Login Maske

Was ist eine Multi-Faktor-Authentifizierung?

Die Multi-Faktor-Authentifizierung (MFA) erweitert den Anmeldeprozess für Online-Konten um eine zusätzliche Sicherheitsschicht. Neben Benutzername und Passwort müssen Anwender beim Log-in mindestens einen weiteren Authentifizierungsfaktor angeben. Dadurch bleibt das Konto selbst dann geschützt, wenn Angreifer an die Zugangsdaten gelangt sind.

Jetzt absichern mit dem Myra DDoS Schutz

01

Multi-Faktor-Authentifizierung: eine Definition

Die Multi-Faktor-Authentifizierung bietet deutlich mehr Sicherheit als der ausschließliche Einsatz von Passwörtern. Anhand der Kombination mehrerer unabhängiger Faktoren wird die Identität eines Nutzers zweifelsfrei nachgewiesen. Die Faktoren lassen sich in drei Gruppen einteilen: etwas, das der Nutzer weiß, besitzt oder das untrennbar zu ihm gehört. Konkrete Beispiele sind ein Passwort, ein Hardware-Security-Token in Form eines USB-Sticks oder Smartphones und biometrische Merkmale wie das Gesicht oder der Fingerabdruck.

Nur wenn der Anwender Faktoren aus mindestens zwei verschiedenen Gruppen beim Log-in angibt, erhält er Zugang zu seinem Account. Meist wird ein nur für kurze Zeit gültiger Sicherheitscode abgefragt, den der Nutzer per SMS, E-Mail, Sprachanruf oder Smartphone-App erhält. Diese Zwei-Faktor-Authentifizierung (2FA) bieten inzwischen die meisten Online-Dienste an.

Gerade im professionellen Umfeld kommen auch Verfahren mit drei und mehr Faktoren zum Einsatz. Erfordert die Anmeldung mindestens ein Merkmal aus jeder der drei Gruppen, spricht man von Drei-Faktor-Authentifizierung (3FA). Ein Beispiel wäre die Kombination aus Passwort, Geräte-ID und Fingerabdruck. Bei der Vier-Faktor-Authentifizierung (4FA) wird oft zusätzlich der Standort des Nutzers geprüft, etwa ob er sich aus dem internen Netzwerk anmeldet.

Bei aktivierter Multi-Faktor-Authentifizierung kann ein Angreifer mit Benutzername und Passwort allein nichts anfangen, weil ihm der MFA-Schlüssel fehlt, der als zusätzlicher Faktor zum Identitätsnachweis dient. Allerdings müssen Anwender die Multi-Faktor-Authentifizierung bei den meisten Diensten erst in den Kontoeinstellungen einrichten.

Kreditkarten Lesegerät

02

Wie funktioniert die Multi-Faktor-Authentifizierung bei Banken?

Jeder dürfte das MFA-Verfahren vom Geldabheben am Bankautomaten kennen: Der erste Faktor ist die Bankkarte, der zweite Faktor die PIN. Beim Online-Banking kommt eine Kombination aus Log-in-Daten und Transaktionsnummer (TAN) zum Einsatz. Die nur einmal gültige TAN bekommen Kunden als SMS (smsTAN) oder App-Benachrichtigung (pushTAN) auf ihr Smartphone geschickt oder sie erzeugen sie mittels TAN-Generator und Chipkarte selbst (chipTAN).

03

Wie funktioniert die Multi-Faktor-Authentifizierung bei Online-Diensten?

Bei aktivierter Multi-Faktor-Authentifizierung meldet sich der Anwender zunächst wie gewohnt mit Benutzername und Passwort an seinem Konto an. In einem zweiten Schritt muss er einen für jede Sitzung neu generierten Sicherheitscode eingeben. Diesen erhält er je nach Konfiguration per SMS, E-Mail, Sprachanruf oder Authenticator-App.

Manche Dienste unterstützen als Teil der Multi-Faktor-Authentifizierung auch Hardware-Sicherheitsschlüssel, die etwa zu den offenen Authentifizierungsstandards FIDO Universal 2nd Factor (U2F) und FIDO 2 kompatibel sind. Solche Security-Token, meist in Form eines USB-Sticks oder einer Chipkarte, ermöglichen sicheres passwortloses Anmelden allein per Fingerabdruck, Gesichtserkennung, Knopfdruck oder lokaler PIN. Einige Security-Token können auf Anforderung auch Einmalpasswörter generieren, die zusammen mit anderen Faktoren für MFA nutzbar sind.

04

Vor welchen Bedrohungen schützt die Multi-Faktor-Authentifizierung?

Zugangsdaten können schnell in die falschen Hände geraten. Zum einen nutzen Angreifer die Unwissenheit und Gutgläubigkeit vieler Internetnutzer aus, um Login-Informationen abzugreifen. Zum anderen verschaffen sich Cyberkriminelle direkt Zugriff auf unzureichend abgesicherte Anbieter-Datenbanken, die Tausende oder gar Millionen Zugangsdaten enthalten. Im Darknet werden solche Datensätze, die häufig Datenlecks oder Hackerangriffen entstammen, zu Schnäppchenpreisen gehandelt.

Die Multi-Faktor-Authentifizierung schützt einen Account aber selbst dann, wenn Anmeldedaten kompromittiert wurden. Denn mit Benutzername und Passwort allein erhalten Angreifer keinen Zugriff aufs Konto, weil ihnen der MFA-Schlüssel als zusätzlicher Faktor zum Identitätsnachweis fehlt. Konten mit aktivierter Multi-Faktor-Authentifizierung sind daher vor folgenden Bedrohungen sicher:

Phishing

Phishing-Attacken zielen darauf ab, wertvolle Login-Informationen zu erbeuten, etwa für Online-Banking- oder Payment-Dienste. Dazu versenden Phisher häufig Millionen Spam-Mails, die unbedarfte Nutzer per Link auf gefälschte Anmeldeseiten locken. Diese Login-Seiten sind oft nicht vom Original zu unterscheiden. Gibt der Anwender dort seine Zugangsdaten ein, werden sie direkt an die Betrüger übermittelt.

Malware

Der Einsatz von Malware stellt eine weitere geläufige Methode von Cyberkriminellen dar, an Anmeldeinformationen zu kommen. Beispielsweise schleusen sie per Spam-Mails oder manipulierten Websites Keylogger ins System ein. Diese Art Malware protokolliert jeden Tastenanschlag des Nutzers und dient somit zum Ausspähen von Zugangsdaten.

Brute Force

Das Knacken von Passwörtern mittels Brute Force gehört seit Jahren zum Standardrepertoire von Hackern. Mit dieser Angriffsmethode können abgesicherte Zugänge durch wiederholte und systematische Eingabe von Nutzer-Passwort-Kombinationen aufgebrochen werden. Simple Login-Daten lassen sich mittels automatisierter Tools und leistungsstarker Hardware in kurzer Zeit „erraten“. Je komplexer die verwendeten Passwörter sind, desto mehr Rechenleistung und Zeit benötigt die Brute-Force-Methode.

Credential Cracking

Beim Credential Cracking verwenden Cyberkriminelle geleakte Listen mit Benutzernamen oder Passwörtern, um sich Zugang zu einem Online-Konto zu verschaffen. Kennen die Angreifer etwa den Nutzernamen für ein bestimmtes Konto bei einem Anbieter, aber nicht das zugehörige Passwort, setzen sie Bots ein, um bekannte Passwörter automatisiert zu testen. Bei einem Treffer erhalten sie vollen Zugriff auf das Konto.

Credential Stuffing

Wie beim Credential Cracking machen sich Hacker beim Credential Stuffing die Bequemlichkeit vieler Anwender zunutze, die oftmals dasselbe schwache Standardpasswort für verschiedene Accounts verwenden. Sind Angreifer einmal im Besitz geleakter Nutzer-Passwort-Kombinationen, können sie per Credential Stuffing schnell aktive Konten aufspüren. Dazu müssen sie lediglich automatisierte Anfragen mit den bekannten Zugangsdaten z. B. auf Webshops, Onlinebanken oder gar Firmenkonten starten. Die dafür eingesetzten Bots sind in der Lage, binnen Stunden Millionen Nutzer-Passwort-Kombinationen zu testen. Treffer zu aktiven Accounts verkaufen die Kriminellen anschließend oder nutzen sie für weiterführende Attacken.

Login Maske

05

Wie richte ich die Multi-Faktor-Authentifizierung ein?

Die Option zur Aktivierung der Multi-Faktor-Authentifizierung findet sich bei den meisten Diensten im Sicherheitsbereich der Kontoeinstellungen. Die Einrichtung erfolgt in wenigen Schritten: Häufig kann der Nutzer auswählen, ob der Authentifizierungscode per SMS, E-Mail oder Sprachanruf übermittelt werden soll oder ob er eine Authenticator-App verwenden möchte.

Ersteres setzt die Angabe einer gültigen Telefonnummer bzw. E-Mail-Adresse voraus, Letzteres das Scannen eines QR-Codes mit einer auf dem Smartphone installierten Authentifizierungs-App. Abgeschlossen wird die Einrichtung üblicherweise durch die Eingabe des erhaltenen Sicherheitscodes.

06

Wozu benötige ich einen Wiederherstellungscode?

Im Anschluss an die Einrichtung der Multi-Faktor-Authentifizierung empfiehlt es sich, einen der hinterlegten Wiederherstellungscodes zu notieren oder auszudrucken und an einem sicheren Ort aufzubewahren. Er ist die einzige Möglichkeit, bei Problemen mit der Authenticator-App oder Verlust des Smartphones bzw. USB-Sicherheitsschlüssels weiterhin Zugang zum Konto zu erhalten. Achtung: Jeder Wiederherstellungscode ist nur einmal verwendbar.

07

Wie funktioniert eine Authentifizierungs-App?

Authentifizierungs-Apps generieren lokal auf dem Smartphone einen für begrenzte Zeit gültigen sechsstelligen Sicherheitscode. Das funktioniert auch ohne Internet- oder Mobilfunkverbindung. Hat der Nutzer Multi-Faktor-Authentifizierung für sein Konto aktiviert, muss er nach Eingabe seines Passworts zusätzlich den aktuell in der Authenticator-App angezeigten Code eingeben, um sich an seinem Account anzumelden. Voraussetzung ist natürlich, dass er das entsprechende Online-Konto zuvor mit der Authentifizierungs-App verknüpft hat.

Zum Hinzufügen eines Kontos zur Authenticator-App genügt es meist, mit der Kamera des Smartphones einen vom jeweiligen Dienst bereitgestellten QR-Code zu scannen. Alternativ besteht die Möglichkeit, manuell einen Einrichtungsschlüssel einzugeben, um ein Online-Konto mit der App zu verknüpfen.

08

Wie sicher sind die verschiedenen Authentifizierungsmethoden?

Generell bieten alle Methoden zur Multi-Faktor-Authentifizierung deutlich mehr Sicherheit als der ausschließliche Einsatz eines Passworts. Sofern das Endgerät frei von Malware ist, gilt die Nutzung einer Authentifizierungs-App als sicherer als der Empfang eines MFA-Schlüssels per SMS. Denn via SMS übermittelte Codes können Angreifer mit etwas Aufwand abfangen oder umleiten. Sie kontaktieren etwa im Namen des Opfers dessen Telefonanbieter und geben vor, Handy samt SIM-Karte verloren zu haben. Sie lassen sich eine neue Karte zuschicken und die alte sperren. Bei unzureichenden Sicherheitsvorkehrungen seitens des Telefonanbieters erhalten die Angreifer auf diese Weise die Kontrolle über die Telefonnummer des Opfers und damit auch über alle mit dieser Nummer verknüpfte Online-Konten.

Die größte Sicherheit bietet die Multi-Faktor-Authentifizierung mittels Hardware-Security-Token in Form eines USB-Sticks oder einer Chipkarte. Sie muss der Nutzer zur Anmeldung an einen Rechner anschließen oder vor ein Lesegerät halten. Dabei wird der Token eindeutig erkannt und weitere Faktoren zur Authentifizierung abgefragt, z. B. ein Fingerabdruck und eine PIN. Passen die eingegebenen Faktoren zum Token, erhält der Anwender Zugriff auf sein Konto. Geht der Token verloren, bleibt das Konto vor unbefugtem Zugriff geschützt, weil die zusätzlichen Faktoren fehlen.

Handy, Notizbuch und ein Laptop mit Code auf dem Bildschirm

09

Wie deaktiviere ich die Multi-Faktor-Authentifizierung?

Grundsätzlich ist es nicht ratsam, die Multi-Faktor-Authentifizierung zu deaktivieren. Der geringfügig aufwendigere Anmeldeprozess lohnt sich, da ein Konto mit Multi-Faktor-Authentifizierung wesentlich besser abgesichert ist als beim ausschließlichen Einsatz eines Passworts.

Wer nicht bei jeder Anmeldung einen Sicherheitscode eingeben will, kann häufig während des Log-ins angeben, dass er die Multi-Faktor-Authentifizierung auf dem jeweiligen Gerät nicht mehr verwenden möchte. Dadurch entfällt die Codeabfrage, wenn der Nutzer sich immer von demselben Gerät oder Browser anmeldet. Die Multi-Faktor-Authentifizierung greift aber weiterhin, wenn ein neuer Anmeldeversuch von einem anderen Gerät oder Browser erfolgt.

Auf Wunsch lässt sich die Multi-Faktor-Authentifizierung natürlich auch komplett deaktivieren. Die Option findet sich meist im Sicherheitsbereich der Kontoeinstellungen.

10

Myra unterstützt Multi-Faktor-Authentifizierung

Wer seine Online-Konten möglichst gut schützen möchte, sollte neben komplexen Passwörtern ebenfalls Multi-Faktor-Authentifizierung verwenden. Selbstverständlich unterstützt auch die Security-as-a-Service-Plattform von Myra die Anmeldung per MFA: Kunden können die „Bestätigung in zwei Schritten“ ganz einfach in der Webanwendung unter Mein Account > Sicherheit aktivieren und damit unkompliziert interne Sicherheitsvorgaben erfüllen.

Die Abbildung zeigt den schematischen Aufbau und die Funktionsweise einer Mulit-Faktor-Authentifizierung.

11

Multi-Faktor-Authentifizierung: Das müssen Sie wissen

Der Diebstahl von Zugangsdaten gehört seit jeher zu den Hauptaktivitäten von Cyberkriminellen. Im Darknet floriert der Handel mit kompromittierten Log-in-Informationen, die für gezielte Attacken genutzt werden können. Die Multi-Faktor-Authentifizierung verhindert durch die Abfrage mindestens eines zusätzlichen Faktors bei der Anmeldung, dass sich Angreifer mit geleakten oder gestohlenen Nutzer-Passwort-Kombinationen Zugang zu einem Account verschaffen. Die MFA schützt ein Konto also selbst dann, wenn Zugangsdaten kompromittiert wurden. Diese zusätzliche Absicherung lohnt definitiv den einmaligen Mehraufwand zur Einrichtung der Multi-Faktor-Authentifizierung.

Häufige Fragen zur Multifaktor Authentifizierung