Arten der Multi-Faktor-Authentifizierung – Vor- und Nachteile

von Timm Lotter, Senior Presales Consultant, APIIDA AG

Mit Hilfe eines zweiten Faktors lässt sich die Anmeldung an Webseiten, Anwendungen und am PC viel sicherer gestalten. Der erste Faktor, das Passwort, ist in der heutigen Zeit längst nicht mehr ausreichend. Ein potenzieller Angreifer kann dank üblicher Sicherheitslücken, gefälschter Webseiten oder veröffentlichter Benutzerdaten denkbar einfach an das persönliche Passwort gelangen und im Anschluss großen Schaden anrichten. Damit dies nicht gelingt – oder zumindest maximal erschwert wird – gehen immer mehr Organisationen dazu über, einen zweiten Faktor einzusetzen. Dabei gibt es mehrere Arten, die jeweils Vor- und Nachteile aufweisen.

Push-Nachricht via Smartphone

Eine der einfachsten Methoden ist eine Push-Nachricht auf das Smartphone. Bei der Anmeldung bekommt der Benutzer auf sein Smartphone, sei es Android oder iPhone, eine Nachricht. In dieser werden zur Sicherheit Kontext-Informationen wie Browser, Ort und Betriebssystem angezeigt. Der Nutzer hat nun drei Möglichkeiten:

• Zustimmen: Der Benutzer wird erfolgreich angemeldet.
• Zweifelhaft: Der Benutzer ist sich nicht sicher, ob die angezeigten Kontext-Informationen korrekt sind.
• Abbrechen: Jemand anderes versucht sich anzumelden und der Anmeldeprozess wird abgebrochen.

Der klare Vorteil liegt in der Einfachheit dieser Methode. Der Benutzer bestätigt mit nur einem Klick die Anmeldung.

Doch es gibt auch Nachteile: Immerhin ist eine Internetverbindung notwendig, um die Push-Nachricht zu empfangen. Kombiniert mit dem One-Time Passwort (OTP) in derselben App lässt sich dieser Nachteil jedoch aus der Welt schaffen.

Abbildung 1: Screenshot Push Nachricht auf dem Smartphone (Quelle: APIIDA AG)

OTP via Smartphone

Der Benutzer generiert auf seinem Smartphone ein One-Time Passwort (OTP). Dieses besteht aus einer zufälligen Kombination mehrerer Zahlen, die in einem bestimmten Zeitfenster, wie beispielsweise alle 30 Sekunden, rein zufällig generiert werden. Dieses Passwort gibt der Nutzer nun beispielsweise in die Anmeldemaske einer Anwendung oder auf einer Webseite ein. Der Passworterstellung liegt ein intelligenter Algorithmus zugrunde. Die Überprüfung der Richtigkeit kann man sich vorstellen, dass die Webseite denselben OTP generiert und beide vergleicht.

Der Vorteil liegt vor allem darin, dass für die Generierung kein Internet notwendig ist. Der Benutzer muss das auf dem Smartphone erstellte OTP manuell in der entsprechenden Anmeldemaske eingeben. Der zusätzliche Kanal und das Abtippen machen einen Angriff schwieriger.

Allerdings ist die OTP-Variante im Vergleich zur Push-Nachricht deutlich unbequemer. Insbesondere Nutzer mit wenig IT-Berührungspunkten benötigen länger für die Eingabe und eine Überschreitung der Gültigkeitsdauer vom OTP ist möglich. Und: Es fehlen die Kontext-Informationen (wie bei der Push-Nachricht).

Abbildung 2: Screenshot von einem generierten OTP mit dem Smartphone (Quelle: APIIDA AG)

OTP via E-Mail

Bei dieser Variante erhält der Benutzer ein One-Time Passwort (OTP) via E-Mail. Es ist nur für eine bestimmte Zeit gültig und kann danach in die gewünschte Anmeldemaske eingegeben werden.

Der Vorteil: Der Anwender muss nur die E-Mail, sei es auf dem PC, Laptop, Smartphone oder einem anderen Gerät empfangen. Ein Smartphone ist nicht notwendig.

Auf der anderen Seite ist die Methode deutlich einfacher angreifbar, denn: Zum Empfangen vom OTP braucht ein Angreifer die Anmeldedaten für den E-Mail-Account. Noch einfacher ist es, wenn der gesamte Mail-Server übernommen wurde, damit ein Angreifer alle E-Mails lesen kann.

OTP via SMS

Das OTP kann der Benutzer auch via SMS auf sein Mobiltelefon erhalten. Auch hier ist das Passwort nur für eine bestimmte Zeit gültig und kann im Rahmen seiner „Haltbarkeitsdauer“ in die gewünschte Anmeldemaske eingegeben werden.

Positiv hervorzuheben wäre hier, dass diese Variante auch alte Geräte oder Smartphones ohne Android und iPhone einschließt.

Der Nachteil: Für das Versenden der SMS entstehen Kosten. Außerdem kann ein Angreifer die Telekommunikationssysteme übernehmen, um das OTP abzufangen.

Grid Card

Der Benutzer erhält eine Grid Card – ob nun ausgedruckt in Papierform oder als digitale Datei. Sie besteht aus einem Grid: Die Spalten haben Buchstaben wie A, B, C und die Zeilen haben Zahlen wie 1, 2, 3. Für jede Spalten-Zeilen-Kombination gibt es einen Wert. Beim Anmeldeprozess muss der Anwender mehrere Werte eingeben. Als Beispiel werden A2, C3 und E5 abgefragt, die Werte dazu wären gemäß Abbildung 3 CF, R0 und 0J.

Der Vorteil liegt unbestritten darin, dass für die Grid Card kein digitales Gerät notwendig ist. Dies ist insbesondere für Hochsicherheitsbereichen praktisch, in denen Smartphones und Co. verboten sind. Diese Methode ist kostengünstig, da die Grid Card letztlich einfach ausgedruckt und immer wieder verwendet werden kann.

Der entscheidende Nachteil: Sie ist einfach kopierbar und stellt die „geheimen“ Wertkombinationen sichtbar dar.

Abbildung 3: Screenshot von einer Grid Card (Quelle: APIIDA AG)

Smartphone für die PC Anmeldung

Die Lösung APIIDA Mobile Authentication ist zweifelsohne eine Innovation für die sichere Anmeldung am Windows-Betriebssystem. Der Anwender gibt dabei nicht mehr seinen Benutzernamen und sein Passwort am PC ein, sondern verwendet stattdessen sein Smartphone. Die Anmeldung wird mit dem Fingerabdruck oder Passwort auf dem Smartphone durchgeführt. Der PC und das Smartphone sind mit einer verschlüsselten Bluetooth Verbindung gekoppelt.

Die Vorteile überwiegen hier deutlich: Für die Windows-Anmeldung ist ein „zweiter Faktor“ in Form von einem zusätzlichen Gerät, dem Smartphone und dem Fingerabdruck notwendig. Die Abmeldung erfolgt automatisch, wenn sich der Benutzer mit dem Smartphone vom PC entfernt.

Der Nachteil liegt darin, dass der PC über eine Bluetooth-Schnittstelle verfügen muss. Dies lässt sich jedoch mit einem Bluetooth-Dongle (USB-Stick) beheben.

Abbildung 4: Screenshots APIIDA Mobile Authentication auf dem Smartphone (Source: APIIDA AG)

Zusammenfassung

Es gibt unterschiedliche Wege und Möglichkeiten, einen zweiten Faktor zu generieren. Alle Varianten haben Vor- und Nachteile. Um die aktuellen und zukünftigen Anforderungen umzusetzen, ist allerdings eine MFA-Lösung notwendig, die methodenübergreifend wirkt. Das ist jedoch nur der erste Schritt. Um das Sicherheitslevel anzuheben ist zusätzlich die Verhaltensanalyse der Benutzer notwendig, um die „starren Regeln“ zu erweitern. Hinzukommt, dass ein komplexer Anmeldevorgang die Nutzer schnell überfordert. Die Kunst muss also darin liegen, im Anmeldeprozess möglichst hohe Sicherheit bei gleichzeitiger Nutzerakzeptanz zu schaffen. Die Nase vorn haben hier bislang die beiden Methoden „Push-Nachricht via Smartphone“ und das „Smartphone für die PC Anmeldung“.