MFA (Multi-Faktor-Authentifizierung) vs. 2FA (2-Faktor-Authentifizierung): Was ist der Unterschied?

Alle 2FAs sind MFA, aber nicht alle MFAs (Multi Factor Authentication) sind 2FA.

‍

Beim Versuch, die beste Authentifizierungslösung zu finden, kann die Branchenterminologie oft verwirrend sein, insbesondere wenn es um die Zwei-Faktor-Authentifizierung (2FA) und die Multifaktor-Authentifizierung (MFA) geht. In diesem Artikel werden wir die beiden Lösungen detailliert vergleichen und die Unterschiede erörtern.

MFA vs. 2FA - Was ist der Unterschied?

Wenn ich mit anderen über Authentifizierung spreche, stelle ich fest, dass viele Menschen mit Multifaktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) verwirrt sind. Fangen wir mit dem Offensichtlichen an, den Namen selbst: Multi - heißt "viele" wohingegen zwei Mittel "zwei," das heißt, "eins mehr als eins."

MFA erfordert viele verschiedene Faktoren (mindestens zwei oder mehr), wohingegen 2FA nur zwei verschiedene Faktoren (genau zwei, nicht mehr als zwei) erfordert, um einen Benutzer zu authentifizieren. Was genau wird nun als "Faktor" betrachtet? Die Erklärung ist einfach. Die drei wichtigsten Authentifizierungsfaktoren sind etwas, das Sie wissen, etwas, das Sie haben, und etwas, das Sie sind.

• Wissen (z. B. ein Passwort oder eine PIN; etwas, das du weißt)
• Besitz (z. B. eine Smartcard, ein Computer, ein Smartphone, ein tragbares Gerät oder ein kryptografisches Gerät; etwas, das Sie haben)
• Inhärenz (z. B. ein Fingerabdruck oder eine Gesichts-ID; etwas, das du bist)
  ‍

Laut NIST, Die Multifaktor-Authentifizierung (MFA) ist:

"Ein Merkmal eines Authentifizierungssystems oder eines Authentifikators, das für eine erfolgreiche Authentifizierung mehr als einen bestimmten Authentifizierungsfaktor erfordert.".

Der Punkt ist "mehr als ein deutlicher Authentifizierungsfaktor" ist erforderlich, um MFA zu erreichen. 2FA verwendet genau zwei Faktoren. Da MFA mehr als einen Authentifizierungsfaktor erfordert und 2FA zwei Faktoren verwendet, dann sind alle 2FAs MFA, aber nicht alle MFAs sind 2FA.

Betrachten wir nun die verschiedenen Authentifikatoren und wie die Multifaktor-Authentifizierung (MFA) und die 2-Faktor-Authentifizierung (2FA) erreicht werden können. Authentifikatoren lassen sich in eine von zwei Kategorien einteilen: Multifaktor-Authentifikatoren (MF) und Einzelfaktor-Authentifikatoren (SF).

Multifaktor-Authentifikatoren im Vergleich zu Einfaktor-Authentifikatoren

Lassen Sie uns zunächst den Unterschied zwischen den beiden Begriffen klären: "Authentifikator" und "Authentifizierung". Das eine ist das Gerät, das andere die Methode.

• Ein "Authentifikator" ist das Gerät, das Token oder die Software, mit der die Authentifizierung durchgeführt wird. Beispiele für die verschiedenen Faktoren, die mit einem Gerät ermöglicht werden, können ein Sicherheitsschlüssel, ein Hardware-Token oder ein USB-Gerät oder ein Mobiltelefon, ein Laptop oder ein Desktop sein. Es könnte auch eine App zur Generierung eines Einmalpassworts (OTP) enthalten. Das ist meistens etwas, das Sie haben.
• "Authentifizierung" ist der Prozess, bei dem überprüft wird, ob der Benutzer, der versucht, sich zu authentifizieren, der ist, für den er sich ausgibt.

Hier ein Beispiel: Ein Sicherheitsschlüssel wird von einem Mitarbeiter an einen Computer angeschlossen, um Zugriff auf eine Anwendung zu erhalten. Der Sicherheitsschlüssel ist der Authentifikator.

Multifaktor (MF) Authentifikatoren sind Authentifikatoren, die einen zweiten Authentifizierungsfaktor benötigen, bevor sie einen Benutzer authentifizieren. Sie benötigen einen unabhängigen Faktor wie ein Passwort (Faktor: Wissen) oder einen Fingerabdruck (Faktor: Inhärenz), um nutzbar zu werden.

Das offensichtlichste Beispiel für den Alltag ist, wenn wir unsere Handys entsperren. Die meisten von uns verwenden jetzt einen Fingerabdruck, eine Gesichts-ID oder zumindest eine PIN, um auf ihr Telefon zuzugreifen. Das Telefon ist der Authentifikator und für sich genommen ist es der erste Faktor (Faktor: Besitz). Der zweite Faktor ist der Fingerabdruck, die Face-ID oder die PIN (Faktor: Inhärenz oder Wissen).

Single-Factor (SF) -Authentifikatoren sind Authentifikatoren, die keinen zweiten Authentifizierungsfaktor benötigen, um nutzbar zu werden (z. B. ein Token).

Laut NIST SP 800-63B "Die Multifaktor-Authentifizierung kann mit einem einzigen Authentifikator durchgeführt werden, der mehr als einen Faktor bereitstellt, oder mit einer Kombination von Authentifikatoren, die verschiedene Faktoren bereitstellen." Es ist auch möglich, mehr als einen Single-Factor-Authentifikator zu verwenden, um MFA zu erreichen.

MFA für mehrere Geräte

Was ist sicher? 2FA oder MFA? Und welcher ist der beste?

Auch hier wird es im Hinblick auf einen Vergleich interessant. Wie wir festgestellt haben, gibt es verschiedene Möglichkeiten, sowohl 2FA als auch MFA zu erreichen. Es gibt keine Preise für das Erraten, welcher der beiden am sichersten ist. Es sollte offensichtlich sein, dass je mehr Ebenen (mehr Faktoren) die Authentifizierungslösung benötigt, desto mehr Ebenen müsste ein Cyberkrimineller durchdringen. Die Multifaktor-Authentifizierung ist sicherer als 2FA, aber wir konzentrieren uns auf die Methode selbst. Wie üblich steht der Kompromiss zwischen besserer Sicherheit und Benutzererfahrung bei dieser Diskussion immer im Vordergrund.

‍

Mehr Faktoren bedeuten auch sicherere Lösungen, oder? Ja. Aber was ist mit der Benutzererfahrung? Sie könnten die Benutzer nach fünf, sechs oder sieben Authentifizierungsfaktoren fragen, aber Sie werden feststellen, dass sich dies negativ auf die Produktivität auswirkt und in einer realen Anwendung zu viel Zeit kostet. Wenn Sie den Prozess zu umständlich machen, lösen sich die Mitarbeiter schnell und suchen nach hakigen Problemumgehungen, sodass die Implementierung sinnlos wird.

Betrachten wir die heute am weitesten verbreitete Anwendung von MFA und die Methode, an die wir alle am meisten gewöhnt sind. Das heißt, es wird mehr als ein Einfaktor-Authentifikator zusammen verwendet, um eine Multifaktor-Authentifizierung durchzuführen. Das Beispiel ist, ich möchte mich bei einem Online-Konto anmelden. Ich habe mein Passwort in die Webseite eingegeben. Dann erhalte ich einen Einmalpasscode (OTP) an mein Handy, den ich auf der Webseite eingeben kann. Das ist eine Multifaktor-Authentifizierung, aber die Verwendung von zwei Geräten erzeugt oft Fiktion. Außerdem kann diese Methode immer noch abgefangen werden und kann leicht mit Taktiken wie folgt gehackt werden Gegner in der Mitte AiTM-Angriffe. Außerdem kann es für Unternehmen extrem teuer werden, da die Mitarbeiter ihre eigenen Mobiltelefone nicht benutzen wollen, sodass die Bereitstellung und Verwaltung mehrerer zusätzlicher Mobiltelefone (oder Tokens) für jeden Mitarbeiter schnell unhaltbar wird.

Zum Glück gibt es einen anderen Weg.

MFA für ein einzelnes Gerät

Wenn Sie die Multifaktor-Authentifizierung der 2FA vorziehen, werden Sie wahrscheinlich auch nach Lösungen suchen, die die Benutzer lieben werden (ebenso wie IT-Teams (Informationstechnologie)). MFA für ein einzelnes Gerät kann helfen.

Bei einer MFA für ein einzelnes Gerät wird das vorhandene Gerät des Benutzers zum Authentifikator. Wenn das Ziel darin besteht, Benutzern einen sicheren und einfachen Zugriff auf Anwendungen von ihren Geräten aus zu ermöglichen und dabei die größtmögliche Sicherheit zu haben, dass sie zum Zeitpunkt des Zugriffs die Kontrolle über das Gerät haben, sollten Unternehmen nach Lösungen wie AuthN von IDEE suchen.

AuthN von IDEE-Benutzern transitives Vertrauen und eine Zero-Trust- und Zero-Knowledge-Sicherheitsarchitektur, die es Benutzern ermöglicht, sich zu authentifizieren, indem sie einfach ihr Gerät entsperren. So sieht das in der Praxis aus:

1. Der Benutzer möchte auf eine vertrauenswürdige Unternehmensressource zugreifen, auf ein vertrauenswürdiges, registriertes Gerät. 
2. Bei der Anmeldung wird der Benutzer angewiesen, sein Gerät einfach zu entsperren. AuthN vertraut dem Gerät, da es bereits registriert wurde, und verwendet einen kryptografischen Schlüssel, der im TPM-Chip des Geräts gespeichert ist, um die Identität des Benutzers nachzuweisen.
3. Der Benutzer ist angemeldet, nachdem er nachgewiesen hat, dass er die Kontrolle über etwas hat, das er besitzt (Gerät) und etwas, das er ist oder weiß (Fingerabdruck, Gesichts-ID oder PIN).

Die Anmeldung ist einfach. Darüber hinaus geht es einen Schritt weiter als nur sicherzustellen, dass die Authentifizierung sicher ist. Es schützt den gesamten Identitätslebenszyklus, z. B. beim Hinzufügen eines neuen Benutzers, bei der Kontowiederherstellung und beim Offboarding. Während viele andere Lösungen auf phishingfähige Faktoren wie Passwörter zurückgreifen, schützt AuthN von IDEE jeden Schritt des Lebenszyklus der Benutzeridentität.

Transitives Vertrauen stellt sicher, dass eine Transaktion auf einem "vertrauenswürdigen Service" von einem "vertrauenswürdigen Gerät" an "vertrauenswürdigen Benutzer" gekoppelt und autorisiert unter der "Die totale Kontrolle des Benutzers".  

Dadurch ist die MFA-Lösungsarchitektur von AuthN by IDEE immun gegen Anmeldeinformations-Phishing und alle passwortbasierten Angriffe, einschließlich AITM (Adversary in The Middle). Dies bedeutet auch, dass die herkömmlichen Reibungen im Authentifizierungsprozess entfallen, und zwar Passwortloses MFA für ein einzelnes Gerät. Um mehr zu erfahren, wenden Sie sich bitte an eine kostenlose Demo oder kostenlose Testversion.  

Dieser Beitrag wurde erstmals im Juni 2020 veröffentlicht, aber aktualisiert (Dezember 2023), um neue Genauigkeit und Relevanz zu gewährleisten.