Multi-Faktor-Authentisierung

eine Methode, bei der mindestens zwei unterschiedliche Methoden für einen Authentifizierungsvorgang verwendet werden From Wikipedia, the free encyclopedia

Die Multi-Faktor-Authentifizierung (MFA), auch Multifaktor-Authentisierung, ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen IT-Grundschutzkatalogen auch Empfehlungen zur Multi-Faktor-Authentisierung für Cloudanwendungen herausgegeben.[1]

Ein Sicherheitstoken YubiKey als Teil für eine Multi-Faktor-Authentifizierung

Faktoren

Möglich sind mehrere Faktoren. Verbreitet sind zurzeit

  • „knowledge“, also „Wissen“, etwas, das der Nutzer weiß, beispielsweise ein Passwort,
  • „ownership“, also „Besitz“, etwas, das nur der Nutzer besitzt, beispielsweise ein Security-Token,
  • „inherence“, also „Inhärenz“, etwas, das der Nutzer ist, beispielsweise ein Fingerabdruck,[2]
  • „location“, also „Ort“, ein Ort, an dem sich der Nutzer befindet.[3]

Als Beispiel für mehrere Faktoren kann das Geld-Abheben an einem Geldautomaten betrachtet werden: Der Bankkunde muss seine Bankkarte besitzen („ownership“) sowie seine PIN kennen („knowledge“).

Wissen

Wissen ist der meistgenutzte Faktor zur Authentisierung. Beispiele sind Passwörter, aber auch ein Geburtsdatum und andere Sicherheitsfragen.

Besitz

Authentisierung durch Besitz kann physisch durch SmartCards erfolgen oder auch digital durch Sicherheitsschlüssel.[4]

Inhärenz

Zu Inhärenz zählen insbesondere biometrische Authentisierungsmethoden wie der Fingerabdruck, Gesichtserkennung, Sprecherauthentifizierung oder Iris-Erkennung.[5]

Angriffe

Die häufige Authentisierung bei Mobiltelefone durch SMS kann über verschiedene Wege ausgehebelt werden, da die Funktion der SMS nicht als Sicherheitsfunktion ausgelegt wurde, sondern zur Übermittlung (nicht sicherheitsrelevanter) Kurznachrichten dient. Beispielsweise können Apps auf Smartphones Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten.[6] Zudem können Angriffe direkt auf das im Mobilfunknetz verwendete Signalling-System-7-Protokoll (SS7) abzielen: Angreifer können SMS, die zur Authentisierung bestimmt sind, auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusätzlichen Sicherheitsfaktor aushebeln.[7] Auf diese Weise wurden 2017 bei einem groß angelegten Angriff Kunden des Mobilfunkanbieters O2 durch unberechtigte Abbuchungen von ihren Bankkonten betrogen.[8] Durch ein Datenleck bei einem Versender von Zwei-Faktor-SMS konnte der Chaos Computer Club 2024 fast 200 Millionen SMS von mehr als 200 Unternehmen einsehen.[9][10]

Gesetzgebung

Europäische Union

Seit dem 1. Januar 2021 sind europäische Kreditinstitute durch die Zahlungsdiensterichtlinie PSD2 dazu verpflichtet, dem Kunden eine SKA (Starke Kundenauthentifizierung) anzubieten. Die bedeutet, dass Transaktionen durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden müssen.[11]

Patente

Der Unternehmer und Internetaktivist Kim Dotcom behauptete 2013 öffentlichkeitswirksam, die Zwei-Faktor-Authentisierung erfunden und im Jahr 2000 zum Patent[12] angemeldet zu haben. Ebenso hielt er ein europäisches Patent. Die Europäische Union entzog ihm jedoch im Jahr 2011 das Patent, unter anderem, weil AT&T ebenfalls ein Patent auf die Technologie angemeldet hatte, jedoch bereits 1995. Dotcoms Patent in den USA hat zwar weiter Bestand, jedoch hält AT&T auch dort ein älteres Patent.[13]

Verwandte Artikel

Einzelnachweise

Related Articles

Wikiwand AI