MFA vs. 2FA: Was ist der Unterschied?

Bei dem Versuch, die beste Authentifizierungslösung zu finden, kann die verwendete Terminologie oft verwirrend sein, insbesondere wenn es um Zwei-Faktor- vs. Multi-Faktor-Authentifizierung geht. In diesem Artikel werden wir einen detaillierten Vergleich der beiden durchgehen, damit Sie sich informieren können.

MFA vs. 2FA - Was ist der Unterschied?

Wenn ich mit anderen über Authentifizierung spreche, stelle ich fest, dass viele Leute mit der Multifaktor-Authentifizierung (MFA) und der Zwei-Faktor-Authentifizierung (2FA) verwechselt werden. Beginnen wir mit dem Offensichtlichen, nämlich den Namen selbst: Multi - bedeutet "viele", während zwei "zwei" bedeutet, d. h. "einer mehr als einer".

MFA erfordert viele verschiedene Faktoren (mindestens zwei oder mehr), während 2FA nur zwei verschiedene Faktoren (genau zwei, nicht mehr als zwei) erfordert, um einen Benutzer zu authentifizieren. Was genau wird nun als Faktor betrachtet? Die Erklärung ist einfach. Es gibt verschiedene Faktoren:

-Wissen (z.B. Passwort, PIN; bedeutet etwas, das man weiß)

- Besitz (z.B. Chipkarte, Smartphone, Wearable, kryptographischer Schlüssel usw.; bedeutet etwas, das man hat)

- Inhärenz (z.B. Fingerabdruck, Iris-Scan, Stimmabdruck usw.; bedeutet etwas, das man ist)

- Kontext (z.B. Standort, was man tut, wie der Benutzer reagiert, Muster usw.; bedeutet etwas, das der Benutzer im Kontext seines Benutzerlebens tut)

Laut NIST SP800-63B ist die Multi-Faktor-Authentifizierung (MFA) "ein Authentifizierungssystem oder ein Authentifikator, der für eine erfolgreiche Authentifizierung mehr als einen Authentifizierungsfaktor erfordert". Da MFA mehr als einen Authentifizierungsfaktor erfordert und 2FA zwei Faktoren verwendet, sind alle 2FAs MFA, aber nicht alle MFAs sind 2FA.

Betrachten wir nun, wie MFA und 2FA mit verschiedenen Authentifikatoren erreicht werden können: Multi-Faktor-Authentifikatoren (MF) und Single-Faktor-Authentifikatoren (SF).

Multifaktor- vs. Einfaktor-Authentifizierer

Lassen Sie uns zunächst den Unterschied zwischen den beiden Begriffen "Authentifikator" und "Authentifizierung" klären.

- Ein "Authentifikator" ist ein Gerät, ein Token oder eine Software, die verwendet wird, um die verschiedenen Faktoren der Authentifizierung zu erreichen, z. B. ein Sicherheitsschlüssel, ein Wearable, ein Einmal-Passwort (OTP) usw.

- wohingegen "Authentifizierung" der Prozess ist, bei dem überprüft wird, ob die Person oder der Benutzer, die/der versucht, sich zu authentifizieren, die/der ist, die/der sie/er vorgibt zu sein, indem sie/er die Authentifikatoren verwendet

Zum Beispiel ein Passwort, das auf einer Webseite eingegeben wird, um Zugang zu einem Online-Konto zu erhalten. Dieses Passwort ist der "Authentifikator". Das Gleiche gilt für einen Sicherheitsschlüssel, z. B. ein Yubico-Yubikey, das ein Angestellter verwendet, um sich bei seiner Anwendung anzumelden. Der Sicherheitsschlüssel ist der Authentifikator. Der gesamte Prozess der Verwendung des Kennworts oder des Sicherheitsschlüssels und die Überprüfung, ob der Benutzer das richtige Kennwort oder den richtigen Sicherheitsschlüssel verwendet, und die Freigabe des Zugangs für den Benutzer ist die "Authentifizierung". Daher ist das Werkzeug, das dem Benutzer Zugang gewährt, der Authentifikator. Der Prozess zur Überprüfung, ob der Benutzer derjenige ist, der er vorgibt zu sein, ist die Authentifizierung. Macht das Sinn?

Multi-Faktor-Authentifikatoren (MF) sind Authentifikatoren (z. B. Software, Token oder Ihr Smartphone), die einen zweiten Faktor der Authentifizierung erfordern, bevor sie zur Authentifizierung eines Benutzers verwendet werden können: Zum Beispiel ein Passwort (Faktor: Wissen) oder einen Fingerabdruck (Faktor: Inhärenz), um nutzbar zu werden. Am Beispiel Ihres Mobiltelefons: Der Benutzer muss seinen Fingerabdruck oder ein Passwort auf dem Mobiltelefon hinterlegen, bevor er sich mit dem Mobiltelefon auf einer Website anmelden kann. Der Fingerabdruck oder das Passwort ist ein zweiter Faktor, um das Mobiltelefon nutzbar zu machen. Der Fingerabdruck oder das Passwort, die erforderlich sind, bevor das Mobiltelefon benutzt werden kann, machen das Mobiltelefon zu einem "Multi-Faktor-Authentifikator".

Einfaktor-Authentifikatoren (SF) sind Authentifikatoren, die keinen zweiten Authentifizierungsfaktor benötigen, um nutzbar zu werden.
Laut NIST SP800-63B kann die Multi-Faktor-Authentifizierung mit einem einzigen Authentifikator, der mehr als einen Faktor bietet, oder mit einer Kombination von Authentifikatoren, die verschiedene Faktoren bieten, durchgeführt werden. Dies bedeutet, dass ein Benutzer nicht notwendigerweise zwei verschiedene Faktoren (z. B. ein Passwort und einen Code zur einmaligen Verwendung) direkt auf einem Verbrauchsgerät/einer Anwendung eingeben muss, um MFA oder 2FA zu erreichen, wenn ein MF-Authentifikator verwendet wird.

Vor- und Nachteile von Multi-Faktor-Authentifikator vs. Ein-Faktor-Authentifikator

Schauen wir uns die Vorteile eines der beiden Authentifizierer an.

Multi-Faktor-Authentifizierer (MFA)

Dies bezieht sich auf die Verwendung eines einzelnen Authentifikators, der einen zweiten Faktor zur Aktivierung erfordert (MF-Authentifikator), um MFA oder 2FA zu erreichen. Das Smartphone MUSS zuerst mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) vom Benutzer aktiviert werden. Dann kann der Schlüssel auf dem Smartphone verwendet werden, um auf die Website zuzugreifen.

Vorteile:

- Der Benutzer hat die volle Kontrolle über beide Faktoren, insbesondere wenn ein MF-Hardware-Kryptogerät verwendet wird, wie von NIST für AAL 3 empfohlen.
‍
- Kein Risiko von Keyloggern oder Bildschirmaufnahmen, um das Benutzerpasswort auf dem Gerät, im Web oder in mobilen Anwendungen zu erfassen.

- Ein Angreifer benötigt immer noch einen zweiten Faktor. Ein Angreifer benötigt immer noch den zweiten Faktor, um einen gestohlenen MF-Software-/Hardware-Authentifikator verwenden zu können.

- Das MF-Hardware-Authentifikator-Gerät ist meist offline - schwieriger für einen Angreifer zu bekommen.

- Der Verifier ist nur mit der Sicherung eines Faktors befasst. Der zweite Faktor wird vom Benutzer kontrolliert.

Nachteile:

- Der zweite Faktor befindet sich auf demselben Gerät. Wird der zweite Faktor lokal verifiziert, z. B. durch einen OTP-Software-Generator auf einem Smartphone, können sowohl der zweite Faktor als auch der geheime Schlüssel, der zur Generierung des OTP verwendet wird, auf einmal kompromittiert werden.
‍
- On the fly-phishing, bei dem ein Angreifer z. B. das vom legitimen Benutzer angegebene Kennwort und OTP abfängt und sofort für den unrechtmäßigen Zugriff auf die Benutzerressourcen verwendet. Bei MF-Authentifikatoren wird nur das OTP erfasst (vorausgesetzt, der Dienstanbieter ist mit dem Mehrfaktorverfahren unter Verwendung eines einzigen Authentifikators zufrieden).

Einfaktor-Authentifizierer (1FA)

Hier beziehen wir uns auf das Erreichen von MFA oder 2FA mit zwei verschiedenen Einzelauthentifikatoren, z. B. ein OTP von einer OTP-App auf einem Smartphone, das keine Aktivierung erfordert (ein Einzelauthentifikator) und eine Fingerabdruckerfassung (Einzelauthentifikator) oder ein gespeichertes Geheimnis.

Vorteile:

- Wenn einer der Faktoren, z. B. Wissen, kompromittiert wird, hat dies möglicherweise keine Auswirkungen auf den anderen Faktor (z. B. OTP oder Kryptoschlüssel) auf dem SF-Gerät. Obwohl die Kompromittierung des anderen Faktors trivial sein könnte.

Nachteile:

- Der Benutzer hat keine Kontrolle darüber, wo beide Faktoren (z. B. Passwort und OTP) eingegeben werden.

- Das Benutzerpasswort könnte mit einem Keylogger oder einer Bildschirmaufzeichnung des Authentifizierungsgeräts/der Anwendung ausgespäht oder erfasst werden.

- Ein Angreifer könnte Phishing verwenden, um Benutzer zur Eingabe ihres Passworts auf gefälschten Websites/Anmeldeformularen zu verleiten. Insbesondere Benutzer, die dasselbe Kennwort bei vielen Diensten verwenden - dadurch erhält ein Angreifer automatisch Zugriff auf die anderen Konten, die dasselbe Kennwort verwenden.

- Ein Angreifer könnte das Benutzerkonto nur mit dem Kennwort und der E-Mail zurücksetzen, um einen neuen zweiten Faktor mit dem Benutzerkonto zu verknüpfen.

- Das SF-Authentifizierungsgerät/die Software ist nicht geschützt - z. B. SF-OTP-Software auf einem Smartphone, der Angreifer muss nur das Smartphone oder den Token stehlen und könnte dann versuchen, den zweiten Faktor über Phishing, Brute-Force, Keylogger, Bildschirmabgriff und möglicherweise Social Engineering zu erhalten.

- On-the-fly-Phishing: Beide Einzelfaktoren könnten erbeutet werden, wodurch die anderen Benutzerkonten kompromittiert werden könnten.

- Die Prüfstelle muss mindestens zwei verschiedene Authentifikatoren für jeden Benutzer verwalten.

Zusammenfassung

Eine sichere Multi-Faktor-Authentifizierungslösung, die Multi-Faktor-Authentifikatoren verwendet, z.B. ein Smartphone mit einer Gerätesperre, bringt sowohl für den Benutzer als auch für den Anbieter erhebliche Vorteile gegenüber 2FA mit Ein-Faktor-Authentifikatoren.

Vorteile für Anwender

- Bequemer - der Benutzer benötigt nur einen einzigen Authentifikator

- Billiger - kein zusätzliches Gerät erforderlich

- Schutz vor Diebstahl und unberechtigtem Zugriff - selbst wenn der MF-Authentifikator gestohlen wird, ist ein zweiter Faktor erforderlich, um ihn zu verwenden

Vorteile für Anbieter

- Bessere Sicherheit - höheres Maß an Vertrauen, dass nur autorisierte Benutzer auf sensible/vertrauliche Daten zugreifen können

- Bequem und skalierbar - dieselbe Lösung kann für Mitarbeiter und Kunden eingesetzt werden

- Geringere Verwaltungskosten - nur ein Gerät muss verwaltet werden.

‍

Sie möchten mehr über Smartphone-basierte Multi-Faktor-Authentifizierung erfahren? Werfen Sie einen Blick auf unsere Authentifizierungslösungen.