Definition MFA

Was ist Multi-Faktor-Authentifizierung (MFA)?

| Autor / Redakteur: Tutanch / Peter Schmitz

Multi-Faktor-Authentifizierung (MFA) kombiniert mehrere Berechtigungsnachweise, für mehr Sicherheit bei Benutzeranmeldungen.
Multi-Faktor-Authentifizierung (MFA) kombiniert mehrere Berechtigungsnachweise, für mehr Sicherheit bei Benutzeranmeldungen. (Bild: Pixabay / CC0)

Multi-Faktor-Authentifizierung (MFA) nutzt die Kombination von zwei oder mehr Berechtigungsnachweisen für die Prüfung der Identität. Die Sicherheit von Anmeldeverfahren lässt sich dank MFA deutlich erhöhen. Der Identitätsdiebstahl wird erschwert.

Bei der Multi-Faktor-Authentifizierung, abgekürzt MFA, handelt es sich um ein Authentifizierungsverfahren, das zwei oder mehr Berechtigungsnachweise (Faktoren) kombiniert. Mit MFA lassen sich Anmeldeverfahren absichern und Transaktionen verifizieren. Der Identitätsdiebstahl ist gegenüber Authentifizierungsverfahren, die nur ein Merkmal verwenden wie die Anmeldung mit Userkennung und Passwort, deutlich erschwert. Die verwendeten Faktoren basieren auf biometrischen Merkmalen, speziellem Wissen oder einem mitgeführten Gegenstand und sind voneinander unabhängig.

Eine Form der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung (2FA), die genau zwei Berechtigungsnachweise kombiniert. MFA kommt unter anderem beim elektronischen Zahlungsverkehr, bei der Anmeldung an Cloud-Services und Webanwendungen, beim Zugang zu Netzwerken und Rechnersystemen oder für die Zutrittsberechtigung geschützter Bereiche zum Einsatz. Die Authentifizierung kann beispielsweise erfolgen, indem eine PIN eingegeben und eine Identitätskarte vorgelegt, ein Passwort und eine auf das Smartphone gesendete Kennung eingegeben oder eine Karte durchgezogen, eine Sicherheitsfrage beantwortet und die Iris gescannt wird.

Biometrie bei der Zutritts- und Zugriffskontrolle

Das Gesicht als Türöffner

Biometrie bei der Zutritts- und Zugriffskontrolle

15.07.15 - Serverräume und Serverschränke sind hochsensible Bereiche, die vor unbefugtem Zutritt oder Zugriff geschützt werden müssen. Biometrische Verfahren sind dabei eine sinnvolle Ergänzung von Schlüssel oder Chipkarte. lesen

Welche Klassen von Faktoren werden für MFA genutzt?

Die Berechtigungsnachweise (Faktoren), die bei der Multi-Faktor-Authentifizierung zur Anwendung kommen, lassen sich grundsätzlich in drei verschiedene Kategorien einteilen. Diese Kategorien sind:

  • physische Besitzobjekte wie ein Token oder eine Magnetkarte
  • geheimes Wissen wie ein Passwort oder eine PIN
  • eindeutige physische Merkmale oder biometrische Daten wie der Fingerabdruck, die Stimme oder das Muster der Iris

Geheimes Wissen ist der für Authentifizierungsverfahren am häufigsten genutzte Faktor. Viele Verfahren (Ein-Faktor-Authentifizierung) nutzen lediglich geheimes Wissen für die Anmeldung an einem System oder die Absicherung einer Transaktion. Passwörter, PINs oder Antworten auf Sicherheitsfragen sind Beispiele für solches Wissen. Es darf nur dem Anwender bekannt sein und sollte nicht zu erraten oder durch Ausprobieren zu ermitteln sein.

Bei physischen Besitzobjekten handelt es sich um Gegenstände, die im Besitz der Person sind, die sich authentifizieren möchte. Typische Beispiele hierfür sind Schlüssel, Magnetkarten, Token oder das Mobiltelefon mit seiner eindeutigen Rufnummer. Bei der Anmeldung ist dieser Gegenstand zusätzlich zu einem oder mehreren anderen Faktoren vorzulegen. Die Person hat ihn deshalb mit sich zu führen.

Eindeutige physische Merkmale sind unverwechselbar und mit der Identität des Anwenders verknüpft. In den meisten Fällen werden biometrische Daten als physische Merkmale genutzt. Wichtig ist, dass die Merkmale fälschungssicher sind und von Systemen wie Scannern eindeutig ermittelt werden können. Beispiele für Systeme zur Erkennung von biometrischen Merkmalen sind Fingerabdruckscanner, Augen-Iris-Scanner oder Stimmerkennungssysteme.

Zwei-Faktor-Authentifizierung als Spezialfall von MFA

Die Zwei-Faktor-Authentifizierung (2FA) stellt eine häufig verwendete Form der MFA dar. In vielen Fällen beruht 2FA auf dem Faktor geheimes Wissen und einem mitgeführten Gegenstand. Die Nutzung eines Bankautomaten, bei der eine PIN eingeben und eine Karte durchgezogen werden muss, stellt ein typisches Beispiel für 2FA dar. Mehr und mehr setzen sich Zwei-Faktor-Authentifizierungsverfahren durch, die das Mobiltelefon oder Smartphone als zweiten Faktor nutzen. Da das Mobiltelefon bei vielen Menschen ständiger Begleiter ist, bieten solche Verfahren den Vorteil, dass der Anwender keine zusätzlichen Gegenstände für den Identitätsnachweis mitzuführen hat. Die Anmeldung kann so aussehen, dass der User zunächst seine Userkennung und sein Passwort im System eingibt. Anschließend sendet das System eine zusätzliche Einmal-Kennung per SMS an die zuvor hinterlegte Mobilfunkrufnummer oder direkt an eine registrierte App auf dem Smartphone. Nach Eingabe der korrekten Einmal-Kennung gewährt das System dem Anwender Zugriff. Damit die Zwei-Faktor-Authentifizierung per Mobiltelefon oder Smartphone funktioniert, ist sicherzustellen, dass das Gerät in ein Mobilfunknetz eingebucht ist und eventuell zusätzlich eine Onlineverbindung besteht.

Vor- und Nachteile der Multi-Faktor-Authentifizierung

Der Hauptvorteil der Multi-Faktor-Authentifizierung besteht darin, dass die gängigen Bedrohungsszenarien des Identitätsdiebstahls durch einfachen Passwortklau ausgeschlossen sind. Selbst wenn ein Angreifer in Besitz des Passworts ist, hat er noch kein Zugriff auf das System. Er benötigt hierfür mindestens einen weiteren Berechtigungsnachweis. Da diese Anmeldeverfahren ein Zugewinn an Sicherheit im Internet und bei der Nutzung von IT-Systemen darstellen, empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinen IT-Grundschutzkatalogen diese Verfahren einzusetzen. Ein Nachteil ergibt sich dadurch, dass die zusätzliche Sicherheit oft eine Einschränkung der Usability darstellt. Je mehr Faktoren bei der Anmeldung zu verwenden sind, desto aufwendiger und komplexer kann der Anmeldevorgang für den User werden. Kommt ein Faktor abhanden, ist zunächst keinerlei Zugriff auf das System möglich und es entsteht ein erheblicher Mehraufwand, den fehlenden Faktor zu ersetzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

So zerstört man ein Fortune 500-Unternehmen

Zu wenig Kontrolle über SSH-Schlüssel

So zerstört man ein Fortune 500-Unternehmen

Unter praktischen Gesichtspunkten ist es schwer, ein Fortune 500-Unternehmen in der realen Welt zu „zerstören“, angesichts der weitreichenden Präsenz im Hinblick auf Gebäude und Verarbeitungszentren. Davon abgesehen kann es im Cyberspace äußerst verwundbar sein und der potenzielle Verlust an Shareholder Value aufgrund einer ausgenutzten Schwachstelle könnte mehr als 30 Milliarden Dollar betragen und ein Unternehmen lahmlegen. lesen

Was ist das BSI?

Definition Bundesamt für Sicherheit in der Informationstechnik (BSI)

Was ist das BSI?

Das Bundesamt für Sicherheit in der Informationstechnik, abgekürzt BSI, ist eine Bundesbehörde, die für Fragen der IT-Sicherheit in der öffentlichen Verwaltung, in Unternehmen und für Privatanwender zuständig ist. Sie untersteht dem Bundesministerium des Innern. lesen

Datenschutzregelungen in Deutschland ein Wettbewerbsnachteil

eco Umfrage zum Datenschutz

Datenschutzregelungen in Deutschland ein Wettbewerbsnachteil

Laut einer aktuellen Umfrage sind 46 Prozent der deutschen Unternehmensentscheider der Meinung, dass Unternehmen in Deutschland aufgrund der aktuell bestehenden Datenschutzregeln im Vergleich zu anderen Ländern (z.B. England, USA) noch immer einem Wettbewerbsnachteil in der digitalen Welt ausgesetzt sind. lesen

Acht Tipps für ein sicheres IoT-Heimnetzwerk

Haunted-House-Studie von Sophos

Acht Tipps für ein sicheres IoT-Heimnetzwerk

„Hacker herzlich willkommen“. Dieser Slogan müsste eigentlich über vielen Eingangstüren in Deutschland prangen. Im Rahmen der Haunted-House-Studie hat Sophos eine Heatmap erstellt, die zeigt, wie viele unsichere IoT-Geräte es in Deutschland gibt. Doch der Hersteller gibt auch Tipps, wie man den Hackern das Leben schwer machen kann. lesen

Biometrie in Gegenwart und Zukunft

Der Körper als Faktor zur Authentifizierung

Biometrie in Gegenwart und Zukunft

Methoden zur biometrischen Authentifizierun gibt es bereits mit dem Fingerdrucksensoren an mobilen Endgeräten. Doch daneben lässt sich über den Iris-Scan oder den individuellen Gehstil Zugriff erlangen. Ein Überblick. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44820069 / Definitionen)