Benutzer:Rolf b/Zweifaktorauthentifizierung

Aus SELFHTML-Wiki
Wechseln zu: Navigation, Suche

Unter Zweifaktorauthentifizierung (2FA) versteht man ein Anmeldesystem, bei dem außer dem Benutzernamen nicht nur ein Authentizitätsbeweis verlangt wird, sondern zwei, und zwar aus unterschiedlichen Kategorien.

Authentizätsbeweise sind möglich über - Geheimes Wissen (Passwort) - Besitz eines Gegenstandes (z.B. Tokengenerator) - Eigenschaften (z.B. Fingerabdruck oder Irismuster)

Ein Beispiel ist die SMS-TAN, die Banken früher verwendet haben und die beispielsweise PayPal heute noch nutzt. Man hat sich mit User-ID und Passwort (geheimes Wissen) angemeldet und erhält dann eine SMS auf eine hinterlegte Mobilfunknummer, worin sich ein Einmalcode befindet. Das Mobilgerät, auf dem man die SMS empfängt, ist der weitere Gegenstand, den man besitzen muss. In der SMS findet man einen nur einmal verwendbaren Zahlencode, den man auf der Webseite zusätzlich eingibt und damit beweist, dass man das Gerät mit der hinterlegten Mobilfunknummer besitzt.

Alternativ gibt es Authentifizierungs-Apps, bei denen man eine geschützte Aktion freigeben muss. Diese beweisen Authentizität über Besitz (man muss das Gerät mit der App haben) und entweder ein Geheimnis (App-Passwort) oder Biometrie (Fingerabdruck-Scanner am Handy).

Ein weiteres Konzept sind Chipkartenleser, die am Benutzergerät angeschlossen werden und in die man eine identifizierende Chipkarte einlegen muss.

Risiken

Die Vorteile der Zwei-Faktor-Authentifizierung werden ausgehebelt, wenn man die Authentizätsbeweise nicht hinreichend voneinander trennt. Beispielsweise ist es sinnlos, auf einem Handy das Passwort für das Onlinebanking im Passwortmanager zu speichern und auf dem gleichen Handy die SMS für die TAN zu empfangen (oder die Authenticator-App laufen zu lassen). Wird das Handy gestohlen und geknackt, ist der 2FA-Schutz beseitigt.

Bei SMS-TAN ist auch Betrug möglich. Betrüger können eine SMS senden, die so wie die TAN-SMS der Bank aussieht. Locken sie den Anwender dann auf eine gefälschte Anmeldeseite, können sie den Login und die 2FA der Bankseite fernsteuern und dann Schaden anrichten. Banken wehren das ab, indem sie jede einzelne Transaktion mit einer SMS-TAN bestätigen lassen.

Zwei-Faktor-Authentifizierung für die eigene Homepage

Eine Möglichkeit des Authentizätitsbeweises ist der Besitz eines Tokengenerators. Dieser generiert auf Anforderung ein Einmalpasswort, das auf der Webseite einzugeben ist. Die Webseite validiert dieses Passwort und erlaubt dann den Zugriff.

Wie funktioniert das?

An der Erstellung dieses Einmalpassworts sind mehrere Internetstandards beteiligt. Zunächst wird in RFC 2104 das HMAC-Verfahren beschrieben (Hash-based Message Authentication Code), das

Zunächst einmal muss im Tokengenerator ein Sicherheitsschlüssel hinterlegt werden, der von der Webseite erzeugt wird. Dieser Schlüssel sollte möglichst lang sein. Der Tokengenerator verwendet diesen Sicherheitsschlüssel dazu, um eine nach bestimmten Regeln ermittelte Nummer zu hashen und daraus eine Ziffernfolge zu erzeugen. Diese Folge sollte mindestens 6 Stellen lang sein, bis zu 9 sind möglich.

Abgerufen von „http://wiki.selfhtml.org/index.php?title=Benutzer:Rolf_b/Zweifaktorauthentifizierung&oldid=95467