INTERNET-SICHERHEITSUPDATE: Zwei-Faktor-Authentifizierung und Multi-Faktor-Authentifizierung

Mitte der 1980er Jahre, als ich meine Reise mit Computerelektronik begann, hatten die Leute noch nicht so viele Online-Konten wie heute. Wer ein computerbezogenes „Konto“ besaß, war wahrscheinlich mit einer Regierungsbehörde, einer Forschungseinrichtung oder einer akademischen Einrichtung verbunden und nutzte ARPANET, CSNET oder NSFNET, die Vorläufer des modernen Internets.

Wenn Sie wie ich eher bescheidene Computerambitionen hatten, konnten Sie alternativ einen „Heimcomputer“ verwenden (meiner war ein Commodore 64) und sich mit „Bulletin Board Systems“ verbinden, die dem modernen Internet ähnelten und einen Zähler verwendeten. – Einrichten des Modems über Telefonnetze. Sie können auch verbraucherorientierte Netzwerkdienste wie FidoNet oder Compuserve abonnieren, die minutenweise abrechnen.

Um auf all diese wunderbaren Technologien zugreifen zu können, benötigte man, genau wie heute, ein „Konto“, das aus einem Benutzernamen (entweder zugewiesen oder von Ihnen erfunden) und einem Passwort bestand. Diese beiden Dinge öffneten ihm alle Türen zum Internet. Die Passwortanforderungen waren einfach; Sicherheit spielte keine große Rolle und Cyberkriminalität war relativ selten.

Heute haben sich die Dinge dramatisch verändert. Obwohl die Online-Kriminalität pandemiebedingt enorme Ausmaße angenommen hat, verwenden wir immer noch Benutzernamen und Passwörter. Obwohl die Passwortanforderungen strenger geworden sind und Sicherheit in den Mittelpunkt gerückt ist, brauchen wir im Kampf um Online-Sicherheit mehr; Benutzernamen und Passwörter reichen nicht mehr aus. Hier kommen 2FA und MFA ins Spiel.

Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA) sind Begriffe, die im Wesentlichen dasselbe beschreiben: eine Möglichkeit, zusätzliche Beweise (sogenannte „Faktoren“) vorzulegen, um zu beweisen, dass Sie die Person sind, für die Sie sich ausgeben, wenn Sie versuchen, auf einen Onlinedienst zuzugreifen. Der gesamte Vorgang wird als „Authentifizierung“ bezeichnet, d. h. Sie sind in gutem Glauben oder „authentisch“, also Ihr wahres „Sie“.

Das alte Benutzername/Passwort-Modell verwendet nur einen „Faktor“, nämlich das Passwort. Ein Grund für einen weiteren „Faktor“ ist, dass so viele Passwortdatenbanken gehackt und jedem zugänglich gemacht wurden, der sich dafür interessierte. Manche Leute verwenden außerdem schwache, leicht zu erratende Passwörter, die sie nie ändern. Ein weiterer Grund für einen weiteren „Faktor“ ist, dass viele Leute für alle ihre Konten dasselbe Passwort verwenden. Mehr Faktoren machen es für die falsche Person schwieriger, auf ein Konto zuzugreifen.

Zu den Faktoren gehören etwas, das Sie besitzen (z. B. eine Bankkarte), etwas, das Sie wissen (z. B. ein Kennwort oder eine PIN), etwas, das Sie sind (biometrische Daten, z. B. ein Fingerabdruck oder andere körperliche Merkmale, die Sie eindeutig kennzeichnen) und ein Ort, an dem Sie sich befinden (z. B. eine Verbindung zu einem bestimmten Netzwerk oder Standortinformationen wie GPS).

Die häufigste Verwendung der Multi-Faktor-Authentifizierung besteht darin, einen Code in einer Textnachricht an Ihr Telefon zu senden, wenn Sie versuchen, sich bei einem Online-Konto anzumelden. Beispielsweise melden Sie sich bei Amazon an, indem Sie Ihr Passwort eingeben (der erste Faktor). Amazon sendet Ihnen einen Code, den Sie eingeben müssen (der zweite Faktor), und dann dürfen Sie Ihr Amazon-Konto verwenden.

Obwohl SMS-Nachrichten noch immer weit verbreitet sind, um MFA/2FA-Codes zu erhalten, wird leider davon abgeraten, sie zu verwenden. Die Bösewichte im Internet haben viele verschiedene Möglichkeiten gefunden, die SMS-Methode zu hacken. Microsoft hat im vergangenen November sogar eine Warnung herausgegeben, in der es hieß, dass man aus Sicherheitsgründen von SMS-basierten 2FAs Abstand nehmen und stattdessen Authentifizierungs-Apps wie Authy, Microsoft Authenticator oder „token secure“ wie den YubiKey verwenden sollte.

Nächste Spalte: So verwenden Sie MFA/2FA-Tools wie Authy und Yubikey.

Dave Moore, CISSP, repariert seit 1984 Computer in Oklahoma. Er ist Gründer der gemeinnützigen Internet Safety Group Ltd und hält auch Schulungsseminare zur Internetsicherheit für die Öffentlichkeit. Sie erreichen ihn unter 405-919-9901 oder internetsafetygroup.org.