) muss der Nutzer einen physischen Sicherheitsschlüssel (Besitz), der oft per USB, NFC oder Bluetooth verbunden wird (z.B. YubiKey nach FIDO/FIDO2/WebAuthn Standard), an den Computer halten oder einstecken und oft zusätzlich berühren. Dies gilt als eine der sichersten Methoden.
• Passwort + Biometrie: Kombination aus Passwort (Wissen) und einem biometrischen Merkmal wie Fingerabdruck oder Gesichtserkennung (Sein) auf dem Gerät des Nutzers.
• Push-Benachrichtigungen: Nach Eingabe des Passworts erhält der Nutzer eine Benachrichtigung auf seinem registrierten Smartphone (Besitz) und muss die Anmeldung dort bestätigen (oft kombiniert mit Biometrie auf dem Handy).

Bedeutung und Implementierung

Die Zweifaktor-Authentifizierung ist heute ein essenzieller Baustein zur Absicherung von Online-Konten und Systemzugängen. Angesichts der Häufigkeit von Passwortdiebstählen durch Datenlecks, Phishing oder schwache Passwörter bietet 2FA einen erheblich verbesserten Schutz vor unautorisiertem Zugriff. Viele Online-Dienste (E-Mail-Provider, soziale Netzwerke, Cloud-Speicher, Online-Banking, Unternehmensanwendungen) bieten oder erzwingen mittlerweile die Nutzung von 2FA.

Bei der Implementierung von 2FA in eigenen Anwendungen müssen Entwickler*innen und Betreiber darauf achten, sichere Methoden zu wählen (z.B. TOTP oder FIDO2/WebAuthn bevorzugen statt SMS), den Einrichtungsprozess für Nutzer*innen möglichst einfach zu gestalten und Wiederherstellungsoptionen (Recovery Codes, Backup-Methoden) für den Fall bereitzustellen, dass der zweite Faktor verloren geht. Gleichzeitig muss der Schutz der 2FA-Mechanismen selbst (z.B. Speicherung der Geheimnisse für TOTP) sichergestellt werden. Die Einhaltung von Datenschutzbestimmungen (DSGVO) bei der Verarbeitung der für 2FA benötigten Daten (z.B. Telefonnummer, biometrische Daten) ist ebenfalls wichtig.