Inhaltsverzeichnis

Bei dem Versuch, die beste Authentifizierungslösung zu finden, kann die verwendete Terminologie oft verwirrend sein, insbesondere wenn es um Zwei-Faktor- vs. Multi-Faktor-Authentifizierung geht. In diesem Artikel werden wir einen detaillierten Vergleich der beiden durchgehen, damit Sie sich informieren können.

MFA vs. 2FA - Was ist der Unterschied?

Wenn ich mit anderen über Authentifizierung spreche, stelle ich fest, dass viele Menschen mit Multi-Faktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) verwechselt werden. Lassen Sie uns mit dem Offensichtlichen beginnen, den Namen selbst: Multi - bedeutet "viele", während zwei "zwei" bedeutet, d.h. "einer mehr als einer".

MFA erfordert viele verschiedene Faktoren (mindestens zwei oder mehr), während 2FA nur zwei verschiedene Faktoren (genau zwei, nicht mehr als zwei) erfordert, um einen Benutzer zu authentifizieren. Was genau gilt nun als ein Faktor? Die Erklärung ist einfach. Es gibt mehrere verschiedene Faktoren:

  • Wissen (z.B. Passwort, PIN; d.h. etwas, das Sie wissen),
  • Besitz (z.B. Smartcard, Smartphone, Wearable, kryptographischer Schlüssel usw.; Bedeutung: etwas, das Sie haben),
  • Inhärenz (z.B. Fingerabdruck, Iris-Scan, Stimmabdruck usw.; Bedeutung von etwas, das Sie sind),
  • Kontext (z.B. Ort, was Sie tun, wie der Benutzer reagiert, Muster usw.; Bedeutung von etwas, was der Benutzer im Kontext seines Benutzerlebens tut)

Wenn zwei dieser Faktoren erforderlich sind, bevor ein Benutzer authentifiziert werden kann, wird dies als Zwei-Faktor-Authentifizierung bezeichnet.Gemäß NIST SP800-63B ist die Multi-Faktor-Authentifizierung (MFA) "ein Authentifizierungssystem oder ein Authentifizierer, der mehr als einen Authentifizierungsfaktor für eine erfolgreiche Authentifizierung benötigt". Der Punkt ist, dass "mehr als ein Authentifizierungsfaktor" erforderlich ist, um MFA zu erreichen. Da MFA mehr als einen Authentifizierungsfaktor erfordert und 2FA zwei Faktoren verwendet, sind alle 2FAs MFA, aber nicht alle MFAs sind 2FA.

Lassen Sie uns nun überlegen, wie MFA und 2FA mit verschiedenen Authentifikatoren erreicht werden könnten: Multi-Faktor (MF)-Authentifizierer und Single-Faktor (SF)-Authentifizierer.

Multifaktor- vs. Einfaktor-Authentifizierer

Lassen Sie uns zunächst den Unterschied zwischen den beiden Begriffen "Authentifikator" und "Authentifizierung" klären.

  • Ein "Authentifikator" ist ein Gerät, ein Token oder eine Software, die verwendet wird, um die verschiedenen Faktoren der Authentifizierung zu erreichen, z.B. Sicherheitsschlüssel, tragbar, Einmal-Passwort (OTP), usw.
  • In der Erwägung, dass "Authentifizierung" der Prozess der Validierung ist, dass die Person oder der Benutzer, der versucht, sich zu authentifizieren, diejenige ist, die sie vorgibt, die Authentifizierer zu benutzen.

Zum Beispiel ein Passwort, das auf einer Webseite eingegeben wird, um Zugang zu einem Online-Konto zu gewähren. Dieses Passwort ist der "Authentifikator". Dasselbe gilt für einen Sicherheitsschlüssel, z.B. einen Yubico-Yubikey, den ein Mitarbeiter benutzt, um sich in seine Anwendung einzuloggen. Der Sicherheitsschlüssel ist der "Authentifikator". Während der gesamte Prozess der Verwendung des Passwortes oder eines Sicherheitsschlüssels und der Überprüfung, ob der Benutzer sein richtiges Passwort oder den richtigen Sicherheitsschlüssel verwendet, und der Bereitstellung des Zugangs für den Benutzer eine "Authentifizierung" ist. Daher ist das Werkzeug, das dem Benutzer Zugang gewährt, der Authentifikator. Der Prozess, um zu verifizieren, dass der Benutzer derjenige ist, für den er sich ausgibt, ist die "Authentifizierung". Macht das Sinn?

Multi-Faktor-Authentifikatoren (MF) sind Authentifikatoren (z.B. Software, Token oder Ihr Smartphone), die einen zweiten Authentifikationsfaktor benötigen, bevor sie zur Authentifizierung eines Benutzers verwendet werden können, d.h. sie benötigen einen unabhängigen Faktor: Zum Beispiel ein Passwort (Faktor: Wissen) oder einen Fingerabdruck (Faktor: Inhärenz), um verwendbar zu werden. Am Beispiel Ihres Mobiltelefons muss der Benutzer seinen Fingerabdruck oder ein Passwort auf dem Mobiltelefon eingeben, bevor er sich mit dem Mobiltelefon auf einer Website anmelden kann. Der Fingerabdruck oder das Passwort ist ein zweiter Faktor, der verwendet wird, um das Mobiltelefon benutzbar zu machen. Das Mobiltelefon allein ist der erste Faktor "Besitz". Der Fingerabdruck oder das Passwort, der bzw. das erforderlich ist, bevor das Mobiltelefon benutzt werden kann, macht das Mobiltelefon zu einem "Multi-Faktor-Authentifikator".

Single Factor (SF)-Authentifikatoren sind Authentifikatoren, die keinen zweiten Authentifikationsfaktor benötigen, um verwendbar zu werden.

Laut NIST SP800-63B "kann die Multi-Faktor-Authentifizierung mit einem einzigen Authentifikator, der mehr als einen Faktor liefert, oder durch eine Kombination von Authentifikatoren, die verschiedene Faktoren liefern, durchgeführt werden". Das bedeutet, dass ein Benutzer nicht notwendigerweise zwei verschiedene Faktoren (z.B. Passwort und einen Code für den einmaligen Gebrauch) direkt auf einem Verbrauchsgerät/einer Anwendung eingeben muss, um MFA oder 2FA zu erreichen, wenn ein MF-Authentifikator verwendet wird.

Vor- und Nachteile von Multi-Faktor-Authentifikator vs. Ein-Faktor-Authentifikator

Schauen wir uns die Vorteile eines der beiden Authentifizierer an.

Multi-Faktor-Authentifizierer (MFA)

Dies bezieht sich auf die Verwendung eines einzigen Authentifikators, der einen zweiten Faktor zur Aktivierung benötigt (MF-Authentifikator), um MFA oder 2FA zu erreichen. Zum Beispiel die Verwendung eines Smartphones als Authentifikator für den Zugriff auf eine Website. Das Smartphone MUSS zuerst mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) durch den Benutzer aktiviert werden. Dann kann der Schlüssel auf dem Smartphone für den Zugriff auf die Website verwendet werden.

Vorteile:

  • Der Benutzer hat die volle Kontrolle über beide Faktoren, insbesondere wenn ein MF-Hardware-Kryptographiegerät verwendet wird, wie von NIST für AAL 3 empfohlen.
  • Kein Risiko durch Keylogger oder Screen-Capture, um das Benutzerpasswort auf dem Gerät, im Web oder bei mobilen Anwendungen zu ernten.
  • Ein Angreifer braucht immer noch den zweiten Faktor, um einen gestohlenen MF-Software/Hardware-Authentifikator benutzen zu können.
  • Das MF-Hardware-Authentifizierungsgerät ist meist offline - für einen Angreifer schwieriger zu erreichen.
  • Der Überprüfer ist nur mit der Sicherung eines Faktors befasst. Der zweite Faktor wird vom Benutzer kontrolliert.

Kontra:

  • Der zweite Faktor befindet sich auf demselben Gerät. Wenn der zweite Faktor lokal verifiziert wird, z.B. der OTP-Software-Generator auf einem Smartphone, könnten sowohl der zweite Faktor als auch der geheime Schlüssel, der zur Erzeugung des OTP verwendet wird, gleichzeitig kompromittiert werden.
  • On the fly-phishing, bei dem ein Angreifer z.B. das Passwort und das OTP des legitimen Benutzers abfängt und es sofort für den illegitimen Zugriff auf die Benutzerressourcen verwendet. Bei MF-Authentifikatoren wird nur das OTP erfasst (vorausgesetzt, der Dienstanbieter gibt sich mit der Verwendung eines einzigen Authentifikators mit mehreren Faktoren zufrieden).

Einfaktor-Authentifizierer (1FA)

Hier beziehen wir uns auf das Erreichen von MFA oder 2FA mit 2 verschiedenen einzelnen Authentifikatoren. Zum Beispiel, ein OTP von einer OTP-Anwendung auf einem Smartphone zu erhalten, das keine Aktivierung (ein einziger Authentifikator) und eine Fingerabdruckerfassung (ein einziger Authentifikator) oder ein auswendig gelerntes Geheimnis erfordert.

Vorteile:

  • Wenn einer der Faktoren, z.B. das Wissen, beeinträchtigt wird, hat dies möglicherweise keinen Einfluss auf den anderen Faktor (z.B. OTP oder Kryptoschlüssel) auf dem SF-Gerät. Obwohl die Beeinträchtigung des anderen Faktors trivial sein könnte.

Kontra:

  • Der Benutzer hat keine Kontrolle darüber, wo beide Faktoren (z.B. Passwort und OTP) eingegeben werden.
  • Das Benutzerpasswort könnte mit einem Keylogger oder einer Bildschirmaufnahme vom Authentifizierungsgerät/von der Anwendung erfasst bzw. erschnüffelt werden.
  • Ein Angreifer könnte Phishing einsetzen, um Benutzer zu täuschen, damit sie ihr Passwort auf gefälschten Websites/Anmeldeformularen eingeben. Insbesondere Benutzer, die auf vielen Diensten dasselbe Passwort verwenden - dadurch erhält ein Angreifer automatisch Zugang zu den anderen Konten, die dasselbe Passwort verwenden.
  • Ein Angreifer könnte das Benutzerkonto nur mit seinem Passwort und seiner E-Mail zurücksetzen, um dem Benutzerkonto einen neuen zweiten Faktor zuzuordnen.
  • Das SF-Authentifizierungsgerät/die SF-Authentifizierungssoftware ist nicht geschützt - z.B. SF-OTP-Software auf einem Smartphone, der Angreifer braucht nur das Smartphone oder den Token zu stehlen und könnte dann versuchen, das zweite über Phishing, Brute Force, Keylogger, Screen Capture und vielleicht Social Engineering zu bekommen.
  • On the fly-phishing: Es konnten beide Einzelfaktoren erfasst werden, die die anderen Benutzerkonten gefährden könnten.
  • Der Überprüfer muss für jeden Benutzer mindestens zwei verschiedene Authentifikatoren verwalten.

Zusammenfassung

Eine sichere Multi-Faktor-Authentifizierungslösung, die Multi-Faktor-Authentifikatoren verwendet, z.B. ein Smartphone mit einer Gerätesperre, bringt sowohl für den Benutzer als auch für den Anbieter erhebliche Vorteile gegenüber 2FA mit Ein-Faktor-Authentifikatoren.

Vorteile für Anwender

  • Es ist bequemer - der Benutzer benötigt nur einen einzigen Authentifikator
  • Günstiger - kein zusätzliches Gerät erforderlich
  • Verhinderung von Diebstahl und unbefugtem Zugriff - selbst wenn der MF-Authentifikator gestohlen wird, benötigt er noch einen zweiten Faktor, um nutzbar zu sein

Vorteile für Anbieter

  • Bessere Sicherheit - höheres Maß an Vertrauen, dass nur autorisierte Benutzer auf sensible/vertrauliche Daten zugreifen können
  • Bequem & skalierbar - dieselbe Lösung kann für Mitarbeiter und Kunden eingesetzt werden
  • Geringere Verwaltungskosten - es soll nur ein Gerät verwaltet werden.

Möchten Sie mehr über Smartphone-basierte Multi-Faktor-Authentifizierung erfahren? Werfen Sie einen Blick auf unsere Authentifizierungslösungen.