Zwei-Faktor-Authentifizierung

Über viele Jahre war es üblich, sich bei Internetdiensten mithilfe eines Benutzernamens und eines Passwortes anzumelden. Das galt für Shops oder den Telefonanbieter ebenso wie für sensiblere Bereiche wie etwa das eigene Bankkonto. Dieses Verfahren hat sich allerdings im Laufe der Zeit als unsicher erwiesen, weil Passwörter durch die Verwendung entsprechender Software zum Beispiel aus dem Browser-Cache ausgelesen oder ähnlich einer Brut-Force-Attacke erraten beziehungsweise errechnet werden können. Zudem wurden Nutzer immer wieder Opfer von Phishing-Attacken, bei denen in Mails eingefügte Links zu gefälschten Websites zum Beispiel von Banken führten, um darüber dann die Anmeldedaten der Opfer zu stehlen. Es bestand also ein dringender Bedarf an einer zusätzlichen Sicherheitsebene, und genau an dieser Stelle kommt die Zwei-Faktor-Authentifizierung (2FA) ins Spiel, die seit Mitte September 2019 durch die Anforderungen der EU-Zahlungsrichtlinie PSD2 vorgeschrieben ist.

Der Anmeldevorgang bei einem per 2FA-geschützten Konto bleibt für Sie dabei zunächst unverändert. Nach der Eingabe des Benutzernamens und des Passworts gelangen Sie jedoch nicht direkt auf die gewünschte Webseite, sondern zu einer weiteren Schranke. Diese stellt den zusätzlichen, zweiten Faktor dar. Wie diese Schranke aussieht, hängt dabei ganz vom verwendeten System ab. Viele Anbieter senden beispielsweise einen Bestätigungscode an das Smartphone des Anwenders, der sich dann durch Eingabe eines eigens erzeugten PINs oder auch per Gesichtserkennung oder Fingerabdruck identifiziert. Sind Sie Kunde der Postbank, kennen Sie dieses Verfahren vermutlich: Nach Eingabe der individuellen Postbank-ID auf der Webseite der Bank öffnet sich die BestSign App auf Ihrem Smartphone. Erst nachdem Sie von dieser App per Gesichtserkennung oder Fingerabdruck-Scan identifiziert worden sind, öffnet sich die Homebanking-Seite der Bank. Und selbst wenn Sie dort angelangt sind, benötigen Sie für jede Transaktion, die Sie vornehmen möchten, jeweils eine weitere Freigabe über die BestSign App.

Eine andere Möglichkeit zur Zwei-Faktor-Authentifizierung als die Smartphone-App kann neben einem kryptografischen Token auch ein Chip-Tan-Generator sein, in den beim Online-Banking die Girocard eingeführt wird. Anschließend wird ein auf dem Bildschirm erscheinender Barcode ausgelesen und eine individuelle TAN-Nummer generiert. Diese TAN-Nummer wird anschließend zur Bestätigung einer Transaktion ist die Maske auf dem Bildschirm eingegeben. Diese Variante eignet sich vor allem für Nutzer, die kein aktuelles Smartphone besitzen und daher keine Authentifizierung per App vornehmen können.

In einem kryptografischen Token ist ein privater Schlüssel abgelegt, der dann nach Anforderung zur Authentisierung dient. Dieser Schlüssel kann zum Beispiel in Form eines Softwarezertifikats direkt auf dem Rechner abgelegt werden, er kann sich alternativ aber auch auf speziellen Chipkarten oder einem USB-Stick befinden. Die Karte oder der Stick werden dann zur Authentisierung in den entsprechenden Slot des Endgerätes eingeschoben beziehungsweise in einen USB-Port gesteckt.

Eine weitere Möglichkeit zur zusätzlichen Authentifizierung sind 2FA-Apps wie etwa Authy von Twilio, die sowohl für Android- als auch für iOS-Geräte verfügbar ist. Authy kann zum Beispiel bei der Nutzung von Amazon, Paypal und vielen anderen Diensten als zusätzliche Sicherheitsstufe eingesetzt werden. In der Praxis funktioniert Authy in Verbindung mit Paypal so: Sie laden die App aus dem Play Store oder Apples App Store auf Ihr Smartphone und identifizieren sich mithilfe eines PINs, der per SMS auf Ihr Smartphone gesendet wird. Anschließend wählen Sie bei Paypal in den Sicherheitseinstellungen Ihres Kontos die zweistufige Verifizierung aus und wählen dort das Standardgerät und die gewünschte Authentifizierungs-App aus. Künftig muss für jede Bezahlung per Paypal und auch beim Einloggen ein sechsstelliger Code eingegeben werden, den Paypal nach Eingabe von Benutzername und Passwort über Authy anfordert. Und schließlich unterstützen Google Android- sowie iOS-Geräte die Zwei-Faktor-Authentifizierung zum Beispiel zum Schutz der eigenen Cloud-Dienste sowie der Kundenkonten. Darüber hinaus arbeitet der Google Authenticator ähnlich wie Authy auch mit anderen Diensten zusammen.

Ähnliche Lexikon Einträge