Zwei-Faktor-Authentifizierung

Medien berichten immer wieder von millionenfachem Datenklau auf den verschiedensten Plattformen im Internet. Erst jüngst erregte das BSI mit einer Pressemitteilung das Aufsehen der Öffentlichkeit. 16 Millionen E-Mail-Adressen und Passwörter waren in einem Botnetz, also in den Händen von kriminellen Hackern,  gefunden worden. Woher diese Passwörter stammen, und für welche Webseiten sie gelten, ist noch immer nicht bekannt. Klar ist jedoch, dass die Hacker sich auf genau diesen Webseiten mit den Passwörtern ihrer Opfer anmelden können. Dem Identitätsmissbrauch ist Tür und Tor geöffnet.

Das muss jedoch nicht so sein. Aus kryptographischer Sicht ist die klassische Anmeldung mit Benutzername und Passwort schon lange unsicher. Das hat viele Gründe. Einer dieser Gründe ist, dass neben dem Benutzernamen, beispielsweise der E-Mail-Adresse, eben nur ein weiteres Merkmal zur Anmeldung abgefragt wird, nämlich das Passwort. Man spricht deshalb von einer „Ein-Faktor-Authentifizierung“.

Wenn jedoch zur Anmeldung noch ein weiteres Merkmal benötigt würde – etwa ein von einem speziellen Gerät erzeugter Code – dann würde ein gestohlenes Passwort allein noch nicht ausreichen, um eine Identität annehmen und missbrauchen zu können. Kriminelle könnten dann, selbst wenn sie das Passwort kennen, weniger Schaden anrichten. Solche Verfahren, als „Zwei-Faktor-Authentifizierung“ bezeichnet, bieten ein  höheres Maß an Sicherheit, betonen die Forscher der Arbeitsgruppe für Kryptographie und Sicherheit am KIT.

Anwendung finden solche Verfahren heutzutage bereits vielfach im Online-Banking: Neben einem Benutzernamen und einem Login-Passwort für die Seite des jeweiligen Anbieters, wird zum Geldtransfer zusätzlich eine Transaktionsnummer (TAN) benötigt. Diese Nummer muss über ein externes Gerät erzeugt oder über das private Mobiltelefon zugesendet werden. Somit wird ein zusätzlicher Sicherheitsfaktor eingebaut.

Die „Zwei-Faktor-Authentifizierung“ kann aber auch in weiteren Bereichen Anwendung finden und ist an keine bestimmten Geräte gebunden. Auch andere eindeutige Merkmale wie der eigene Fingerabdruck sind zweckdienlich. Einige Laptops oder Smartphones verfügen bereits heute über Scanner, die mittels Fingerabdruck Zugang zum Gerät gewähren, ganz ohne Passwort. Um eine „Zwei-Faktor-Authentifizierung“ zu erhalten, müsste man nur fordern, dass Passwort und Fingerabdruck erforderlich sind, um das Gerät freizugeben.

Das mag für den Hausgebrauch zwar nicht notwendig sein, wäre aber dennoch sicherer. Denn generell gilt: Je mehr Aufwand ein Angreifer betreiben muss, um sich als sein Opfer auszugeben, desto schwieriger wird dieses Unterfangen. Passwörter können Kriminelle zwar in großen Mengen erbeuten, aber zusätzlich Millionen von Geräten oder Gegenständen aus den Wohnungen ihrer Besitzer zu stehlen – das scheint doch sehr schwer.