In der IT-Sicherheitswelt kursiert so mancher, meist anglizistisch angehauchter Fachbegriff, mit dem zwar jeder grob etwas anfangen kann, allerdings schnell das Ende der Fahnenstange erreicht wird, wenn es um Details geht. Meiner Meinung nach gilt das auch für die Two Factor Authentication (2FA)und deshalb will ich einen etwas näheren Blick auf dieses wichtige Sicherheitsfeature werfen.
Wie der Name schon nahelegt, handelt es sich bei diesem Prozess um eine Nutzeridentifizierung, bei der zwei der folgenden Faktoren zum Einsatz kommen:
- Etwas, dass Sie wissen – normalerweise Passwörter oder PINs.
- Etwas, dass Sie besitzen – zum Beispiel eine kryptografischer Token
- Etwas, dass Sie charakterisiert – wie Fingerabdruck oder Spracherkennung
Die Two Factor Authentication gewährt Zugang zu einem System oder einer Webseite, sobald zwei dieser drei Faktoren positiv bestätigt wurden. Wenn Ihnen also jemand ein Passwort geklaut hat, ist der Zugang zu den über 2FA-geschützte Systeme weiterhin nicht möglich, solange einer der anderen Faktoren erfüllt ist. Ein Beispiel aus dem Sophos-Arbeitsalltag: Wir nutzen Tokens mit wechselnden, sechsstelligen Nummern, um den Zugang zu internen Systemen von unterwegs zu ermöglichen. Jedes Mal, wenn ich eine VPN-Session starte, muss ich meinen Username, eine Passwort und den aktuellen Sicherheitscode angeben. Aber auch in der großen weiten Internetwelt wird 2FA immer beliebter, große Social-Media-Seiten wie Facebook, Twitter oder LinkedIn haben das Verfahren mittlerweile eingeführt. Dabei kommt meistens ein sogenanntes SMS-Code-Verifizierungsverfahren zum Einsatz. Zusätzlich zum korrekt eingegebenen Passwort (also etwas, dass Sie wissen) muss noch ein weiterer, numerischer Code eingegeben werden, den Sie per SMS erhalten (also etwas, dass Sie haben). Der nicht wirklich verlässliche SMS-Service macht dieses Verfahren aber ebenfalls anfällig für Hacker. Ein anderes System nutzen beispielsweise Google und Windows, in dem Sie einen Authentifizierungs-App und sogenannten One-Time-Passwörtern. Zusätzliche Sicherheit liefern diese Apps, wenn Secure-Shell-Verbindungen (SSH) genutzt werden.
Aber, wie so oft, ist auch hier Vorsicht geboten! Mittlerweile kursieren verschiedenen Android-Malwarteversionen, die speziell darauf aus sind, SMS-Verifizierungs-Codes zu klauen und das 2FA-System auszutricksen. Hier sorgen Security-Apps, wie bspw. unser Sophos Antivirus and Security für Abhilfe.
Neben der Frage, was 2FA eigentlich ist, drängt sich natürlich auch die Frage auf, ob man es auch nutzen soll. Meiner Meinung nach auf jeden Fall! Es ist zwar nicht der Freischein für sicheres Surfen im Netz, aber es reduziert die Gefahr, Opfer einen Angriffs zu werden, dramatisch.
Antwort hinterlassen