Die Zwei-Faktor-Authentifizierung (auch: Zwei-Schritte- oder Zwei-Wege-Authentifizierung bzw. 2FA) ist eine zusätzliche Sicherheitsmaßnahme zum Schutz von Benutzerkonten: Selbst wenn Ihre Passwörter in die falschen Hände gelangen, haben Unbefugte auf diese Weise keinen Zugriff auf Ihre Accounts.
Zusätzlich zum Passwort müssen Sie beim Login eine weitere Sicherheitskomponente eingeben, etwa einen PIN-Code. Dieser Code wird z. B. an die in Ihrem Konto hinterlegte Handynummer gesendet.
Eine weitere Möglichkeit sind für kurze Zeit gültige Einmalkennwörter, die von sogenannten Authentifizierungs-Apps erstellt werden. Solche Apps bieten den Vorteil, dass Sie damit Ihre mit 2FA geschützten Konten übersichtlich verwalten können.
Bekannte Apps für die Zwei-Schritte-Authentifizierung sind z. B. Google Authenticator (für iOS/Android), Microsoft Authenticator (für iOS/Android) oder Twilio Authy (für iOS/Android/Desktop).
Die Zwei-Faktor-Authentifizierung wird inzwischen von den meisten großen Online-Diensten unterstützt – von Apple über Google oder Microsoft bis hin zu Twitter, Facebook und Instagram.
Grundsätzlich gibt es drei unterschiedliche Möglichkeiten, um sich auszuweisen:
- durch Wissen (z. B. Passwort)
- durch Besitz (z. B. Bankomatkarte, Token)
- durch biometrische Merkmale (z. B. Fingerabdruck)
„Token“ ist ein Überbegriff für jegliche Technologien, mit deren Hilfe sich eine Person authentisieren kann. Hierzu zählen sowohl Hardware-Tokens als auch Software-Tokens. Hardware-Tokens sind beispielsweise Smartcards, USB-Tokens und RFID-Chips, mit denen Einmalpasswörter generiert werden, oder auch Smartphones, an die ein Authentifikationsfaktor übertragen wird. Software-Tokens benötigen keine zusätzliche Hardware – hier werden via Software One-Time-Passwords (OTPs) generiert. Solche Einmalpasswörter sind Passwörter, die ein einziges Mal verwendet werden können und danach ihre Gültigkeit verlieren.
Eine bekannte Zwei-Faktor-Authentifizierung ist das Zusammenspiel von Bankomatkarte (der Besitz) und die dazugehörige PIN (das Wissen). Um Bargeld beheben zu können, werden beide Bestandteile benötigt. Das Gleiche gilt für Online-Überweisungen, bei denen die Anmeldedaten (das Wissen) und – zur Freigabe einer Überweisung – die TAN (der Besitz) vorliegen müssen. Früher funktionierte dies mit einer im Voraus generierten TAN-Liste, welche von der Bank postalisch der Kundin oder dem Kunden zugestellt wurde. Dabei war jede TAN ein einziges Mal gültig. Heutzutage sind die meisten Banken von Papier-TANs auf ihre digitalen Pendants umgestiegen: per SMS (je nach Bank wird dieses Verfahren unterschiedlich benannt: smsTAN, mobileTAN, TAC-SMS), TAN-Generator oder digitaler Signatur. Ein TAN-Generator ist ein selbstständiges Gerät, in das eine EC-Karte gesteckt wird und nach der Eingabe eines PIN-Codes eine TAN generiert wird. So ein TAN-Generator hat durch die zusätzliche Einbeziehung der EC-Karte und der fehlenden Vernetzung eine hohe Sicherheit. Nichtsdestotrotz sind smsTAN wegen ihrer einfachen Bedienung und schnellen Verfügbarkeit bei Kundinnen und Kunden am beliebtesten, da kein weiteres Gerät – außer dem in der Regel bereits vorhandenen Mobiltelefon – benötigt wird. So eine smsTAN hat einen Gültigkeitszeitraum von typischerweise nur einigen wenigen Minuten, was einen Missbrauch stark einschränkt.
Die Verwendung eines Smartphones als Empfänger für OTPs wird auch als tokenlose Authentifizierung bezeichnet, da kein extra Hardware-Token von Anbietern zur Verfügung gestellt werden muss, sondern das Smartphone der Kundin oder des Kunden als Empfangs- oder Anzeigegerät für Tokens dient.
Die tokenlose Authentifizierung etabliert sich mittlerweile auch außerhalb der Bankenbranche und unternehmensinternen Systemen. Google unterstützt beispielsweise eine Zwei-Faktor-Authentifizierung als Anmeldeverfahren für seine Dienste, bei dem das Smartphone verwendet wird, um OTPs zu empfangen. Dies bedeutet, dass entweder ein SMS-Dienst verwendet wird, der bei einem Anmeldungsversuch in das Google-Konto ein OTP per SMS sendet, oder alternativ dazu eine von Google bereitgestellte App (Google Authenticator) verwendet wird, um gültige OTPs anzuzeigen. Die App-Lösung ist nicht auf eine Mobilfunkverbindung angewiesen und bietet daher mehr Flexibilität.
Das System der tokenlosen Authentifizierung mit dem Mobiltelefon erhöht jedoch nur dann die Sicherheit, wenn das Mobiltelefon nicht auch zur Anmeldung auf dem Konto verwendet wird, für welches das OTP angefordert wird. Der Sinn des Tokens ist es einen zweiten, unabhängigen Authentifizierungsfaktor zu liefern, der über einen gesonderten Kanal übertragen oder generiert wird. Falls aber zum Beispiel das Google-Konto über das Smartphone aufgerufen wird und das OTP für die Anmeldung ebenfalls auf das Smartphone gesendet wird, ist die Risikominimierung, die durch Verwendung der Zwei-Faktor-Authentifizierung entstehen sollte, nicht mehr gegeben, da beide Authentifizierungsschritte auf demselben Gerät stattfinden und somit eine mögliche Angriffsstelle für Kriminelle gegeben ist.
Jede Art des Tokens hat seine Vor- und Nachteile, daher ist es wichtig, einen gewissen Grad an Flexibilität zwischen den verschieden Methoden zu erlauben. Der Nachteil bei der Verwendung eines Smartphones ist, dass es zum Zeitpunkt der Authentifikation aufgeladen und verfügbar sein muss, da ansonsten kein OTP zugesendet oder angezeigt werden kann. Zu bedenken ist auch, dass es bei Verlust, Diebstahl oder Defekt des Smartphones nicht möglich sein wird, sich ohne größeren Aufwand in ein durch Zwei-Faktor-Authentifizierung gesichertes Konto einzuloggen.
In Österreich besteht eine weitere Möglichkeit der Zwei-Faktor-Authentifizierung. Im Zuge der Forcierung des e-Governments wurde mit der Bürgerkarte als Token eine elektronische Möglichkeit geschaffen, sich amtlich auszuweisen. Dies ist auch im österreichischen E-Government-Gesetz verankert. Bei der Bürgerkarte fallen keine zusätzlichen Kosten an, da die Funktion der Bürgerkarte auf der bereits verbreiteten „e-card“ lediglich aktiviert werden muss.
Auch an eine tokenlose Authentifizierung wurde gedacht und mit der „Handy-Signatur“ geschaffen. Das Mobiltelefon stellt dabei den Faktor des Besitzes dar und empfängt den Einmalcode (OTP), der fünf Minuten gültig ist. Ein weiterer Vorteil in Österreich: die Handy-Signatur und die Bürgerkarte können für eine rechtsgültige elektronische Unterschrift genutzt werden, diese ist durch das Signaturgesetz der eigenhändigen Unterschrift gleichgestellt.
