Multi-Faktor-Authentisierung
Die Multi-Faktor-Authentifizierung (MFA), auch Multifaktor-Authentisierung, ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen IT-Grundschutzkatalogen auch Empfehlungen zur Multi-Faktor-Authentisierung für Cloudanwendungen herausgegeben.[1]
Faktoren
BearbeitenMöglich sind mehrere Faktoren. Verbreitet sind zurzeit
- „knowledge“, also „Wissen“, etwas, das der Nutzer weiß (beispielsweise ein Passwort),
- „ownership“, also „Besitz“, etwas, das nur der Nutzer besitzt (beispielsweise ein Mobiltelefon),
- „inherence“, also „Inhärenz“, etwas, das der Nutzer ist (beispielsweise ein Fingerabdruck),[2]
- „location“, also „Ort“, ein Ort, an dem sich der Nutzer befindet.[3]
Als Beispiel für mehrere Faktoren kann das Geld-Abheben an einem Geldautomaten betrachtet werden: Der Bankkunde muss seine Bankkarte besitzen („ownership“) sowie seine PIN kennen („knowledge“).
Wissen
BearbeitenWissen ist der meist genutzte Faktor zur Authentisierung. Beispiele sind Passwörter, aber auch ein Geburtsdatum und andere Sicherheitsfragen.
Besitz
BearbeitenAuthentisierung durch Besitz kann physisch durch SmartCards erfolgen oder auch digital durch kryptographische Schlüssel.[4]
Inhärenz
BearbeitenZu Inhärenz zählen insbesondere biometrische Authentisierungsmethoden wie der Fingerabdruck, Gesichtserkennung, Sprecherauthentifizierung oder Iris-Erkennung.[5]
Angriffe
BearbeitenDie häufige Authentisierung durch SMS kann über verschiedene Wege ausgehebelt werden. So können unter Android gefälschte Apps Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten.[6] Zudem können Angriffe direkt auf das im Mobilfunknetz verwendete Signalling-System-7-Protokoll (SS7) abzielen: Angreifer können SMS, die zur Authentisierung bestimmt sind, auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusätzlichen Sicherheitsfaktor aushebeln.[7] Auf diese Weise wurden 2017 bei einem groß angelegten Angriff Kunden des Mobilfunkanbieters O2 durch unberechtigte Abbuchungen von ihren Bankkonten betrogen.[8] Durch ein Datenleck bei einem Versender von Zwei-Faktor-SMS konnte der Chaos Computer Club 2024 fast 200 Millionen SMS von mehr als 200 Unternehmen einsehen.[9][10]
Gesetzgebung
BearbeitenEuropäische Union
BearbeitenSeit dem 1. Januar 2021 sind europäische Kreditinstitute durch die Zahlungsdiensterichtlinie PSD2 dazu verpflichtet, dem Kunden eine SKA (Starke Kundenauthentifizierung) anzubieten. Die bedeutet, dass Transaktionen durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden müssen.[11]
Patente
BearbeitenDer Unternehmer und Internetaktivist Kim Dotcom behauptete 2013 öffentlichkeitswirksam, die Zwei-Faktor-Authentisierung erfunden und im Jahr 2000 zum Patent[12] angemeldet zu haben. Ebenso hielt er ein europäisches Patent. Die Europäische Union entzog ihm jedoch im Jahr 2011 das Patent, unter anderem, weil AT&T ebenfalls ein Patent auf die Technologie angemeldet hatte, jedoch bereits 1995. Dotcoms Patent in den USA hat zwar weiter Bestand, jedoch hält AT&T auch dort ein älteres Patent.[13]
Verwandte Artikel
BearbeitenEinzelnachweise
Bearbeiten- ↑ M 4.441 Multifaktor-Authentisierung für den Cloud-Benutzerzugriff ( vom 12. September 2015 im Internet Archive), BSI, Stand: 14. EL Stand 2014.
- ↑ Andrea Saracino: Emerging Technologies for Authorization and Authentication. Springer International Publishing, Luxembourg City 2019, ISBN 978-3-03039749-4, S. 140, doi:10.1007/978-3-030-39749-4.
- ↑ Sharma Seema: Location Based Authentication. Hrsg.: University of New Orleans. 2005 (uno.edu).
- ↑ Henk C. A. van Tilborg: Encyclopedia of Cryptography and Security. Hrsg.: Springer Science & Business Media. 2011, ISBN 978-1-4419-5905-8, S. 1305 (springer.com).
- ↑ Norbert Pohlmann: Identifikation und Authentifikation. 2019, S. 87 (norbert-pohlmann.com [PDF]).
- ↑ Philipp Anz: Angriff auf SMS-basierte 2-Faktor-Authentifizierung. In: Inside IT. 17. Juni 2019, abgerufen am 20. Januar 2021.
- ↑ Bernd Kling: 31C3: SS7-Protokolle ermöglichen Angriffe auf Mobiltelefone. In: ZDNet. ZDNet, 29. Dezember 2014, abgerufen am 20. Januar 2021.
- ↑ Anja Schmoll-Trautmann: Hacker räumen Bankkonten von O2-Kunden leer. In: ZDNet. ZDNet, 3. Mai 2017, abgerufen am 20. Januar 2021.
- ↑ Kai Biermann: IT-Sicherheit: Wenn der Tinder-Zugang offen im Netz rumliegt. In: Die Zeit. 11. Juli 2024, ISSN 0044-2070 (zeit.de [abgerufen am 11. Juli 2024]).
- ↑ CCC | Zweiter Faktor SMS: Noch schlechter als sein Ruf. Abgerufen am 11. Juli 2024.
- ↑ PSD2. In: Deutsche Bundesbank. Deutsche Bundesbank, archiviert vom am 5. Januar 2021; abgerufen am 20. Januar 2021. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ Patent US6078908: Method for authorizing in data transmission systems. Erfinder: Schmitz, Kim.
- ↑ Jon Brodkin: Kim Dotcom claims he invented two-factor authentication—but he wasn't first. In: Ars Technica. 23. Mai 2013, archiviert vom (nicht mehr online verfügbar) am 9. Juli 2019; abgerufen am 20. Januar 2021.