Zwei-Faktor-Authentisierung: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Man-Pages“ durch „Man-Page“
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''topic''' - Kurzbeschreibung
== Beschreibung ==
== Beschreibung ==
== Installation ==
Die '''Zwei-Faktor-Authentisierung''' ('''2FA'''), häufig auch '''Zwei-Faktor-[[Authentifizierung]]''' genannt, bezeichnet den [[Identitätsnachweis]] eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren).
== Syntax ==
* Typische Beispiele sind [[Bankkarte]] und [[Persönliche Identifikationsnummer|PIN]] beim [[Geldautomat]]en, [[Fingerabdruckscanner|Fingerabdruck]] und Zugangscode [[Zutrittssteuerung|in Gebäuden]], oder [[Passwort|Passphrase]] und [[Transaktionsnummer]] (TAN) beim [[Online Banking|Online-Banking]].  
=== Optionen ===
* Die Zwei-Faktor-Authentisierung ist ein Spezialfall der [[Multi-Faktor-Authentisierung]].
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Anwendung ==
=== Fehlerbehebung ===
== Konfiguration ==
=== Dateien ===
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Authentisierung}}
==== Sicherheit ====
==== Dokumentation ====
===== RFC =====
===== Man-Pages =====
===== Info-Pages =====
==== Links ====
===== Einzelnachweise =====
<references />
===== Projekt =====
===== Weblinks =====
# https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
# https://www.test.de/Datenschutz-im-Netz-Doppelte-Sicherung-mit-Zwei-Faktor-Authentifizierung-5177936-0
# [https://2fa.directory/ Verzeichnis von Websites, die Zwei-Faktor-Authentisierung unterstützen]
<noinclude>


=== Testfragen ===
== Anwendung und Zweck ==
<div class="toccolours mw-collapsible mw-collapsed">
Insbesondere für sicherheitskritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen [[Bundesamt für Sicherheit in der Informationstechnik]] in seinen [[IT-Grundschutz-Kataloge]]n.
''Testfrage 1''
* BSI für Bürger und die Stiftung Warentest empfehlen Verbrauchern aber inzwischen, Zwei-Faktor-Authentisierung für möglichst viele webbasierte Dienste bzw. Online-Portale zu nutzen.
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


[[Kategorie:Authentifizierung]]
Grund ist, dass Verbraucher häufig ungeeignete oder zu schwache Passwörter wählen und ein und dasselbe Kennwort für mehrere Benutzungskonten bzw. Web-Dienste nutzen.
* Einmalpasswörter werden nach wenigen Sekunden oder Minuten ungültig&nbsp;– dies wehrt Angreifer ab, die Passwörter erspähen wollen, z.&nbsp;B.&nbsp;durch Mitlesen von Passwörtern bei der Eingabe oder durch einen [[Keylogger]].


= TMP =
Im Bankwesen wurde mit der EU-[[Zahlungsdiensterichtlinie]] die Zwei-Faktor-Authentisierung für den [[Europäischer Wirtschaftsraum|Europäischen Wirtschaftsraum]] 2018 verpflichtend eingeführt.
Die '''Zwei-Faktor-Authentisierung''' ('''2FA'''), häufig auch '''Zwei-Faktor-[[Authentifizierung]]''' genannt, bezeichnet den [[Identitätsnachweis]] eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind [[Bankkarte]] und [[Persönliche Identifikationsnummer|PIN]] beim [[Geldautomat]]en, [[Fingerabdruckscanner|Fingerabdruck]] und Zugangscode [[Zutrittssteuerung|in Gebäuden]], oder [[Passwort|Passphrase]] und [[Transaktionsnummer]] (TAN) beim [[Online Banking|Online-Banking]]. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der [[Multi-Faktor-Authentisierung]].


== Anwendung und Zweck ==
Auch Webplattformen wie Amazon oder Google und [[E-Mail-Anbieter|E-Mail-Provider]] wie [[mail.de]] (seit 2012), [[posteo]] (seit 2014) oder [[mailbox.org]] bieten den Anwendern an, ihr Benutzerkonto durch Zwei-Faktor-Authentisierung zu schützen.
Insbesondere für sicherheitskritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen [[Bundesamt für Sicherheit in der Informationstechnik]] in seinen [[IT-Grundschutz-Kataloge]]n.<ref>[https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/SYS/Umsetzungshinweise_zum_Baustein_SYS_2_1_Allgemeiner_Client.html#doc10095990bodyText5 SYS.2.1.M1 ''Benutzerauthentisierung''], BSI, IT-Grundschutz-Kompendium Edition 2020, abgerufen am 28. August 2020.</ref>
BSI für Bürger und die Stiftung Warentest empfehlen Verbrauchern aber inzwischen, Zwei-Faktor-Authentisierung für möglichst viele webbasierte Dienste bzw. Online-Portale zu nutzen.<ref>[https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/Zwei_Faktor_Authentisierung/Zwei_Faktor-Authentisierung.html Zwei-Faktor-Authentisierung für höhere Sicherheit]. BSI für Bürger, Bundesamt für Sicherheit in der Informationstechnik</ref><ref>[https://www.test.de/Online-Konten-schuetzen-mit-2FA-So-funktioniert-Zwei-Faktor-Authentifizierung-5177936-0/ Online-Konten schützen mit 2FA. So funktioniert Zwei-Faktor-Authentifizierung]. Test.de, Stiftung Warentest, 11. Dezember 2020</ref> Grund ist, dass Verbraucher häufig ungeeignete oder zu schwache Passwörter wählen und ein und dasselbe Kennwort für mehrere Benutzungskonten bzw. Web-Dienste nutzen.<ref>[https://searchsecurity.techtarget.com/definition/one-time-password-OTP one-time password (OTP)]. TechTarget Network</ref> Einmalpasswörter werden nach wenigen Sekunden oder Minuten ungültig&nbsp;– dies wehrt Angreifer ab, die Passwörter erspähen wollen, z.&nbsp;B. durch Mitlesen von Passwörtern bei der Eingabe oder durch einen [[Keylogger]].
 
Im Bankwesen wurde mit der EU-[[Zahlungsdiensterichtlinie]] die Zwei-Faktor-Authentisierung für den [[Europäischer Wirtschaftsraum|Europäischen Wirtschaftsraum]] 2018 verpflichtend eingeführt.<ref name='futurezone 20190709'>''[https://futurezone.at/produkte/zwei-faktor-authentifizierung-bei-online-banking-kommt/245.442.457 Zwei-Faktor-Authentifizierung bei Online-Banking kommt.]'' futurezone.at, 2. August 2017 (abgerufen am 8. Juli 2019).</ref> Auch Webplattformen wie Amazon<ref name='derstandard 20161205'>''[https://www.derstandard.at/story/2000048795432/mehr-sicherheit-amazon-fuehrt-zweifaktor-authentifizierung-ein Mehr Sicherheit: Amazon führt Zweifaktor-Authentifizierung ein.]'' In: ''Der Standard'' online, 5. Dezember 2016.</ref> oder Google<ref name='derstandard 20180122'>''[https://www.derstandard.at/story/2000072757014/zweiter-faktor-nur-wenige-user-sichern-ihren-google-account-zusaetzlich Zweiter Faktor: Nur wenige User sichern ihren Google-Account zusätzlich ab.]'' In: ''Der Standard'' online, 22. Januar 2018.</ref> und [[E-Mail-Anbieter|E-Mail-Provider]] wie [[mail.de]] (seit 2012), [[posteo]] (seit 2014) oder [[mailbox.org]] bieten den Anwendern an, ihr Benutzerkonto durch Zwei-Faktor-Authentisierung zu schützen.


== Komponenten ==
== Komponenten ==
Die Authentifizierung mit zwei Faktoren ist nur dann erfolgreich, wenn zwei festgelegte Authentisierungsmittel unterschiedlicher Kategorie (Besitz, Wissen, Eigenschaft) zusammen bei der Prüfung eingesetzt werden. Jedes Authentisierungsmittel muss dabei das Protokoll der Authentifizierung erfolgreich bestehen. Fehlt ein Faktor oder ein Faktor wird falsch verwendet, lässt sich die Authentizität nicht zweifelsfrei feststellen und der Zugang zum System wird verweigert.
Die Authentifizierung mit zwei Faktoren ist nur dann erfolgreich, wenn zwei festgelegte Authentisierungsmittel unterschiedlicher Kategorie (Besitz, Wissen, Eigenschaft) zusammen bei der Prüfung eingesetzt werden.  
* Jedes Authentisierungsmittel muss dabei das Protokoll der Authentifizierung erfolgreich bestehen.  
* Fehlt ein Faktor oder ein Faktor wird falsch verwendet, lässt sich die Authentizität nicht zweifelsfrei feststellen und der Zugang zum System wird verweigert.


Die Faktoren können sein:<ref>[https://www.test.de/Internetsicherheit-Yubikey-kleiner-Schluessel-fuer-grossen-Schutz-4807972-4807984/ Zwei-Faktor-Authentifikation: So funktioniert sie], [[test.de]], 28. Januar 2015, abgerufen am 20. Februar 2015</ref>
Die Faktoren können sein:
* ''geheimnishütender Gegenstand (Besitz)'', wie zum Beispiel ein [[Security-Token|Sicherheits-Token]], eine [[Bankkarte]], eine [[Mobile App|App]], die [[Einmalkennwort|Einmalkennwörter]] generiert (siehe unten), oder ein physischer [[Schlüssel]],
* ''geheimnishütender Gegenstand (Besitz)'', wie zum Beispiel ein [[Security-Token|Sicherheits-Token]], eine [[Bankkarte]], eine [[Mobile App|App]], die [[Einmalkennwort|Einmalkennwörter]] generiert (siehe unten), oder ein physischer [[Schlüssel]],
* ''geheimes Wissen'', wie zum Beispiel ein [[Passwort]], ein [[Einmalkennwort]], eine [[Persönliche Identifikationsnummer|PIN]] oder eine [[Transaktionsnummer]] (TAN),
* ''geheimes Wissen'', wie zum Beispiel ein [[Passwort]], ein [[Einmalkennwort]], eine [[Persönliche Identifikationsnummer|PIN]] oder eine [[Transaktionsnummer]] (TAN),
Zeile 71: Zeile 28:


== Mittelbare Zwei-Faktor-Authentisierung ==
== Mittelbare Zwei-Faktor-Authentisierung ==
[[Authentifizierung|Authentisierung]] über ein [[Security-Token|Sicherheits-Token]] als geheimnishütenden Gegenstand ist mit dem Nachteil behaftet, dass dieser ''jederzeit'' mitgeführt werden muss, sofern der Nutzer sich jederzeit anmelden können möchte. Wird der Gegenstand gestohlen, verloren oder hat der Nutzer ihn schlicht nicht dabei, sind Zugriffe unmöglich bzw. es entsteht ein hoher Aufwand. Zudem entstehen Kosten für die Erstanschaffung ebenso wie ggf. bei Ersatzbeschaffungen. Um diesen Risiken aus dem Weg zu gehen, ist die sogenannte ''mittelbare Zwei-Faktor-Authentisierung'' als Alternative entwickelt worden.<ref>[https://www.datenschutzticker.de/2020/04/zwei-faktor-authentifizierung/ datenschutzticker.de], 29. April 2020 (KINAST Rechtsanwälte)</ref><ref>[https://www.virtual-solution.com/glossar/zwei-faktor-authentifizierung/ Zwei-Faktor-Authentifizierung] (Virtual Solution AG)</ref> Sie nutzt Mobilgeräte wie [[Mobiltelefon]]e und [[Smartphone]]s als geheimnishütenden Gegenstand, also „etwas, was der Nutzer besitzt“ (aber auch verlieren kann). Da das Mobilgerät bei vielen Menschen heutzutage ein ständiger Begleiter ist, muss kein zusätzlicher Token angeschafft und beschützt werden.
[[Authentifizierung|Authentisierung]] über ein [[Security-Token|Sicherheits-Token]] als geheimnishütenden Gegenstand ist mit dem Nachteil behaftet, dass dieser ''jederzeit'' mitgeführt werden muss, sofern der Nutzer sich jederzeit anmelden können möchte.  
* Wird der Gegenstand gestohlen, verloren oder hat der Nutzer ihn schlicht nicht dabei, sind Zugriffe unmöglich bzw. es entsteht ein hoher Aufwand.  
* Zudem entstehen Kosten für die Erstanschaffung ebenso wie ggf. bei Ersatzbeschaffungen.  
* Um diesen Risiken aus dem Weg zu gehen, ist die sogenannte ''mittelbare Zwei-Faktor-Authentisierung'' als Alternative entwickelt worden.  
* Sie nutzt Mobilgeräte wie [[Mobiltelefon]]e und [[Smartphone]]s als geheimnishütenden Gegenstand, also „etwas, was der Nutzer besitzt“ (aber auch verlieren kann).  
* Da das Mobilgerät bei vielen Menschen heutzutage ein ständiger Begleiter ist, muss kein zusätzlicher Token angeschafft und beschützt werden.


Möchte sich der Anwender authentisieren, muss er meist eine [[Passphrase]] und ein einmalig gültiges, dynamisch erzeugtes [[Einmalkennwort]] eingeben. Diesen Code erhält er per [[Short Message Service|SMS]] oder [[E-Mail]] auf sein Mobilgerät gesendet, oder (besser) die entsprechende [[Anwendungssoftware|App]] zur Zwei-Faktor-Authentisierung generiert das Einmalkennwort auf dem Mobilgerät.
Möchte sich der Anwender authentisieren, muss er meist eine [[Passphrase]] und ein einmalig gültiges, dynamisch erzeugtes [[Einmalkennwort]] eingeben.  
* Diesen Code erhält er per [[Short Message Service|SMS]] oder [[E-Mail]] auf sein Mobilgerät gesendet, oder (besser) die entsprechende [[Anwendungssoftware|App]] zur Zwei-Faktor-Authentisierung generiert das Einmalkennwort auf dem Mobilgerät.


Hat der Nutzer eine Ziffernfolge verwendet, wird diese automatisch gelöscht, und das System sendet einen neuen Code an das Mobilgerät. Wird der neue Code nicht innerhalb einer festgelegten Frist eingegeben, ersetzt ihn das System automatisch. Auf diese Weise verbleiben keine alten, schon verwendeten Codes auf der mobilen Komponente. Für noch gesteigerte Sicherheit lässt sich festlegen, wie viele Falscheingaben toleriert werden, bevor das System den Zugang sperrt.
Hat der Nutzer eine Ziffernfolge verwendet, wird diese automatisch gelöscht, und das System sendet einen neuen Code an das Mobilgerät.  
* Wird der neue Code nicht innerhalb einer festgelegten Frist eingegeben, ersetzt ihn das System automatisch.  
* Auf diese Weise verbleiben keine alten, schon verwendeten Codes auf der mobilen Komponente.  
* Für noch gesteigerte Sicherheit lässt sich festlegen, wie viele Falscheingaben toleriert werden, bevor das System den Zugang sperrt.


Wenn der sich authentisierende Benutzer keine manuelle Dateneingabe mehr zu erledigen braucht, gilt der Prozess als ''halbautomatisiert''. Das ist mit der [[Near Field Communication|NFC]]-Methode erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.
Wenn der sich authentisierende Benutzer keine manuelle Dateneingabe mehr zu erledigen braucht, gilt der Prozess als ''halbautomatisiert''.  
* Das ist mit der [[Near Field Communication|NFC]]-Methode erreicht.  
* Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.


Erst dann, wenn der sich authentisierende Benutzer keinerlei Handhabung mehr zu erledigen braucht, gilt der Prozess als ''vollautomatisiert''. Das ist mit dem Verwenden von [[Piconet]]zen ([[Bluetooth]]) als internationaler Industrie-Standard erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.<ref>{{Internetquelle |autor=Michel Smidt |url=https://www.univention.de/blog/2017/04/kurz-erklaert-zwei-faktor-authentifizierung/ |titel=Kurz erklärt: Sichere Logins mit Zwei-Faktor-Authentifizierung |werk=Univention Blog |hrsg=univention |datum=2017-04-27 |zugriff=2018-08-14 |sprache=de}}</ref>
Erst dann, wenn der sich authentisierende Benutzer keinerlei Handhabung mehr zu erledigen braucht, gilt der Prozess als ''vollautomatisiert''.  
* Das ist mit dem Verwenden von [[Piconet]]zen ([[Bluetooth]]) als internationaler Industrie-Standard erreicht.  
* Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.


== Apps zur Zwei-Faktor-Authentisierung mittels zeitbasierten Einmalkennwörtern (TOTP) ==
== Apps zur Zwei-Faktor-Authentisierung mittels zeitbasierten Einmalkennwörtern (TOTP) ==
Anwender installieren auf dem mobilen Endgerät, das zur Zwei-Faktor-Authentisierung gegenüber einem oder mehreren webbasierten Diensten dient, eine App. Sodann kann ein webbasierter Dienst durch Zwei-Faktor-Authentisierung geschützt werden, indem man die App beim Dienst als zweiten Faktor registriert. Dazu tauschen der Sicherheits-Server des Dienstes und das Endgerät eine Zeichenfolge als ''Geheimnis'' oder ''Token'' aus&nbsp;– z.&nbsp;B. indem man mit dem Mobilgerät einen QR-Code scannt oder eine entsprechende, vom Sicherheits-Server angezeigte Zeichenfolge händisch eintippt. Nach diesem ersten Schritt ist das ''Geheimnis'' im Idealfall nur dem Sicherheits-Server und dem persönlichen Gerät des Nutzers bekannt und sollte diesen Speicher nie verlassen. Nach einem Funktionstest schaltet der Web-Dienst die Zwei-Faktor-Authentisierung für das Benutzerkonto aktiv.
Anwender installieren auf dem mobilen Endgerät, das zur Zwei-Faktor-Authentisierung gegenüber einem oder mehreren webbasierten Diensten dient, eine App.  
* Sodann kann ein webbasierter Dienst durch Zwei-Faktor-Authentisierung geschützt werden, indem man die App beim Dienst als zweiten Faktor registriert.  
* Dazu tauschen der Sicherheits-Server des Dienstes und das Endgerät eine Zeichenfolge als ''Geheimnis'' oder ''Token'' aus&nbsp;– z.&nbsp;B.&nbsp;indem man mit dem Mobilgerät einen QR-Code scannt oder eine entsprechende, vom Sicherheits-Server angezeigte Zeichenfolge händisch eintippt.  
* Nach diesem ersten Schritt ist das ''Geheimnis'' im Idealfall nur dem Sicherheits-Server und dem persönlichen Gerät des Nutzers bekannt und sollte diesen Speicher nie verlassen.  
* Nach einem Funktionstest schaltet der Web-Dienst die Zwei-Faktor-Authentisierung für das Benutzerkonto aktiv.


Will der Benutzer den webbasierten Dienst nun nutzen, wird er&nbsp;– nach Eingabe seines Benutzernamens und Passworts&nbsp;– aufgefordert, ein von der App generiertes [[Einmalpasswort]] als zweiten Faktor zur Authentisierung einzugeben. Die App berechnet das Einmalpasswort aus der aktuellen Uhrzeit und dem ''Geheimnis''. Daher müssen die Uhren von Client und Server ungefähr [[Synchronität|synchron]] sein. In der Regel funktioniert der Vorgang auch im Flugmodus. In der Praxis kann der Server so programmiert werden, auch den Vorgänger- und Nachfolger-Code zu akzeptieren, um Zeitabweichungen von bis zu einer Minute abzudecken.  
Will der Benutzer den webbasierten Dienst nun nutzen, wird er&nbsp;– nach Eingabe seines Benutzernamens und Passworts&nbsp;– aufgefordert, ein von der App generiertes [[Einmalpasswort]] als zweiten Faktor zur Authentisierung einzugeben.  
* Die App berechnet das Einmalpasswort aus der aktuellen Uhrzeit und dem ''Geheimnis''.  
* Daher müssen die Uhren von Client und Server ungefähr [[Synchronität|synchron]] sein.  
* In der Regel funktioniert der Vorgang auch im Flugmodus.  
* In der Praxis kann der Server so programmiert werden, auch den Vorgänger- und Nachfolger-Code zu akzeptieren, um Zeitabweichungen von bis zu einer Minute abzudecken.
Das zum Erzeugen des Einmalpassworts notwendige Geheimnis wird nicht übertragen und kann deswegen nicht abgehört werden.
Das zum Erzeugen des Einmalpassworts notwendige Geheimnis wird nicht übertragen und kann deswegen nicht abgehört werden.


Es gibt mehrere Apps zur Zwei-Faktor-Authentikation via TOTP. Einige unterstützten viele Plattformen, da sie die offenen Standards [[HMAC-based One-time Password Algorithmus|HOTP]] (RFC 4226) und [[Time-based One-time Password Algorithmus|TOTP]] (RFC 6238) umsetzen. Damit sind sie gegenüber jedem Webdienst einsetzbar, dessen Sicherheits-Server jene Standards implementiert.
Es gibt mehrere Apps zur Zwei-Faktor-Authentikation via TOTP.  
* Einige unterstützten viele Plattformen, da sie die offenen Standards [[HMAC-based One-time Password Algorithmus|HOTP]] (RFC 4226) und [[Time-based One-time Password Algorithmus|TOTP]] (RFC 6238) umsetzen.  
* Damit sind sie gegenüber jedem Webdienst einsetzbar, dessen Sicherheits-Server jene Standards implementiert.


{| class="wikitable"
{| class="wikitable"
Zeile 93: Zeile 73:
! App !! unterstützte Plattformen !! Import/Export-Funktion? !! Anmerkungen
! App !! unterstützte Plattformen !! Import/Export-Funktion? !! Anmerkungen
|-
|-
| [[Google Authenticator]] || Android, iOS, Blackberry OS || ja<ref>Stand Januar 2021, in der Version vom 12. Mai 2020</ref> || Login in Google-Konten per Push-Notifikation. Für Android entwickelt, war die App ursprünglich bis Version 2.21 [[Open Source]], später wurde sie proprietär.
| [[Google Authenticator]] || Android, iOS, Blackberry OS || ja || Login in Google-Konten per Push-Notifikation.  
* Für Android entwickelt, war die App ursprünglich bis Version 2.21 [[Open Source]], später wurde sie proprietär.
|-
|-
|andOTP || Android || ja<ref>{{Internetquelle |url=https://github.com/andOTP/andOTP/wiki/Backup-format |titel=Backup-format |abruf=2021-01-02 |werk=andOTP wiki |sprache=en}}</ref><ref>{{Internetquelle |url=https://github.com/andOTP/andOTP/wiki/Migration |titel=Migration |abruf=2021-01-02 |werk=andOTP wiki |sprache=en}}</ref> || Open Source – seit 14. Juni 2022 nicht mehr weiterentwickelt.<ref>{{Internetquelle |url=https://forum.xda-developers.com/t/unmaintained-app-4-4-open-source-andotp-open-source-two-factor-authentication-for-android.3636993/post-87021655 |titel=&#91;Unmaintained&#93;&#91;App&#93;&#91;4.4+&#93;&#91;Open source&#93; andOTP - Open source two-factor authentication for Android |werk=XDA Forums |datum=2022-06-14 |sprache=en |abruf=2023-02-24}}</ref>
|andOTP || Android || ja
|-
|-
| FreeOTP Authenticator || Android (zuletzt aktualisiert am 25. Januar 2016) und iOS || keine<ref>Stand Januar 2021, in der Version vom 25. Januar 2016</ref> || Die Open-Source-Software wurde basierend auf der Version des Google Authenticators, die über das GitHub Verzeichnis verfügbar war, entwickelt.<ref>Willis, Nathan: [https://lwn.net/Articles/581086 FreeOTP multi-factor authentication]. LWN.net, 22 January 2014</ref><ref>[https://github.com/freeotp/freeotp-android/ FreeOTP], github.com</ref> FreeOTP wird von [[Red Hat]] zur Verfügung gestellt.
| FreeOTP Authenticator || Android (zuletzt aktualisiert am 25. Januar 2016) und iOS || keine || Die Open-Source-Software wurde basierend auf der Version des Google Authenticators, die über das GitHub Verzeichnis verfügbar war, entwickelt.  
* FreeOTP wird von [[Red Hat]] zur Verfügung gestellt.
|-
|-
| FreeOTP+ || Android || ja || Die Open-Source-Software FreeOTP+ ist ein Fork von FreeOTP, welcher Erweiterungen integriert.<ref>{{Internetquelle |url=https://f-droid.org/ |titel=FreeOTP+ {{!}} F-Droid - Free and Open Source Android App Repository |sprache=de |abruf=2022-08-04}}</ref>
| FreeOTP+ || Android || ja || Die Open-Source-Software FreeOTP+ ist ein Fork von FreeOTP, welcher Erweiterungen integriert.
|-
|-
|Aegis Authenticator
|Aegis Authenticator
|Android
|Android
|ja
|ja
|Quelloffene App mit Importmöglichkeit von anderen Apps.<ref>{{Internetquelle |url=https://f-droid.org/en/packages/com.beemdevelopment.aegis/ |titel=Aegis Authenticator {{!}} F-Droid - Free and Open Source Android App Repository |sprache=en |abruf=2021-10-08}}</ref>
|Quelloffene App mit Importmöglichkeit von anderen Apps.
|-
|-
| [[Authy]] (Twilio) || Android, BlackBerry OS, iOS, Windows, Mac OS und Linux || ja || Die Geheimnisse / Token werden (verschlüsselt) in der Cloud gespeichert, dadurch auf mehreren Geräten parallel verwendbar.
| [[Authy]] (Twilio) || Android, BlackBerry OS, iOS, Windows, Mac OS und Linux || ja || Die Geheimnisse / Token werden (verschlüsselt) in der Cloud gespeichert, dadurch auf mehreren Geräten parallel verwendbar.
|-
|-
| Microsoft Authenticator || Android und iOS<ref>[https://praxistipps.chip.de/microsoft-authenticator-so-funktioniert-die-app_112103 Microsoft Authenticator: So funktioniert die App]. Von Nicole Hery-Moßmann, Chip.de, 29. Juni 2019</ref> || ja<ref>[https://docs.microsoft.com/en-us/azure/active-directory/user-help/user-help-auth-app-backup-recovery Back up and recover account credentials using the Microsoft Authenticator app]. Microsoft Docs, 3. Juni 2020</ref> || Login in das [[Microsoft-Konto]] per Push-Notifikation
| Microsoft Authenticator || Android und iOS || ja || Login in das [[Microsoft-Konto]] per Push-Notifikation
|-
|-
|[[PrivacyIDEA]]
|[[PrivacyIDEA]]
|Android und iOS
|Android und iOS
|nein
|nein
|Open Source OTP Server. Login über einen OIDC Server (z.&nbsp;B.: [[Keycloak]] etc.) per Push-Notifikation, TOTP etc.
|Open Source OTP Server.  
* Login über einen OIDC Server (z.&nbsp;B.: [[Keycloak]] etc.) per Push-Notifikation, TOTP etc.
|}
|}


Zeile 119: Zeile 102:


== Universelle Zwei-Faktor-Authentisierung ==
== Universelle Zwei-Faktor-Authentisierung ==
Die [[FIDO-Allianz]] veröffentlichte am 9.&nbsp;Dezember 2014 die erste Version des universellen und lizenzfreien Standards [[U2F]] für die Zwei-Faktor-Authentisierung, die verschiedene Verfahren und Geräte unterstützt.<ref>[https://fidoalliance.org/news/item/fido-1.0-specifications-published-and-final FIDO 1.0 Specifications are Published and Final Preparing for Broad Industry Adoption of Strong Authentication in 2015], FIDO-Allianz, abgerufen am 12. Dezember 2014</ref> Im Februar 2015 kündigte [[Microsoft]] an, dass der Standard 2.0 der FIDO-Allianz für die [[Authentifikation]] im Internet vom Betriebssystem [[Windows 10]] unterstützt wird.<ref>Dustin Ingalls: {{Webarchiv|url=http://blogs.windows.com/business/2015/02/13/microsoft-announces-fido-support-coming-to-windows-10/ |wayback=20150215215720 |text=Microsoft Announces FIDO Support Coming to Windows 10}}, windows.com, abgerufen am 15. Februar 2015</ref>
Die [[FIDO-Allianz]] veröffentlichte am 9.&nbsp;Dezember 2014 die erste Version des universellen und lizenzfreien Standards [[U2F]] für die Zwei-Faktor-Authentisierung, die verschiedene Verfahren und Geräte unterstützt.Im Februar 2015 kündigte [[Microsoft]] an, dass der Standard 2.0 der FIDO-Allianz für die [[Authentifikation]] im Internet vom Betriebssystem [[Windows 10]] unterstützt wird.


== Sicherheitsaspekte ==
== Sicherheitsaspekte ==
Sicherheitsexperten warnen, dass SMS-[[Spoofing]] und [[Man-in-the-Middle-Angriff]]e, bei denen Angreifer eine gefälschte Login-Seite präsentieren, missbrauchen können, um die Zwei-Faktor-Authentisierung, die auf Einmalkennwörtern beruht, zu umgehen.<ref>[https://searchsecurity.techtarget.com/definition/one-time-password-OTP one-time password (OTP)]. TechTarget Network</ref> [[U2F|FIDO U2F]] bietet hier zusätzlichen Schutz.
Sicherheitsexperten warnen, dass SMS-[[Spoofing]] und [[Man-in-the-Middle-Angriff]]e, bei denen Angreifer eine gefälschte Login-Seite präsentieren, missbrauchen können, um die Zwei-Faktor-Authentisierung, die auf Einmalkennwörtern beruht, zu umgehen. [[U2F|FIDO U2F]] bietet hier zusätzlichen Schutz.


Beide Faktoren sollten zwei getrennte Übertragungskanäle nutzen.<ref name='onlinesicherheit.gv'>''[https://www.onlinesicherheit.gv.at/praevention/konten_und_passwoerter/mehrfaktor-authentifizierung/249584.html Mehrfaktor-Authentifizierung.]'' A-SIT Zentrum für sichere Informationstechnologie, auf onlinesicherheit.gv.at; abgerufen am 8. Juli 2018.</ref> Der Forderung, sie nicht am gleichen Ort zu speichern, wird oft nicht nachgekommen. So nutzen viele Banken die E-Banking-App und die App zur Zwei-Faktor-Authentisierung per Einmalkennwort im selben Endgerät, sodass bei dessen Verlust nur noch ein etwaiger PIN-Code auf der 2FA-App die Anwendung schützt. Selbst wenn man die App zur Zwei-Faktor-Authentifizierung mittels TOTP auf demselben Gerät installierte, auf dem man den 2FA-gesicherten IT-Dienst nutzt, erhöht dies die Sicherheit gegenüber der Authentisierung lediglich mittels Anmeldename und Passwort&nbsp;– der sich aus der Einmaligkeit des Einmalpassworts ergibt. Die Nutzung der Authentisierungs-App über ein zweites Gerät bietet jedoch zusätzlich die Sicherheit des zweiten Faktors.
Beide Faktoren sollten zwei getrennte Übertragungskanäle nutzen.  
* Der Forderung, sie nicht am gleichen Ort zu speichern, wird oft nicht nachgekommen.  
* So nutzen viele Banken die E-Banking-App und die App zur Zwei-Faktor-Authentisierung per Einmalkennwort im selben Endgerät, sodass bei dessen Verlust nur noch ein etwaiger PIN-Code auf der 2FA-App die Anwendung schützt.  
* Selbst wenn man die App zur Zwei-Faktor-Authentifizierung mittels TOTP auf demselben Gerät installierte, auf dem man den 2FA-gesicherten IT-Dienst nutzt, erhöht dies die Sicherheit gegenüber der Authentisierung lediglich mittels Anmeldename und Passwort&nbsp;– der sich aus der Einmaligkeit des Einmalpassworts ergibt.  
* Die Nutzung der Authentisierungs-App über ein zweites Gerät bietet jedoch zusätzlich die Sicherheit des zweiten Faktors.


Außerdem erlauben die meisten Anbieter, bestimmte Rechner als vertrauenswürdige Clients zu definieren, von denen aus die Anmeldung ohne Einmalpasswort erfolgen darf. Kann ein Angreifer sich Zugang zu einem solchen Rechner verschaffen, besteht kein zusätzlicher Schutz.
Außerdem erlauben die meisten Anbieter, bestimmte Rechner als vertrauenswürdige Clients zu definieren, von denen aus die Anmeldung ohne Einmalpasswort erfolgen darf.  
* Kann ein Angreifer sich Zugang zu einem solchen Rechner verschaffen, besteht kein zusätzlicher Schutz.


== Kritik ==
== Kritik ==
Nachdem insbesondere durch gesetzliche Regulierungen die Zwei-Faktor-Authentisierung Verbreitung gefunden hatte, zeigte sich, dass dies als kriminelles Geschäftsmodell missbraucht wurde. So zahlte das Unternehmen Twitter Inc. einige Jahre mehr als 60 Millionen US-Dollar alljährlich an rund 390 Telekommunikationsunternehmen, bei denen mehr als 10 % der angeforderten Kostenerstattungen für den SMS-Versand durch Anmeldungen betrügererischer Anmelde-Prozesse entstanden.<ref>''[https://www.heise.de/news/Twitter-Zwei-Faktor-Authentifizierung-per-SMS-kuenftig-nur-noch-fuer-Abonnenten-7520471.html Twitter: Zwei-Faktor-Authentifizierung per SMS künftig nur noch für Abonnenten]'' Heise.de; abgerufen am 19. Februar 2023</ref>
Nachdem insbesondere durch gesetzliche Regulierungen die Zwei-Faktor-Authentisierung Verbreitung gefunden hatte, zeigte sich, dass dies als kriminelles Geschäftsmodell missbraucht wurde.  
Diese Telekommunikationsunternehmen richteten millionenfach kostenlose Zugänge zwecks Anmeldemissbrauch ein. Darin waren Unternehmen aus Nordamerika noch nicht inbegriffen. Diese 60 Millionen US-Dollar bildeten einen Hauptanteil an den 210 Millionen US-Dollar Verlust der Twitter Inc. im Jahre 2021.<ref>''[https://commsrisk.com/elon-musk-says-twitter-lost-60mn-a-year-because-390-telcos-used-bot-accounts-to-pump-a2p-sms Elon Musk sagt, Twitter verlor 60 Millionen Dollar pro Jahr, weil 390 Telekommunikationsunternehmen Bot-Konten missbrauchten, um A2P-SMS hochzupumpen.]'' Commsrisk.com abgerufen am 19. Februar 2023.</ref>
* So zahlte das Unternehmen Twitter Inc. einige Jahre mehr als 60 Millionen US-Dollar alljährlich an rund 390 Telekommunikationsunternehmen, bei denen mehr als 10 % der angeforderten Kostenerstattungen für den SMS-Versand durch Anmeldungen betrügererischer Anmelde-Prozesse entstanden.
Diese Telekommunikationsunternehmen richteten millionenfach kostenlose Zugänge zwecks Anmeldemissbrauch ein.  
* Darin waren Unternehmen aus Nordamerika noch nicht inbegriffen.  
* Diese 60 Millionen US-Dollar bildeten einen Hauptanteil an den 210 Millionen US-Dollar Verlust der Twitter Inc. im Jahre 2021.
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Authentisierung}}
 
==== Sicherheit ====
==== Dokumentation ====
===== RFC =====
===== Man-Page =====
===== Info-Pages =====
==== Links ====
===== Einzelnachweise =====
<references />
===== Projekt =====
 
===== Weblinks =====
# https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
# https://www.test.de/Datenschutz-im-Netz-Doppelte-Sicherung-mit-Zwei-Faktor-Authentifizierung-5177936-0
# [https://2fa.directory/ Verzeichnis von Websites, die Zwei-Faktor-Authentisierung unterstützen]
 
<noinclude>
=== Testfragen ===
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
[[Kategorie:Authentifizierung]]
[[Kategorie:Autorisierung]]


{{SORTIERUNG:ZweiFaktorAuthentifizierung}}
{{SORTIERUNG:ZweiFaktorAuthentifizierung}}
</noinclude>
</noinclude>

Aktuelle Version vom 6. November 2024, 12:47 Uhr

topic - Kurzbeschreibung

Beschreibung

Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren).

Anwendung und Zweck

Insbesondere für sicherheitskritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen Bundesamt für Sicherheit in der Informationstechnik in seinen IT-Grundschutz-Katalogen.

  • BSI für Bürger und die Stiftung Warentest empfehlen Verbrauchern aber inzwischen, Zwei-Faktor-Authentisierung für möglichst viele webbasierte Dienste bzw. Online-Portale zu nutzen.

Grund ist, dass Verbraucher häufig ungeeignete oder zu schwache Passwörter wählen und ein und dasselbe Kennwort für mehrere Benutzungskonten bzw. Web-Dienste nutzen.

  • Einmalpasswörter werden nach wenigen Sekunden oder Minuten ungültig – dies wehrt Angreifer ab, die Passwörter erspähen wollen, z. B. durch Mitlesen von Passwörtern bei der Eingabe oder durch einen Keylogger.

Im Bankwesen wurde mit der EU-Zahlungsdiensterichtlinie die Zwei-Faktor-Authentisierung für den Europäischen Wirtschaftsraum 2018 verpflichtend eingeführt.

Auch Webplattformen wie Amazon oder Google und E-Mail-Provider wie mail.de (seit 2012), posteo (seit 2014) oder mailbox.org bieten den Anwendern an, ihr Benutzerkonto durch Zwei-Faktor-Authentisierung zu schützen.

Komponenten

Die Authentifizierung mit zwei Faktoren ist nur dann erfolgreich, wenn zwei festgelegte Authentisierungsmittel unterschiedlicher Kategorie (Besitz, Wissen, Eigenschaft) zusammen bei der Prüfung eingesetzt werden.

  • Jedes Authentisierungsmittel muss dabei das Protokoll der Authentifizierung erfolgreich bestehen.
  • Fehlt ein Faktor oder ein Faktor wird falsch verwendet, lässt sich die Authentizität nicht zweifelsfrei feststellen und der Zugang zum System wird verweigert.

Die Faktoren können sein:

Mittelbare Zwei-Faktor-Authentisierung

Authentisierung über ein Sicherheits-Token als geheimnishütenden Gegenstand ist mit dem Nachteil behaftet, dass dieser jederzeit mitgeführt werden muss, sofern der Nutzer sich jederzeit anmelden können möchte.

  • Wird der Gegenstand gestohlen, verloren oder hat der Nutzer ihn schlicht nicht dabei, sind Zugriffe unmöglich bzw. es entsteht ein hoher Aufwand.
  • Zudem entstehen Kosten für die Erstanschaffung ebenso wie ggf. bei Ersatzbeschaffungen.
  • Um diesen Risiken aus dem Weg zu gehen, ist die sogenannte mittelbare Zwei-Faktor-Authentisierung als Alternative entwickelt worden.
  • Sie nutzt Mobilgeräte wie Mobiltelefone und Smartphones als geheimnishütenden Gegenstand, also „etwas, was der Nutzer besitzt“ (aber auch verlieren kann).
  • Da das Mobilgerät bei vielen Menschen heutzutage ein ständiger Begleiter ist, muss kein zusätzlicher Token angeschafft und beschützt werden.

Möchte sich der Anwender authentisieren, muss er meist eine Passphrase und ein einmalig gültiges, dynamisch erzeugtes Einmalkennwort eingeben.

  • Diesen Code erhält er per SMS oder E-Mail auf sein Mobilgerät gesendet, oder (besser) die entsprechende App zur Zwei-Faktor-Authentisierung generiert das Einmalkennwort auf dem Mobilgerät.

Hat der Nutzer eine Ziffernfolge verwendet, wird diese automatisch gelöscht, und das System sendet einen neuen Code an das Mobilgerät.

  • Wird der neue Code nicht innerhalb einer festgelegten Frist eingegeben, ersetzt ihn das System automatisch.
  • Auf diese Weise verbleiben keine alten, schon verwendeten Codes auf der mobilen Komponente.
  • Für noch gesteigerte Sicherheit lässt sich festlegen, wie viele Falscheingaben toleriert werden, bevor das System den Zugang sperrt.

Wenn der sich authentisierende Benutzer keine manuelle Dateneingabe mehr zu erledigen braucht, gilt der Prozess als halbautomatisiert.

  • Das ist mit der NFC-Methode erreicht.
  • Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Erst dann, wenn der sich authentisierende Benutzer keinerlei Handhabung mehr zu erledigen braucht, gilt der Prozess als vollautomatisiert.

  • Das ist mit dem Verwenden von Piconetzen (Bluetooth) als internationaler Industrie-Standard erreicht.
  • Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Apps zur Zwei-Faktor-Authentisierung mittels zeitbasierten Einmalkennwörtern (TOTP)

Anwender installieren auf dem mobilen Endgerät, das zur Zwei-Faktor-Authentisierung gegenüber einem oder mehreren webbasierten Diensten dient, eine App.

  • Sodann kann ein webbasierter Dienst durch Zwei-Faktor-Authentisierung geschützt werden, indem man die App beim Dienst als zweiten Faktor registriert.
  • Dazu tauschen der Sicherheits-Server des Dienstes und das Endgerät eine Zeichenfolge als Geheimnis oder Token aus – z. B. indem man mit dem Mobilgerät einen QR-Code scannt oder eine entsprechende, vom Sicherheits-Server angezeigte Zeichenfolge händisch eintippt.
  • Nach diesem ersten Schritt ist das Geheimnis im Idealfall nur dem Sicherheits-Server und dem persönlichen Gerät des Nutzers bekannt und sollte diesen Speicher nie verlassen.
  • Nach einem Funktionstest schaltet der Web-Dienst die Zwei-Faktor-Authentisierung für das Benutzerkonto aktiv.

Will der Benutzer den webbasierten Dienst nun nutzen, wird er – nach Eingabe seines Benutzernamens und Passworts – aufgefordert, ein von der App generiertes Einmalpasswort als zweiten Faktor zur Authentisierung einzugeben.

  • Die App berechnet das Einmalpasswort aus der aktuellen Uhrzeit und dem Geheimnis.
  • Daher müssen die Uhren von Client und Server ungefähr synchron sein.
  • In der Regel funktioniert der Vorgang auch im Flugmodus.
  • In der Praxis kann der Server so programmiert werden, auch den Vorgänger- und Nachfolger-Code zu akzeptieren, um Zeitabweichungen von bis zu einer Minute abzudecken.

Das zum Erzeugen des Einmalpassworts notwendige Geheimnis wird nicht übertragen und kann deswegen nicht abgehört werden.

Es gibt mehrere Apps zur Zwei-Faktor-Authentikation via TOTP.

  • Einige unterstützten viele Plattformen, da sie die offenen Standards HOTP (RFC 4226) und TOTP (RFC 6238) umsetzen.
  • Damit sind sie gegenüber jedem Webdienst einsetzbar, dessen Sicherheits-Server jene Standards implementiert.
App unterstützte Plattformen Import/Export-Funktion? Anmerkungen
Google Authenticator Android, iOS, Blackberry OS ja Login in Google-Konten per Push-Notifikation.
  • Für Android entwickelt, war die App ursprünglich bis Version 2.21 Open Source, später wurde sie proprietär.
andOTP Android ja
FreeOTP Authenticator Android (zuletzt aktualisiert am 25. Januar 2016) und iOS keine Die Open-Source-Software wurde basierend auf der Version des Google Authenticators, die über das GitHub Verzeichnis verfügbar war, entwickelt.
  • FreeOTP wird von Red Hat zur Verfügung gestellt.
FreeOTP+ Android ja Die Open-Source-Software FreeOTP+ ist ein Fork von FreeOTP, welcher Erweiterungen integriert.
Aegis Authenticator Android ja Quelloffene App mit Importmöglichkeit von anderen Apps.
Authy (Twilio) Android, BlackBerry OS, iOS, Windows, Mac OS und Linux ja Die Geheimnisse / Token werden (verschlüsselt) in der Cloud gespeichert, dadurch auf mehreren Geräten parallel verwendbar.
Microsoft Authenticator Android und iOS ja Login in das Microsoft-Konto per Push-Notifikation
PrivacyIDEA Android und iOS nein Open Source OTP Server.
  • Login über einen OIDC Server (z. B.: Keycloak etc.) per Push-Notifikation, TOTP etc.

Auch Passwort-Manager wie LastPass, Bitwarden, 1Password oder KeePass unterstützen Zwei-Faktor-Authentisierung gegenüber Dritten.

Universelle Zwei-Faktor-Authentisierung

Die FIDO-Allianz veröffentlichte am 9. Dezember 2014 die erste Version des universellen und lizenzfreien Standards U2F für die Zwei-Faktor-Authentisierung, die verschiedene Verfahren und Geräte unterstützt.Im Februar 2015 kündigte Microsoft an, dass der Standard 2.0 der FIDO-Allianz für die Authentifikation im Internet vom Betriebssystem Windows 10 unterstützt wird.

Sicherheitsaspekte

Sicherheitsexperten warnen, dass SMS-Spoofing und Man-in-the-Middle-Angriffe, bei denen Angreifer eine gefälschte Login-Seite präsentieren, missbrauchen können, um die Zwei-Faktor-Authentisierung, die auf Einmalkennwörtern beruht, zu umgehen. FIDO U2F bietet hier zusätzlichen Schutz.

Beide Faktoren sollten zwei getrennte Übertragungskanäle nutzen.

  • Der Forderung, sie nicht am gleichen Ort zu speichern, wird oft nicht nachgekommen.
  • So nutzen viele Banken die E-Banking-App und die App zur Zwei-Faktor-Authentisierung per Einmalkennwort im selben Endgerät, sodass bei dessen Verlust nur noch ein etwaiger PIN-Code auf der 2FA-App die Anwendung schützt.
  • Selbst wenn man die App zur Zwei-Faktor-Authentifizierung mittels TOTP auf demselben Gerät installierte, auf dem man den 2FA-gesicherten IT-Dienst nutzt, erhöht dies die Sicherheit gegenüber der Authentisierung lediglich mittels Anmeldename und Passwort – der sich aus der Einmaligkeit des Einmalpassworts ergibt.
  • Die Nutzung der Authentisierungs-App über ein zweites Gerät bietet jedoch zusätzlich die Sicherheit des zweiten Faktors.

Außerdem erlauben die meisten Anbieter, bestimmte Rechner als vertrauenswürdige Clients zu definieren, von denen aus die Anmeldung ohne Einmalpasswort erfolgen darf.

  • Kann ein Angreifer sich Zugang zu einem solchen Rechner verschaffen, besteht kein zusätzlicher Schutz.

Kritik

Nachdem insbesondere durch gesetzliche Regulierungen die Zwei-Faktor-Authentisierung Verbreitung gefunden hatte, zeigte sich, dass dies als kriminelles Geschäftsmodell missbraucht wurde.

  • So zahlte das Unternehmen Twitter Inc. einige Jahre mehr als 60 Millionen US-Dollar alljährlich an rund 390 Telekommunikationsunternehmen, bei denen mehr als 10 % der angeforderten Kostenerstattungen für den SMS-Versand durch Anmeldungen betrügererischer Anmelde-Prozesse entstanden.

Diese Telekommunikationsunternehmen richteten millionenfach kostenlose Zugänge zwecks Anmeldemissbrauch ein.

  • Darin waren Unternehmen aus Nordamerika noch nicht inbegriffen.
  • Diese 60 Millionen US-Dollar bildeten einen Hauptanteil an den 210 Millionen US-Dollar Verlust der Twitter Inc. im Jahre 2021.

Anhang

Siehe auch

Sicherheit

Dokumentation

RFC
Man-Page
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
  2. https://www.test.de/Datenschutz-im-Netz-Doppelte-Sicherung-mit-Zwei-Faktor-Authentifizierung-5177936-0
  3. Verzeichnis von Websites, die Zwei-Faktor-Authentisierung unterstützen


Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5