2FA ist wichtig

Obwohl die Zwei-Faktor-Authentifizierung / Zwei-Faktor-Authentisierung an vielen Orten Standard ist (Bsp. E-Banking), stellen wir oft fest, dass die Akzeptanz und das Verständnis bei den Endbenutzern oft fehlen. Entweder nerven sie sich darüber oder deaktivieren diese Möglichkeit, wenn dies möglich ist.

Die Zwei-Faktor-Authentifizierung erschwert es einem Angreifer jedoch erheblich, sich in ein fremdes Konto einzuloggen und sollte deshalb immer aktiviert werden.

Was ist 2FA?

Bei der Zwei-Faktor-Authentifizierung erfolgt die Authentifizierung über mehrere Faktoren. Diese Faktoren können sein:

• Wissen
• Besitz
• Inhärenz (biometrische Charakteristika, wie zum Beispiel Fingerabdruck)
• Ort

Am verbreitetsten sind die Faktoren "Wissen" (Benutzername und Passwort) und "Besitz" (Mobil-Telefon).

Beim Login-Prozess werden zwei Faktoren nacheinander abgefragt und müssen vom Benutzer korrekt angegeben werden. Nur so kann der Benutzer erfolgreich authentifiziert werden.

Multi-Faktor-Authentifizierung

2FA ist eine Subkategorie von Multi-Faktor-Authentifizierung. Bei speziell geschützten Systemen sind nicht nur zwei, sondern noch mehr Faktoren notwendig.

Weshalb ist 2FA oder Multi-Faktor-Authentifizierung so viel sicherer?

Die verschiedenen Faktoren (Bsp. Wissen und Besitz) erhöhen die Komplexität und somit die Hürde für einen Hacker erheblich. Der Angriff muss dadurch auf verschiedenen Wegen gleichzeitig erfolgen. Benutzername und Passwort alleine bieten heute keine ausreichende Sicherheit mehr, da es ein Einfaches ist an Login-Daten zu gelangen. Listen mit Benutzernamen und Passwörtern oder Passwort-Hashes aus Datenlecks können im Darknet einfach heruntergeladen oder gekauft werden. Da immer mehr Firmen von Datenlecks betroffen sind, werden diese Listen immer mächtiger.

Auch wenn es den Login-Prozess umständlicher macht, empfehlen wir 2FA wenn immer möglich zu aktivieren.

Bei von uns durchgeführten Security-Reviews oder Penetration-Tests schauen wir 2FA / Multi-FA immer tiefer an, denn fehlerhafte Implementierungen können diesen wichtigen Layer der Sicherheit aushebeln. Auf was wir dabei genau schauen, beschreiben wir in einem zweiten Teil.