Was ist die Zwei-Faktor-Authentifizierung?

Viele Menschen arbeiten Tag für Tag alleine an dem Problem, dass die Sicherheit bei modernen Computersystemen zu einer Herausforderung geworden ist. Die Absicherung von sensiblen Daten und der Zugriff auf bestimmte Systeme müssen klar reguliert sein – nur berechtigte Personen dürfen Möglichkeiten zum Handeln haben. Eines der beliebtesten und bis heute sichersten Systeme dafür ist die Zwei-Faktor-Authentifizierung. Hier ist man gezwungen, mindestens zwei Komponenten in das System einzubringen, um überhaupt einen Zugriff zu erhalten. Da sich Betrüger und Hacker auch hier immer kreativer zeigen, muss selbst dieses System nach und nach verändert und verbessert werden.

Die grundsätzlichen Funktionen der Authentifizierung mit zwei Elementen

Um zum Beispiel in ein Konto auf dem Rechner zu kommen, reicht in der Regel ein Passwort. Dieses wird zudem auch noch dezentral gespeichert und könnte durch einfache Programme aus dem Bereich der Viren und Trojaner abgefangen werden. Ist das Passwort bekannt, erhält man den vollen Zugriff auf die Elemente auf den Rechner. Angesichts der Gefahren aus dem Internet ist das natürlich sehr leichtsinnig und hat schon im privaten Bereich für Probleme gesorgt. Selbst Username und Passwort ist eine unsichere Form der Zugangskontrolle, da bei einer normalen Internetnutzung beide Daten auf die gleiche Weise an einen Unbefugten übermittelt werden könnten.
Das Verfahren der Zwei-Faktor-Authentifizierung soll genau hier aktiv werden und verhindern, dass man durch einfache Methoden Zugriff auf Daten oder Maschinen erhält, die mitunter sensible Daten tragen. Diese Methoden gehen bis in den Alltag und sind sogar mit der Geschichte verbunden. Wer sich an die Filme aus Hollywood erinnert, in denen Raketen gezündet werden sollten, kennt vielleicht das System:

1. Schritt: Der zuständige Mitarbeiter musste mit einem Schlüssel den Zugang zu der Konsole bestätigen. Somit aktivierte er den ersten Schritt zu der Authentifizierung, da der Schlüssel im besten Fall nur in seinem Besitz ist. Natürlich lässt sich der Gegenstand bei Bedarf entwenden.

2. Schritt: Sofern es sich um ein 4-Augen-Verfahren handelte, musste sogar noch eine zweite Hürde in Form eines weiteren Schlüssels überwunden werden. Das ist besonders bei komplexen Systemen auch in der heutigen Zeit eine gerne verwendete Variante.

3. Schritt: Eine dritte Person musste mit einem Passwort oder einer Zahlenreihenfolge den Abschuss bestätigen. Dieses Kennwort war nur ihm bekannt, nicht aber den Personen, die sich im momentanen Besitz der Schlüssel befanden.

Ein ähnliches Prinzip verbirgt sich hinter der Nutzung einer EC-Karte mit einer PIN. Es muss bei einem solchen System also deutlich sein, dass man mehr als nur ein Element für den Zugriff auf die gesicherten Systeme erhält.

Wichtige Elemente und Beispiele für Zugriffsverwaltung

Möchte man für die IT Security auch ein solches System einführen, gibt es ganz unterschiedliche Formen für die Anwendung. Wichtig ist eigentlich nur, dass man bei der Arbeit mit einer solchen Form der Verwaltung von Zugriffen ein bestimmtes Prinzip für die Arbeit einhält. Ansonsten könnte sich die Zugriffsbeschränkung sehr schnell aushebeln lassen oder es gibt Lücken, die am Ende das System wieder korrumpieren. Wie oben aufgeführt ist das Beispiel der EC-Karte in Kombination mit der PIN ein sehr klassisches Beispiel für die Zwei-Faktor-Authentifizierung. Das geht darauf zurück, dass man bei der Einführung von einem solchen System bestimmte Regularien einhalten muss. Wie muss eine Zwei-Faktor-Authentifizierung aussehen, damit sie eben diese grundsätzlichen Elemente auch wirklich einhält?

  • Das erste Element sollte in der Regel physisch sein. Von einem einfachen Schlüssel über eine Chipkarte bis hin zu einem bestimmten Ausweis ist alles möglich. In Zeiten der Digitalisierung kann man hier natürlich bereits mit den Systemen arbeiten, die hier die falsche Identität erkennen.
  • Der zweite Faktor ist immer etwas, das der Nutzer wissen muss. Es sollte in keinem Fall physisch greifbar sein. Benutzernamen, Passwörter oder einfache Codes gehören hier mit Sicherheit zu den typischen Optionen.
  • Alternativ – und das findet vor allem im Bereich der Hochsicherheit Anwendung – kann auch ein biometrischer Faktor mit Eindeutigkeit genommen werden. Die Iris, ein Fingerabdruck oder die Stimme fungieren hier als beliebte Optionen.

 

Wird auf diese Faktoren bei der Umsetzung der Verwaltung geachtet, hat man fast immer eine gewisse Sicherheit, dass die Identität geklärt werden kann. Dass man im Bereich der Hochsicherheit vor allem auf Biometrik setzt, liegt auch daran, dass Passwörter vom Nutzer gerne aufgeschrieben werden. Kann ein Eindringling also das physische Element in seinen Besitz bringen, könnte mit ein wenig Pech das System ausgehebelt werden. Als Trend aus diesen Risiken wird heute auch gerne auf die Hilfe der mobilen Geräte gesetzt.

Authentifizierung mit und ohne Tokens

Die oben bereits angerissene Problematik der Passwörter und anderen Logins lässt sich in der IT-Security natürlich nicht ignorieren. Aufgeschriebene Logins mögen auf den ersten Blick als einfach vermeidbar darstellen, allerdings machen es trotz allem viele Nutzer. Daher hat man sich innerhalb der Forschung Gedanken gemacht und in diesem Zug auch direkt das System der Tokens überdacht. Damit das Token nicht verlorengeht, wird nun gerne mit einem Faktor gearbeitet, dessen physischer Besitz nicht zwingend nötig ist. Der Gedanke dahinter ist klar: Statt einen Schlüssel bei sich zu tragen, den man nur für die Authentifizierung benötigt, kann man auch auf einen Gegenstand zurückgreifen, den der Nutzer sowieso mit sich führt. Das Smartphone ist hier wohl das beste Beispiel. Es ist in der Regel ein wichtiger Bestandteil der Ausrüstung von jedem Nutzer und kann, dank der Zugänge in das mobile Internet, auch einfach für die Authentifizierung genutzt werden. Der Codegenerator, den man vielleicht noch aus früheren Zeiten für den Zugang kennt, würde damit der Vergangenheit angehören. Stattdessen wird der Code oder in diesem Fall das Token mit der Hilfe einer SMS, einer E-Mail oder einer App generiert.  Damit sind viele Probleme, die bisher direkt mit den Tokens zu tun hatten, mit nur einer Installation auf dem Smartphone gelöst. Allerdings muss auch hier Stück für Stück weiter verbessert werden. Immer häufiger wird zum Beispiel versucht die Generierung einer TAN abzufangen und so wieder den Zugriff auf das Online-Banking der Menschen zu erhalten – obwohl die modernsten Formen der Authentifizierung genutzt werden. Bis dahin ist diese Form der Zugriffsverwaltung aber eine der sichersten Optionen für jedes System.

Author: Christian Elsner

Diesen Beitrag teilen auf

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>