09.08.2016, 16:45 Uhr

Mehr Schutz mit 2-Faktor-Authentifizierung

Ein starkes Passwort allein genügt meist nicht, um Logins abzusichern. Eine 2-Faktor-Authentifizierung fügt eine weitere Sicherheitsebene hinzu und erhöht den Schutz signifikant.
Es ist eigentlich kaum zu glauben: Die meistgenutzten Passwörter des letzten Jahres sind «123456», «password» und «12345678». Das hat der Sicherheits-Experte Splashdata aus mehr als 2 Millionen Kennwrtern ermittelt, die vergangenes Jahr in irgendeiner Form von Internetnutzern geklaut und veröffentlicht wurden. Mit dem Passwort nehmen es viele also nicht eben genau. Laut einer Studie des Markt­forschungs­instituts B2B International sind 21 Prozent der Nutzer der Meinung, Passwörter seien für Cyberkriminelle wertlos. Das allerdings ist ein Irrglaube: In Zeiten der Cloud und des Homeoffice greifen immer mehr Mitarbeiter über das Internet auf Dienste und Daten zu. Damit haben Kriminelle, die zum Beispiel über Schad-E-Mails an Zugangsdaten gelangen, besonders im Business-Umfeld häufig Zugang zu sensiblen Firmendaten.
Doch offenbar fehlt vielen Nutzern das Bewusstsein für einen sicheren Umgang mit Passwörtern. Entsprechend einfach machen sie es sich bei der Wahl ihrer Kennwörter: Nur 26 Prozent erstellen für jedes Konto ein separates Passwort. Und mit diesen wird nicht gerade sorgsam umgegangen. So schreiben 18 Prozent der von B2B International Befragten ihre Kennwörter in ein Notizbuch. 10 Prozent notieren sie sogar auf einem Zettel in der Nähe des Computers ? sicher ist was anderes. Eine sogenannte 2-Faktor-Authentifizierung (2FA) erhöht die Sicherheit von Logins ungemein. Dabei wird die herkömmliche Anmeldung per Passwort um eine weitere Sicherheitsebene ergänzt. Selbst wenn das Kennwort in fremde Hände gelangt, ist eine Anmeldung ohne diese zusätzliche Sicherheitsebene nicht möglich. «Die ständig wiederkehrenden Meldungen von gestohlenen Anmeldedaten, bestehend aus Nutzernamen, E-Mail-Adressen und Passwörtern, sowie Meldungen über gehackte Social-Media-Konten berühmter Personen zeigen eines deutlich: Statische Anmeldedaten sind kein zeitgemässer Schutz. Eine 2-Faktor-Authentifizierung und andere Verifizierungsverfahren, die auf mehreren Faktoren mit begrenzter Halbwertzeit und nicht wiederverwendbaren Codes beruhen, sind deshalb ein Muss für zeitgemässe Kontensicherheit», so Thomas Uhlemann, Security Specialist bei dem Sicherheitssoftware-Unternehmen Eset.

So funktioniert 2FA

Ein Nutzer authentisiert seine Identität bei einem Online-Dienst durch seinen Benutzernamen und das Passwort. Die Authentifizierung basiert dabei ausschliesslich auf dem Faktor Wissen ? für eine Anmeldung muss man nur die Benutzernamen-Passwort-Kombination kennen. Der Zugang zu Online-Diensten und Daten sollte daher durch Hinzunahme mindestens eines weiteren Authentifizierungsfaktors zusätzlich geschützt werden. Eine 2-Faktor-Authentifizierung kombiniert zwei Authentifizierungsmethoden. Zu dem Faktor Wissen kommt der Faktor Besitz oder der Faktor Biometrie. Der Einsatz biometrischer Merkmale fällt in der Regel aus. Zum einen steht Mitarbeitern nur selten etwa ein Fingerabdrucksensor zur Verfügung. Zum anderen handelt es sich um eindeutige persönliche Merkmale, die nicht jeder preisgeben möchte. Was bleibt ist der Faktor Besitz. Digitale Zertifikate etwa auf Smartcards sind in der Praxis zu kompliziert. Was aber fast jeder immer bei sich hat: das Smartphone. Es bietet sich also an, dieses für zusätzliche Sicherheit zu nutzen. So haben sich bei der 2-Faktor-Authentifizierung softwaregenerierte One-Time-Password-Token durchgesetzt. Dabei handelt es sich um zeitlich begrenzt gültige Einmal-Passwörter, die der Nutzer zusätzlich zum Benutzernamen und zum Passwort bei der Anmeldung angeben muss. Und hier kommt der Faktor Besitz ins Spiel: Dieses Einmal-Passwort sendet der Online-Dienst bei der Anmeldung etwa per Kurzmitteilung an das Smartphone des Nutzers oder eine auf dem Gerät installierte App generiert ein solches zeitlich begrenzt gültiges Einmal-Passwort. Wenn man sich also bei einem Dienst anmeldet, dann benötigt man zusätzlich zum Wissen ? Benutzername und Passwort ? auch zwingend das Smartphone mit einer passend konfigurierten App oder der vorab hinterlegten Telefonnummer für den Kurzmitteilungsempfang.
Übrigens: Was nur wenige wissen ? wir alle nutzen im täglichen Leben bereits regelmässig eine 2-Faktor-Authentifizierung. Und zwar am Geldautomaten. Dieser kombiniert die beiden Faktoren Wissen und Besitz. Zum Geldabheben muss man nicht nur seine PIN-Nummer kennen, sondern auch im Besitz der dazu passenden Bankkarte sein.

Cloud-Dienste und 2FA

Apple, Google, Dropbox, Evernote & Co. ? fast alle Online-Dienste bieten mittlerweile die Nutzung einer 2-Faktor-Authentifizierung an. IT-Administratoren sollten daher die Konten für ihre Mitarbeiter so konfigurieren, dass sie die zusätzliche Sicherheitsebene nutzen müssen. Einige Dienste unterstützen auch die Nutzung von Offline-Authentifizierungs-Apps für das Smartphone, etwa die App Google Authenticator. Eine solche App erstellt One-Time-Password-Token auch ohne Internetverbindung. So ist Aussendienstmitarbeitern zum Beispiel im Ausland eine Anmeldung an einem fremden Rechner etwa bei Dropbox möglich, auch wenn das Mobiltelefon gerade über keine Internetverbindung verfügt.

Authentication as a Service (AaaS)

In vielen Unternehmen kommen neben Cloud-Diensten wie Dropbox auch zahlreiche weitere Dienste zum Einsatz, bei denen sich Mitarbeiter von unterwegs über das Internet anmelden. Dazu gehören zum Beispiel Virtual Private Networks (VPNs) oder Outlook Web Access am Microsoft Exchange Server. Diese und auch selbst entwickelte Dienste lassen sich ebenfalls mit einer 2-Faktor-Authentifizierung zusätzlich absichern. Einen eigenen Server, der die zusätzliche Authentifizierung über 2FA übernimmt, braucht man dafür nicht zu betreiben. Auch hierfür steht die Cloud bereit: Authentication as a Service (AaaS). Einen Cloud-Dienst für 2FA fügt man einfach zu seinen vorhandenen Anwendungen, die den Authentifizierungs-Dienst RADIUS nutzen, hinzu ? oder man integriert Authentication as a Service über eine API in ein bestehendes Active-Directory-Authentifizierungssystem. Für Eigenentwicklungen stellen die AaaS-Anbieter häufig auch SDKs für die Integration bereit. Entsprechende AaaS-Angebote gibt es zum Beispiel von der Deutschen Telekom, Eset oder Sophos.



Das könnte Sie auch interessieren