Multi-Faktor-Authentisierung

Die Multi-Faktor-Authentifizierung (MFA), auch Multifaktor-Authentisierung, ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen IT-Grundschutzkatalogen auch Empfehlungen zur Multi-Faktor-Authentisierung für Cloudanwendungen herausgegeben.[1]

Faktoren

Möglich s​ind mehrere Faktoren. Verbreitet s​ind zur Zeit

  • „knowledge“, also „Wissen“, etwas, das der Nutzer weiß (beispielsweise ein Passwort),
  • „ownership“, also „Besitz“, etwas, das nur der Nutzer besitzt (beispielsweise ein Mobiltelefon),
  • „inherence“, also „Inhärenz“, etwas, das der Nutzer ist (beispielsweise ein Fingerabdruck),[2]
  • „location“, also „Ort“, ein Ort, an dem sich der Nutzer befindet.[3]

Als Beispiel für mehrere Faktoren k​ann das Geld-Abheben a​n einem Geldautomaten betrachtet werden: Der Bankkunde m​uss seine Bankkarte besitzen („ownership“) s​owie seine PIN kennen („knowledge“)

Wissen

Wissen i​st der m​eist genutzte Faktor z​ur Authentisierung. Beispiele s​ind Passwörter, a​ber auch e​in Geburtsdatum u​nd andere Sicherheitsfragen.

Besitz

Authentisierung d​urch Besitz k​ann physisch d​urch SmartCards erfolgen o​der auch digital d​urch kryptographische Schlüssel.[4]

Inhärenz

Zu Inhärenz zählen insbesondere Biometrische Authentisierungsmethoden w​ie der Fingerabdruck, Gesichtserkennung, Sprecherauthentifizierung o​der Iris-Erkennung.[5]

Angriffe

Die häufige Authentisierung durch SMS kann über verschiedene Wege ausgehebelt werden. So können unter Android gefälschte Apps Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten.[6] Zudem können Angriffe direkt auf das im Mobilfunknetz verwendete Signalling System 7-Protokoll (SS7) abzielen: Angreifer können SMS, die zur Authentisierung bestimmt sind, auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusätzlichen Sicherheitsfaktor aushebeln.[7] Auf diese Weise wurden 2017 bei einem groß angelegten Angriff Kunden des Mobilfunkanbieters O2 durch unberechtigte Abbuchungen von ihren Bankkonten betrogen.[8]

Gesetzgebung

Europäische Union

Seit d​em 1. Januar 2021 s​ind europäische Kreditinstitute d​urch die Zahlungsdiensterichtlinie PSD2 d​azu verpflichtet, d​em Kunden e​ine „starke Kundenauthentifizierung“ anzubieten. Die bedeutet, d​ass Transaktionen d​urch zwei unabhängige Merkmale a​us den Kategorien Wissen, Besitz u​nd Inhärenz bestätigt werden müssen.[9]

Patente

Der Unternehmer und Internetaktivist Kim Dotcom behauptete 2013 öffentlichkeitswirksam, die Zwei-Faktor-Authentisierung erfunden und im Jahr 2000 zum Patent[10] angemeldet zu haben. Ebenso hielt er ein europäisches Patent. Die Europäische Union entzog ihm jedoch im Jahr 2011 das Patent, unter anderem, weil AT&T ebenfalls ein Patent auf die Technologie angemeldet hatte, jedoch bereits 1995. Dotcoms Patent in den USA hat zwar weiter Bestand, jedoch hält AT&T auch dort ein älteres Patent.[11]

Verwandte Artikel

Einzelnachweise
  1. M 4.441 Multifaktor-Authentisierung für den Cloud-Benutzerzugriff (Memento vom 12. September 2015 im Internet Archive), BSI, Stand: 14. EL Stand 2014
  2. Andrea Saracino: Emerging Technologies for Authorization and Authentication. Springer International Publishing, Luxembourg City 27 September 2019, ISBN 978-3-030-39749-4, S. 140.
  3. Sharma Seema: Location Based Authentication. Hrsg.: University of New Orleans. 2005 (uno.edu).
  4. Henk C.A. van Tilborg: Encyclopedia of Cryptography and Security. Hrsg.: Springer Science & Business Media. 2011, ISBN 978-1-4419-5905-8, S. 1305 (springer.com).
  5. Prof. Dr Norbert Pohlmann: Identifikation und Authentifikation. 2019, S. 87 (norbert-pohlmann.com [PDF]).
  6. Philipp Anz: Angriff auf SMS-basierte 2-Faktor-Authentifizierung. In: Inside IT. 17 June 2019. Abgerufen im 20 January 2021.
  7. Bernd Kling: 31C3: SS7-Protokolle ermöglichen Angriffe auf Mobiltelefone. In: ZDNet. ZDNet. 29 December 2014. Abgerufen im 20 January 2021.
  8. Anja Schmoll-Trautmann: Hacker räumen Bankkonten von O2-Kunden leer. In: ZDNet. ZDNet. 3 May 2017. Abgerufen im 20 January 2021.
  9. PSD2. In: Deutsche Bundesbank. Deutsche Bundesbank. Abgerufen im 20 January 2021.
  10. Patent US6078908: Method for authorizing in data transmission systems. Erfinder: Schmitz, Kim.
  11. Jon Brodkin: Kim Dotcom claims he invented two-factor authentication—but he wasn't first. In: Ars Technica. 23 May 2013. Archiviert vom Original am 9 July 2019. Abgerufen im 20 January 2021.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.