2-Faktor-Authentisierung: Chance oder Risiko?

Doppelt hält nicht automatisch besser: Ein gewissenhafter Umgang mit seinen Daten ist das A und O.

Die Zwei-Faktor-Authentisierung (2FA) ist eine Maßnahme der „Starken Kundenauthentisierung“, welche prüft, ob ein elektronischer Zahlungsvorgang rechtmäßig getätigt wird. Die 2FA setzt sich aus einem ersten Faktor zur Identität eines Nutzers, welcher aus Nutzernamen und Passwort besteht, und einem zweiten, davon unabhängigen Faktor zusammen. Letzterer muss entweder etwas sein, das nur der rechtmäßige Besitzer eines Kontos wissen, besitzen oder sein kann.

Etwas, das Sie wissen:

Passwort

Passphrase

Zahlenabfolge

Geheimfrage

Etwas, das Sie besitzen:

Mobiltelefon

Wearable Geräte

Smartcard

Token

Badge

Etwas von Ihnen persönlich:

Fingerabdruck

Gesichtszüge

Stimmerkennung

Iriserkennung

DNA-Signatur

Auf diese Weise wird sichergestellt, dass potentielle Hacker sich nur schwer bis gar nicht Zugang zu fremden Daten verschaffen. Die 2FA verspricht Nutzern also eine größere Sicherheit vor unbefugten Zugriffen und Datenmissbrauch. Aber bietet die 2FA tatsächlich nur Vorteile oder birgt sie auch Risiken?

Das Zwei-Faktor-Verfahren als eindeutige Chance …

Moderne Lösungen generieren One-Time-Passcodes über Token, Apps oder nutzen zusätzlich die biometrischen Funktionen von Smartphones und Tablets. Diese Verfahren laufen üblicherweise auf einem zweiten Device isoliert ab. So gestaltet es sich für einen Hacker schwierig bis unmöglich, ohne Zugriff auf dieses Device die Anmeldung zu einem Konto, das nicht seines ist, oder die Authentifizierung für einen Kauf, zu welchem er nicht berechtigt ist, abzuschließen. Bei einer 2FA kommt für Angreifer erschwerend hinzu, dass Passcodes an die ursprüngliche Session gebunden sind. Das heißt, selbst wenn Anmeldedaten mitgelesen werden, können gehackte Passcodes bei einer neuen Session nicht nochmal benutzt werden. Der Nutzen von Mehrfach-Authentisierungen gegen Hackerattacken ist somit unumstritten und eindeutig eine Chance im digitalen Zeitalter. Jedoch spielt die Art der Umsetzung und Verwendung von Authentisierungsmaßnahmen eine entscheidende Rolle, damit Nutzer auch tatsächlich geschützt sind.

… und als mögliches Risiko

Das „Standard”-Passwort

Risiken ergeben sich oftmals dadurch, dass Nutzer nicht verantwortungsvoll genug mit ihren Daten umgehen. Da reicht es schon, ein unsicheres oder einheitliches Passwort für mehrere Accounts zu wählen. Gerade wenn ein Nutzer ein Passwort für mehr als einen Dienst wählt und dieses nur selten bis gar nicht wechselt, ist er der Gefahr ausgesetzt, dass ein Angreifer, der irgendeinen dieser Dienste hackt, Zugriff auf eine Vielzahl von Zugängen des Nutzers mit demselben Passwort erhält.

Security versus Usability

Ein weiterer Aspekt, der bei der Diskussion um die Risiken von IT-Security-Lösungen beachtet werden sollte, ist der der Benutzerfreundlichkeit. Hinsichtlich Mobilität und Flexibilität heben sich Token-Lösungen positiv von Alternativen dazu ab. Allerdings weisen sie Mängel bei der Handhabung, Sicherheit und bei den Kosten auf. Ein Token muss einem Nutzer zugewiesen werden. Sollte dieser das Device verlieren, wären aufwändige Workarounds für temporäre Zugriffe nötig. Außerdem sind Tokens aufgrund ihrer geringen Lebensdauer von drei bis vier Jahren kostspielig. Zudem ist die Flexibilität durch ein Token nur bedingt gegeben, denn dieses muss ein Nutzer ständig mit sich führen. In dem Fall leidet die Usability unter der Security.

Um den Nutzerkomfort wieder zu erhöhen, kommen „adaptive“ Zwei-Faktor-Verfahren zum Einsatz. Hierfür nutzen Anbieter IP- beziehungsweise MAC-Adressen oder Standorte, die ein Nutzer automatisch übermittelt, zur Authentisierung. Infolgedessen geben sie den Zugang zu Konten und Bezahlungsmöglichkeiten frei, ohne dass der Nutzer interagieren muss. Für ihn reduziert sich die Anmeldung beziehungsweise Authentisierung auf die Eingabe seines Namens und Passworts – was nicht im Sinne einer 2FA ist. Somit schlägt der Aspekt der Usability den der Security.

Biometrische Verzerrung

Weitere Risiken können im Bereich biometrischer Systeme auftreten. Körperliche Merkmale sind zwar individuell, aber dadurch nicht automatisch vor Missbrauch geschützt: Ist ein System nicht auf Lebenderkennung ausgerichtet, kann ein Foto eines Gesichts oder Auges benutzt werden, um es auszutricksen.

Ein Test des Chaos Computer Clubs (CCC) aus dem Jahr 2017 zeigte, dass es genügt, eine Kontaktlinse über das Foto eines Auges zu legen, um die Form eines echten Auges nachzubilden. So täuschte man den Iris-Scan eines Smartphones. Auch Fingerabdruck-Scans sind nicht absolut sicher. Fingerabdrücke hinterlässt man überall, insbesondere auf dem eigenen Smartphone. Dadurch bringt dieses den Schlüssel zum Schloss praktisch bereits mit.

Allerdings muss erwähnt werden, dass technische Verfahren ständig weiterentwickelt werden und es inzwischen biometrische Systeme gibt, die zuverlässig erkennen, ob lediglich ein Foto vor die Kamera gehalten wird oder die echte Person dreidimensional davorsteht.

Das Best Case Szenario

Die Zwei-Faktor-Authentisierung bietet einen unumstrittenen Nutzen: Sie verifiziert, ob Transaktionen im E-Commerce rechtmäßig getätigt werden. Durch die Generation von Einmal-Kennwörtern, -TANs oder einmaliger biometrischer Merkmale ist sie individuell und schützt so in mehreren Schritten effektiv vor Hackerattacken. Jedoch ist eine 2FA nur so sicher, wie man sie von Entwicklerseite macht beziehungsweise sich von Nutzerseite an sie hält. Eine wirklich sichere 2FA darf nicht selbstständig um einen Faktor herunterschalten, nur um die Usability zu erhöhen, wie im Falle adaptiver Zwei-Faktor-Verfahren.

Außerdem ist auch die 2FA keine absolute Sicherheitsgarantie. Gibt man auf einer betrügerischen Website seine Daten ein, kann auch ein besonders sicheres Verfahren nicht mehr vor unbefugtem Zugriff schützen. Ein jeder Nutzer muss verantwortungsvoll mit seinen eigenen Daten umgehen.