MFA (Multi-Faktor-Authentifizierung) vs. 2FA (2-Faktor-Authentifizierung): Was ist der Unterschied? 

Alle 2FAs sind MFAs, aber nicht alle MFAs (Multi Factor Authentication) sind 2FAs.

‍

Bei der Suche nach der besten Authentifizierungslösung kann die Branchenterminologie oft verwirrend sein, insbesondere wenn es um die Zwei-Faktor-Authentifizierung (2FA) im Vergleich zur Multi-Faktor-Authentifizierung (MFA) geht. In diesem Artikel werden wir einen detaillierten Vergleich der beiden Lösungen durchführen und die Unterschiede diskutieren.  

MFA vs. 2FA - Was ist der Unterschied? 

Wenn ich mit anderen über Authentifizierung spreche, stelle ich fest, dass viele Leute mit der Multifaktor-Authentifizierung (MFA) und der Zwei-Faktor-Authentifizierung (2FA) verwirrt sind. Beginnen wir mit dem Offensichtlichen, nämlich den Namen selbst: Multi - bedeutet "viele", während zwei "zwei" bedeutet, d. h. "einer mehr als einer".

MFA erfordert viele verschiedene Faktoren (mindestens zwei oder mehr), während 2FA nur zwei verschiedene Faktoren (genau zwei, nicht mehr als zwei) erfordert, um einen Benutzer zu authentifizieren. Was genau ist nun ein "Faktor"? Die Erklärung ist einfach. Die drei wichtigsten Authentifizierungsfaktoren sind etwas, das Sie wissen, etwas, das Sie haben, und etwas, das Sie sind.   

• Wissen (z. B. ein Passwort oder eine PIN; etwas, das Sie kennen) 
• Besitz (z. B. eine Smartcard, ein Computer, ein Smartphone, ein Wearable oder ein kryptografisches Gerät; etwas, das Sie haben) 
• Inhärenz (z. B. ein Fingerabdruck oder eine Gesichtserkennung; etwas, das Sie sind)
  ‍ 

Laut NIST ist die Multifaktor-Authentifizierung (MFA):

"Ein Merkmal eines Authentifizierungssystems oder eines Authentifikators, das mehr als einen eindeutigen Authentifizierungsfaktor für eine erfolgreiche Authentifizierung erfordert.".

Der Punkt ist, dass "mehr als ein eindeutiger Authentifizierungsfaktor" erforderlich ist, um MFA zu erreichen. 2FA verwendet genau zwei Faktoren. Da MFA mehr als einen Authentifizierungsfaktor erfordert und 2FA zwei Faktoren verwendet, sind alle 2FAs MFA, aber nicht alle MFAs sind 2FA.

Betrachten wir nun die verschiedenen Authentifikatoren und wie die Multi-Faktor-Authentifizierung (MFA) und die 2-Faktor-Authentifizierung (2FA) erreicht werden können. Authentifikatoren lassen sich in zwei Kategorien einteilen: Multifaktor-Authentifikatoren (MF) und Einzelfaktor-Authentifikatoren (SF).  

Multi-Faktor- vs. Single-Faktor-Authentifikatoren 

Lassen Sie uns zunächst den Unterschied zwischen den beiden Begriffen "Authentifikator" und "Authentifizierung" klären. Das eine ist das Gerät, das andere die Methode.  

• Ein "Authentifikator" ist das Gerät, der Token oder die Software, die für die Authentifizierung verwendet wird. Beispiele für die verschiedenen Faktoren, die mit einem Gerät möglich sind, könnten ein Sicherheitsschlüssel, ein Hardware-Token oder UBS oder ein Mobiltelefon, Laptop oder Desktop sein. Es könnte auch eine App zur Generierung eines Einmalpassworts (OTP) sein, die Sie meistens besitzen.  
• "Authentifizierung" ist der Prozess der Überprüfung, ob der Benutzer, der sich zu authentifizieren versucht, derjenige ist, der er vorgibt zu sein. 

Hier ein Beispiel: Ein Mitarbeiter schließt einen Sicherheitsschlüssel an einen Computer an, um Zugang zu einer Anwendung zu erhalten. Der Sicherheitsschlüssel ist der Authentifikator. 

Multifaktor-Authentifikatoren ( MF-Authentifikatoren ) sind Authentifikatoren, die vor der Authentifizierung eines Benutzers einen zweiten Authentifizierungsfaktor erfordern. Sie benötigen einen unabhängigen Faktor wie ein Passwort (Faktor: Wissen) oder einen Fingerabdruck (Faktor: Inhärenz), um nutzbar zu werden.  

Das offensichtlichste Beispiel aus dem Alltag ist das Entsperren unseres Mobiltelefons. Die meisten von uns verwenden heute einen Fingerabdruck, eine Gesichtserkennung oder zumindest eine PIN, um auf ihr Handy zuzugreifen. Das Telefon ist der Authentifikator und stellt für sich genommen den ersten Faktor dar (Faktor: Besitz). Der zweite Faktor ist der Fingerabdruck, die Gesichts-ID oder die PIN (Faktor: Inhärenz oder Wissen). 

Ein-Faktor-Authentifikatoren (SF) sind Authentifikatoren, die keinen zweiten Authentifizierungsfaktor (z. B. ein Token) benötigen, um nutzbar zu werden. 

Laut NIST SP 800-63Bkann die Multi-Faktor-Authentifizierung mit einem einzigen Authentifikator, der mehr als einen Faktor bietet, oder mit einer Kombination von Authentifikatoren, die verschiedene Faktoren bieten, durchgeführt werden. Es ist also auch möglich, mehr als einen Ein-Faktor-Authentifikator zu verwenden, um MFA zu erreichen.  

MFA für mehrere Geräte 

Was ist sicherer? 2FA oder MFA? Und welche ist die beste? 

Hier wird es also interessant, einen Vergleich anzustellen. Wie wir bereits festgestellt haben, gibt es verschiedene Möglichkeiten, sowohl 2FA als auch MFA zu erreichen. Es ist nicht schwer zu erraten, welche von beiden die sicherste ist. Es sollte offensichtlich sein, dass je mehr Schichten (mehr Faktoren) die Authentifizierungslösung erfordert, desto mehr Schichten müssten von einem Cyberkriminellen durchdrungen werden. Die Multifaktor-Authentifizierung ist sicherer als 2FA, aber konzentrieren wir uns auf die Methode selbst. Wie üblich steht bei dieser Diskussion der Kompromiss zwischen besserer Sicherheit und Benutzerfreundlichkeit im Vordergrund.  

‍

Mehr Faktoren bedeuten also sicherere Lösungen, richtig? Ja. Aber was ist mit der Benutzererfahrung? Sie könnten von den Benutzern fünf, sechs oder sieben Authentifizierungsfaktoren verlangen, aber Sie werden feststellen, dass sich dies negativ auf die Produktivität auswirkt und in einer realen Anwendung zu zeitraubend ist. Wenn Sie den Prozess zu umständlich gestalten, werden sich die Mitarbeiter schnell abwenden und nach Umgehungslösungen suchen, so dass die Implementierung sinnlos wird.  

Betrachten wir die heute am weitesten verbreitete Anwendung von MFA und die Methode, an die wir alle am meisten gewöhnt sind. Das heißt, mehr als ein Einzelfaktor-Authentifikator wird in Verbindung verwendet, um eine Multifaktor-Authentifizierung durchzuführen. Ein Beispiel: Ich möchte mich bei einem Online-Konto anmelden. Ich gebe mein Passwort auf der Webseite ein. Dann wird mir ein einmaliger Passcode (OTP) auf mein Handy geschickt, den ich auf der Webseite eingeben kann. Dies ist eine Multifaktor-Authentifizierung, aber die Verwendung von zwei Geräten führt oft zu einer Fiktion, und außerdem kann diese Methode immer noch abgefangen werden und ist durch Taktiken wie AiTM-Angriffe (Adversary in the Middle) leicht zu knacken. Außerdem kann diese Methode für Unternehmen extrem kostspielig sein, da die Mitarbeiter nicht ihre eigenen Handgeräte verwenden wollen, so dass die Bereitstellung und Verwaltung mehrerer zusätzlicher Handgeräte (oder Token) für jeden Mitarbeiter schnell untragbar wird.  

Zum Glück gibt es einen anderen Weg.  

Einzelgerät-MFA 

Wenn Sie die Multifaktor-Authentifizierung der 2FA vorziehen, suchen Sie wahrscheinlich auch nach Lösungen, die von den Benutzern (und den IT-Teams) akzeptiert werden. Single Device MFA kann dabei helfen.  

Bei einer Einzelgeräte-MFA wird das vorhandene Gerät des Benutzers zum Authentifikator. Wenn das Ziel darin besteht, den Nutzern einen sicheren und einfachen Zugriff auf Anwendungen von ihren Geräten aus zu ermöglichen und ihnen gleichzeitig die Gewissheit zu geben, dass sie zum Zeitpunkt des Zugriffs die Kontrolle über das Gerät haben, dann sollten Unternehmen Lösungen wie AuthN von IDEE in Betracht ziehen.  

AuthN von IDEE verwendet transitives Vertrauen und eine Zero-Trust- und zero knowledge Sicherheitsarchitektur, die es den Benutzern ermöglicht, sich zu authentifizieren, indem sie einfach ihr Gerät entsperren. So sieht es in der Praxis aus: 

1. Der Benutzer möchte auf eine vertrauenswürdige Unternehmensressource mit einem vertrauenswürdigen, registrierten Gerät zugreifen . 
2. Bei der Anmeldung wird der Benutzer angewiesen, sein Gerät einfach zu entsperren. AuthN vertraut dem Gerät, da es bereits registriert wurde und verwendet einen kryptografischen Schlüssel, der im TPM-Chip des Geräts gespeichert ist, um die Identität des Nutzers zu beweisen. 
3. Der Benutzer ist eingeloggt, nachdem er bewiesen hat, dass er die Kontrolle über etwas hat, das er besitzt (Gerät), und etwas, das er ist oder kennt (Fingerabdruck, Gesichts-ID oder PIN).  

Die Anmeldung ist einfach. Darüber hinaus geht es einen Schritt weiter, als nur die Sicherheit der Authentifizierung zu gewährleisten. Es schützt den gesamten Identitätslebenszyklus, z. B. das Hinzufügen eines neuen Benutzers, die Wiederherstellung eines Kontos und das Off-Boarding. Während viele andere Lösungen auf Phishing-Faktoren wie Passwörter zurückgreifen, schützt AuthN von IDEE jeden Schritt im Lebenszyklus der Benutzeridentität.  

Transitives Vertrauen stellt sicher, dass eine Transaktion über einen "vertrauenswürdigen Dienst" von einem "vertrauenswürdigen Gerät" durchgeführt wurde, das mit einem "vertrauenswürdigen Benutzer" gekoppelt und unter der "vollständigen Kontrolle des Benutzers" autorisiert ist .  

Dies macht die MFA-Lösungsarchitektur von AuthN by IDEE immun gegen Credential Phishing und alle passwortbasierten Angriffe, einschließlich AiTM (Adversary in The Middle). Es bedeutet auch, dass die traditionelle Reibung im Authentifizierungsprozess beseitigt wird, mit passwortloser MFA für ein einziges Gerät. Um mehr zu erfahren, fordern Sie bitte eine kostenlose Demo oder eine kostenlose Testversion an.  

Dieser Beitrag wurde zum ersten Mal im Juni 2020 veröffentlicht, wurde aber aktualisiert (Dezember 2023), um die Richtigkeit und Relevanz zu gewährleisten.