Zwei-Faktor-Authentifizierung zur Nutzerüberprüfung
Funktionsweise der Zwei-Faktor-Authentifizierung
Häufig beginnt die Authentisierung durch mehrere Faktoren mit dem normalen Eingeben eines guten Passworts. Das System bestätigt die Richtigkeit eines eingegebenen Kennworts. Dies führt nicht unmittelbar zu den gewünschten Inhalten, sondern zu einer erneuten Schranke. Dadurch wird verhindert, das Unbefugte auf Nutzerdaten oder Funktionen zugreifen können, wenn sie das Passwort haben.
Viele Zwei-Faktor-Systeme nutzen nach der Passwortabfrage externe Systeme, um die zweistufige Nutzerüberprüfung durchzuführen. Dies kann dazu führen, dass Anbieter einen Bestätigungscode für ein weiteres Gerät wie das Smartphone erhalten. Als zweiter Faktor kann aber auch der Fingerabdruck auf entsprechenden Sensoren , ein USB-Token oder eine Chipkarte dienen. Erst dann kann man den angeforderten Inhalt, den Online-Dienst bzw. das Gerät benutzen. Es ist wichtig, dass die Faktoren aus unterschiedlichen Kategorien kommen und somit Wissen (z.B. PIN, Passwort), Biometrie (z.B. Fingerabdruck) oder Besitz (z.B. TAN-Generator, Chipkarte) kombiniert verwendet werden.
Einige Verfahren kombinieren mehrere Faktoren unmittelbar miteinander. In Bezug auf die Online-Ausweisfunktion des Personalausweises kann der Aspekt "Besitz Chipkarte" bloß mit dem Aspekt "Wissen PIN" zusammen eingesetzt werden. Erst dann findet beim Anbieter eine Authentisierung statt. Dies führt zu einer noch größeren Sicherheit als bei der sequentiellen Prüfung eines Passwortes sowie eines einzelnen zweiten Faktors.
Gängige Systeme für die Zwei-Faktor-Authentisierung
TANs und OTPs sind Einmalkennwörter, welche als ein zweiter Faktor übertragen werden. Kryptographische Token speichern private kryptografische Schlüssel. Die Authentisierung wird mithilfe des Versenden einer Anforderung an ein Token durchgeführt, wobei Token bloß mit privaten Schlüsseln richtig beantwortet werden können. Bei biometrischen Systemen werden vorher erfasste, einzigartige körperliche Merkmale wie Gesicht, Retina oder Fingerabdruck überprüft. Dabei ist eine Lebenderkennung wichtig.
Einsatz dieser Sicherheitsverfahren
Beim Online-Banking meldet man sich mit einem Passwort an und lässt sich die Transaktionen mit mTan oder pushTan bestätigen. Ansonsten funktionieren auch HBCI oder chipTAN.
Der Chip in Debit- oder Kreditkarten bestätigt den Besitz und durch das Wissen des PINs wird der Vorgang legitimiert. Bei der Online-Ausweisfunktion des Personalausweises übermittelt der Chip die Daten durch die PIN-Eingabe. Zusätzlich findet zwischen Diensteanbieter und Ausweis eine gegenseitige Authensierung und eine Ende-zu-Ende-Verschlüsselung der ausgelesenen Daten statt.
Social Media Plattformen und Cloud- oder Mail-Anbieter bieten einen sicheren Login mit mTan und Passwort bzw. einem OTP aus der Authenticator-App. Alternativ funktionieren auch hardwarebasierte U2F/FIDO-Token. Bei ELSTER kann man die Steuererklärung digital einreichen. Das Anmelden erfolgt über ein passwortgeschütztes Softwarezertifikat oder die Online-Ausweisfunktion des Personalausweises.