Geschrieben am 19.09.2019 von:
Der nette Herr oben im Bild ist TOM. TOM erklärt die zentralen Begriffe und Maßnahmen aus Art. 32 DS-GVO und bringt damit Licht in den Maßnahmendschungel! Am heutigen „DatenDonnerstag“ geht es um Authentifizierung und Zwei-Faktor-Authentifizierung.
Benutzernamen und Kennwörter – jeder schlägt sich damit herum, sowohl privat als auch im Büro. Weil man sich die vielen Passwörter nicht merken kann, kommen Passwortmanager zum Einsatz (gut!) oder das gleiche Passwort wird überall verwendet (ganz, ganz schlecht!). Doch was passiert, wenn das noch so sichere Passwort doch irgendwie in falsche Hände gerät? Das kann schnell zum Problem werden.
Authentifizierung – einmal prüfen ist nicht genug
Bei der Authentifizierung geht es darum, dem System die eigene Zugriffsberechtigung zu beweisen. Damit stellt man jedoch noch lange nicht sicher, dass die Zugangsdaten auch nur von demjenigen benutzt werden, der sie benutzen darf. Das System fragt nur nach einer Kombination, die rein durch Wissen definiert ist – und so auch in fremden Händen zur Anmeldung akzeptiert wird.
Hier kommt die Zwei-Faktor-Authentifizierung (2FA) ins Spiel. Dabei muss noch auf einem anderen Weg nachgewiesen werden, dass die Berechtigung zur Anmeldung auch wirklich vorliegt. Diese anderen Wege können in vielen Varianten daherkommen. So melden Sie sich beim Online-Banking mit Ihrer PIN an, für die Transaktionen wird aber noch eine TAN abgefragt. Die wird Ihnen per App auf dem Smartphone erzeugt, per SMS geschickt oder durch ein separates Gerät generiert – in jedem Fall greift eine weitere Absicherung, falls der eigentliche Zugang kompromittiert ist.
FIDO2 – der Wachhund für Ihre Web-Zugänge
Anmeldungen auf Webseiten bieten viele Gelegenheiten, einem Angriff zum Opfer zu fallen – Phishing, Cross-Site-Scripting, mehrfach genutzte Passwörter oder einfach mal wieder ein groß angelegter Angriff auf einen Dienstleister, bei dem Millionen von Zugangsdaten abgeschöpft werden. Sind diese Daten nicht weiter gesichert, können die Angreifer beliebige Anmeldungen vornehmen. Webdienste achten auch nicht immer darauf, ob Logins verdächtig erscheinen, weil sie plötzlich statt aus Deutschland aus der Karibik stattfinden.
Die 2FA hilft hier, indem zusätzlich zum Login noch eine weitere Information abgefragt wird, die nur dem rechtmäßigen Anwender bekannt sein sollte. Das klappt etwa mit FIDO2 über Sicherheitsschlüssel (am USB-Anschluss, per Bluetooth oder NFC), einer App auf dem Smartphone oder über das Betriebssystem.
Wie geht’s denn vor sich?
Der Aufwand für die 2FA ist natürlich höher, ein verlorener und missbrauchter Zugang kann aber ungleich unangenehmer werden. Der sorglose Umgang mit Passwörtern ist selbstverständlich weiterhin zu vermeiden. Ein zweiter Faktor kann die Konsequenzen aber auf ein überschaubares Maß reduzieren.
Sollte wirklich einmal ein Passwort in falsche Hände geraten, können die Diebe sich damit wenigstens nicht anmelden – sie müssten einen Code aus der App vorweisen, einen Sicherheitsschlüssel in den USB-Anschluss stecken, ein Token besitzen oder sonstige Hürden überwinden. Der reine Passwortklau ist dann so nicht mehr wirkungsvoll.