Multi-Faktor-Authentisierung

Die Multi-Faktor-Authentifizierung (MFA), auch Multifaktor-Authentisierung, ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen IT-Grundschutzkatalogen auch Empfehlungen zur Multi-Faktor-Authentisierung für Cloudanwendungen herausgegeben.[1]

Faktoren

Möglich sind mehrere Faktoren. Verbreitet sind zur Zeit

  • „knowledge“, also „Wissen“, etwas, das der Nutzer weiß (beispielsweise ein Passwort),
  • „ownership“, also „Besitz“, etwas, das nur der Nutzer besitzt (beispielsweise ein Mobiltelefon),
  • „inherence“, also „Inhärenz“, etwas, das der Nutzer ist (beispielsweise ein Fingerabdruck),[2]
  • „location“, also „Ort“, ein Ort, an dem sich der Nutzer befindet.[3]

Als Beispiel für mehrere Faktoren kann das Geld-Abheben an einem Geldautomaten betrachtet werden: Der Bankkunde muss seine Bankkarte besitzen („ownership“) sowie seine PIN kennen („knowledge“)

Wissen

Wissen ist der meist genutzte Faktor zur Authentisierung. Beispiele sind Passwörter, aber auch ein Geburtsdatum und andere Sicherheitsfragen.

Besitz

Authentisierung durch Besitz kann physisch durch SmartCards erfolgen oder auch digital durch kryptographische Schlüssel.[4]

Inhärenz

Zu Inhärenz zählen insbesondere Biometrische Authentisierungsmethoden wie der Fingerabdruck, Gesichtserkennung, Sprecherauthentifizierung oder Iris-Erkennung.[5]

Angriffe

Die häufige Authentisierung durch SMS kann über verschiedene Wege ausgehebelt werden. So können unter Android gefälschte Apps Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten.[6] Zudem können Angriffe direkt auf das im Mobilfunknetz verwendete Signalling System 7-Protokoll (SS7) abzielen: Angreifer können SMS, die zur Authentisierung bestimmt sind, auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusätzlichen Sicherheitsfaktor aushebeln.[7] Auf diese Weise wurden 2017 bei einem groß angelegten Angriff Kunden des Mobilfunkanbieters O2 durch unberechtigte Abbuchungen von ihren Bankkonten betrogen.[8]

Gesetzgebung

Europäische Union

Seit dem 1. Januar 2021 sind europäische Kreditinstitute durch die Zahlungsdiensterichtlinie PSD2 dazu verpflichtet, dem Kunden eine SKA (Starke Kundenauthentifizierung) anzubieten. Die bedeutet, dass Transaktionen durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden müssen.[9]

Patente

Der Unternehmer und Internetaktivist Kim Dotcom behauptete 2013 öffentlichkeitswirksam, die Zwei-Faktor-Authentisierung erfunden und im Jahr 2000 zum Patent[10] angemeldet zu haben. Ebenso hielt er ein europäisches Patent. Die Europäische Union entzog ihm jedoch im Jahr 2011 das Patent, unter anderem, weil AT&T ebenfalls ein Patent auf die Technologie angemeldet hatte, jedoch bereits 1995. Dotcoms Patent in den USA hat zwar weiter Bestand, jedoch hält AT&T auch dort ein älteres Patent.[11]

Verwandte Artikel

Einzelnachweise

  1. M 4.441 Multifaktor-Authentisierung für den Cloud-Benutzerzugriff (Memento vom 12. September 2015 im Internet Archive), BSI, Stand: 14. EL Stand 2014
  2. Andrea Saracino: Emerging Technologies for Authorization and Authentication. Springer International Publishing, Luxembourg City 27 September 2019, ISBN 978-3-030-39749-4, S. 140.
  3. Sharma Seema: Location Based Authentication. Hrsg.: University of New Orleans. 2005 (uno.edu).
  4. Henk C.A. van Tilborg: Encyclopedia of Cryptography and Security. Hrsg.: Springer Science & Business Media. 2011, ISBN 978-1-4419-5905-8, S. 1305 (springer.com).
  5. Prof. Dr Norbert Pohlmann: Identifikation und Authentifikation. 2019, S. 87 (norbert-pohlmann.com [PDF]).
  6. Philipp Anz: Angriff auf SMS-basierte 2-Faktor-Authentifizierung. In: Inside IT. 17 June 2019. Abgerufen im 20 January 2021.
  7. Bernd Kling: 31C3: SS7-Protokolle ermöglichen Angriffe auf Mobiltelefone. In: ZDNet. ZDNet. 29 December 2014. Abgerufen im 20 January 2021.
  8. Anja Schmoll-Trautmann: Hacker räumen Bankkonten von O2-Kunden leer. In: ZDNet. ZDNet. 3 May 2017. Abgerufen im 20 January 2021.
  9. PSD2. In: Deutsche Bundesbank. Deutsche Bundesbank. Abgerufen im 20 January 2021.
  10. Patent US6078908: Method for authorizing in data transmission systems. Erfinder: Schmitz, Kim.
  11. Jon Brodkin: Kim Dotcom claims he invented two-factor authentication—but he wasn't first. In: Ars Technica. 23 May 2013. Archiviert vom Original am 9 July 2019. Abgerufen im 20 January 2021.