Schon seit mehreren Jahren gilt in der IT-Sicherheit der Konsens, dass das einfache Login Verfahren mit Name und Passwort alleine weder zeitgemäß noch sicher genug ist für eine immer stärker vernetzte und damit mehr Angriffen ausgesetzte Online-Welt. [1, 2, 3, 4, 5]
Eine erhebliche Steigerung der Sicherheit bringt hierbei die Multi-Faktor-Authentifizierung (MFA), oft auch Multi-Faktor-Authentisierung genannt. Die simpelste Version hiervon ist die Zwei-Faktor-Authentifizierung (2FA), welche sicherlich allen schon einmal begegnet ist. Obwohl sich dieses System in der ein oder anderen Form langsam aber sich etabliert, nutzen viele Menschen nur dort MFA, wo sie dazu genötigt oder sogar gezwungen werden. Dieser Blogpost soll darüber aufklären, was MFA genau ist, wieso es erheblich höhere Sicherheit bringt und wo es überall genutzt werden kann. [1, 2, 5]
Was sind „Faktoren“?
Als Faktoren oder Komponenten werden die Informationen bezeichnet, welche zur Authentifizierung eines Zugangs nötig sind. Diese werden grundsätzlich in vier Kategorien unterteilt: [1]
- Wissen: Dazu gehört beispielsweise das klassische Passwort. Dieses weiß grundsätzlich nur die tatsächlich berechtigte Person, allerdings zeigt es sich, dass auch andere dies entweder erraten oder durch Sicherheitslücken erfahren könnten.
- Besitz: Zu den Besitzfaktoren gehören alle physischen Objekte, welche zu einer Authentifizierung genutzt werden können, wie beispielsweise ein Schlüssel oder eine Bankkarte. Auch hier gilt, dass das Objekt ggf. von anderen entwendet werden könnte.
- Inhärenz: Faktoren, die beschreiben was oder wer man ist, beziehen sich üblicherweise auf biometrische Kennungen. Faktoren wie beispielsweise Fingerabdrücke, Abgleiche der Iris oder Unterschiede in Stimmprofilen sind in fast allen Fällen einmalig für eine einzelne Person. Ein Nachteil hierbei ist jedoch, dass sich dieser Faktor, anders als ein Passwort oder eine Bankkarte, nicht austauschen lässt. Gelingt es Dritten also eine (nahezu) perfekte Kopie zu erzeugen, ist der Faktor für immer unwiederbringlich kompromittiert.
- Ort: Als letzter Faktor wird oftmals noch der Ort gezählt, auch wenn dieser in den meisten Fällen nur als Zusatzüberprüfung gilt. Man kennt dies beispielsweise von Online-Diensten, die um eine erneute Bestätigung bitten, falls man sich von anderen Geräten oder aus einer anderen Stadt in den Account einloggen möchte.
Desweiteren gibt es auch Verfahren, welche nicht eindeutig zuzuordnen sind. Hierzu gehört beispielsweise das Zusenden eines „One-Time-Password“ (OTP, zu deutsch: Einmalpasswort) an eine E-Mail Adresse. Der Zugang zu einem Mail-Konto passt weder zur Inhärenz, da auch andere Zugang haben könnten, noch passt es zum Besitz, da es natürlich kein physisches Objekt. Es hat auch keine physischen Eigenschaften, wie beispielsweise die perfekte Ausschließbarkeit und Rivalität.
Alle vier Kategorien haben für sich alleine genommen unterschiedlichste Vorteile, jedoch ist kein Faktor perfekt. Um Schwachstellen ausgleichen zu können, ist es daher sinnvoll mehrere Faktoren miteinander zu kombinieren (also ein Multi-Faktor).
Ein Zugangspasswort (Faktor: Wissen) kann durch unzureichende Sicherheitsmaßnahmen einer Plattform oder weil Nutzer:innen ein schwaches Passwort mehrfach verwenden relativ einfach gestohlen werden. Benötigt man zur Authentifizierung allerdings zusätzlich noch eine Schlüsselkarte (Besitz), so wird es erheblich schwieriger unrechtmäßigen (oder sogar unbemerkten) Zugang zu erlangen. Eben auf diesem Konzept basiert das Abheben von Bargeld von einem Bankkonto schon seit Jahrzehnten.
Vor- und Nachteile
Neben dem unumstrittenen und erheblichen Sicherheitszugewinn durch die Verwendung mehrerer Faktoren, erzeugt das Verfahren allerdings auch Nachteile. Diese liegen hauptsächlich in der Umständlichkeit oder dem Verwendungsaufwand. Statt sich einfach mit einem Passwort in die eigenen Konten einloggen zu können, bedarf es bei der Verwendung der 2FA beispielsweise oft noch eines Einmalpassworts (OTP), welches entweder per E-Mail oder per 2FA-App bei den Benutzer:innen ankommt. So kann der Login in einen Webshop auch gerne mal die doppelte Zeit beanspruchen. [5]
Dagegen steht der bereits mehrfach angesprochene Zugewinn an Sicherheit. Es bleibt hierbei natürlich eine Abwägung und Einzelfallentscheidung zu treffen. Hierbei sollte man sich jedoch eingestehen, dass die zusätzliche Sicherheit in einem sehr viel höheren Verhältnis steht als die Zeitersparnis weniger Sekunden beim einmaligen Login zu einer Plattform. Es gibt in der praktischen Verwendung im Alltag nur wenige bis gar keine Anwendungen und Situationen, in denen die Nachteile von Multi-Faktor-Authentifizierung gegen die Vorteile überwiegen. Die Verwendung von mindesten zwei Faktoren (2FA) ist daher eigentlich immer sinnvoll. [3, 4, 6]
Auch wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene MFA- und 2FA-Verfahren unterschiedlich in Hinblick auf ihre Sicherheit bewertet, bezeugen sie jedem MFA-Verfahren erheblich höheren Schutz als einem einfachen Loginverfahren mit lediglich einem einzigen Faktor (einfaches Passwort-Verfahren). [6]
Multi-Faktor-Authentifizierung in der ViOffice Cloud
Auch die ViOffice Cloud bietet selbstverständlich die Möglichkeit der Zwei-Faktor-Authentifizierung. Und auch wenn wir diese unseren Nutzer:innen nicht aufzwingen möchten, so appellieren wir doch dazu, diese dringendst zu aktivieren, um die Sicherheit der eigenen Daten und Informationen zu schützen.
Mehrere Methoden der 2FA können in der ViOffice Cloud genutzt werden:
- Bestätigung des Login durch ein anderes, bereits eingeloggtes Gerät.
- Bestätigung des Login durch ein Einmalpasswort (OTP) per E-Mail.
- Bestätigung des Login durch ein Einmalpasswort (OTP) per 2FA-App (z.B. Aegis für Android, Raivo für iOS oder Authenticator für GNU/Linux Smartphones).
Welche der Verfahren genutzt wird, bleibt den Nutzer:innen überlassen. Es können hierbei auch mehrere ausgewählt und nach Bedarf entschieden werden. Wichtig ist hierbei, dass MFA/2FA überhaupt genutzt wird und der Einstieg für Nutzer:innen möglichst einfach ist. Idealerweise sollte der zweite Faktor (z.B. das OTP per App) nicht über das selbe Gerät empfangen werden, über das man sich einloggt. Wir empfehlen die Verwendung einer 2FA-app statt des Einmalpasswort per E-Mail, wann immer dies möglich ist. Mehr Informationen zur Verwendung von 2FA in der ViOffice Cloud findet sich in unserem Helpcenter.
Quellen
- IBM (2022): 2FA (Zwei-Faktor-Authentifizierung). Abgerufen: 23.08.2022. URL: https://www.ibm.com/de-de/topics/2fa
- IBM (2022): Mehrfaktorauthentifizierung. Abgerufen: 23.08.2022. URL: https://www.ibm.com/de-de/topics/multi-factor-authentication
- Bundesamt für Sicherheit in der Informationstechnik (2022): Zwei-Faktor-Authentisierung. Abgerufen: 23.08.2022. URL: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html
- Cybersecurity & Infrastructure Security Agency (2022): Multi-Factor Authentication. Abgerufen: 23.08.2022. URL: https://www.cisa.gov/mfa
- Luber, S. & Schmitz, P. (2017): Was ist Multi-Faktor-Authentifizierung (MFA)? URL: https://www.security-insider.de/was-ist-multi-faktor-authentifizierung-mfa-a-631486/
- Bundesamt für Sicherheit in der Informationstechnik (2022): Bewertungstabellen ‚IT Sicherheit‘. URL: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/2FA/it-sicherheit.pdf
Jan ist Mitgründer von ViOffice. Er kümmert sich insbesondere um die technische Umsetzung und Wartung der Software. Seine Interessen liegen insbesondere in den Themengebieten Sicherheit, Datenschutz und Verschlüsselung.
Neben seinem Studium der Volkswirtschaftslehre, später der angewandten Statistik und seiner daran anknüpfenden Promotion, hat er jahrelange Erfahrung im Bereich Softwareentwicklung, Opensource und Serveradministration.