Definition MFA

Was ist Multi-Faktor-Authentifizierung (MFA)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Multi-Faktor-Authentifizierung (MFA) kombiniert mehrere Berechtigungsnachweise, für mehr Sicherheit bei Benutzeranmeldungen.
Multi-Faktor-Authentifizierung (MFA) kombiniert mehrere Berechtigungsnachweise, für mehr Sicherheit bei Benutzeranmeldungen. (Bild: Pixabay / CC0)

Multi-Faktor-Authentifizierung (MFA) nutzt die Kombination von zwei oder mehr Berechtigungsnachweisen für die Prüfung der Identität. Die Sicherheit von Anmeldeverfahren lässt sich dank MFA deutlich erhöhen. Der Identitätsdiebstahl wird erschwert.

Bei der Multi-Faktor-Authentifizierung, abgekürzt MFA, handelt es sich um ein Authentifizierungsverfahren, das zwei oder mehr Berechtigungsnachweise (Faktoren) kombiniert. Mit MFA lassen sich Anmeldeverfahren absichern und Transaktionen verifizieren. Der Identitätsdiebstahl ist gegenüber Authentifizierungsverfahren, die nur ein Merkmal verwenden wie die Anmeldung mit Userkennung und Passwort, deutlich erschwert. Die verwendeten Faktoren basieren auf biometrischen Merkmalen, speziellem Wissen oder einem mitgeführten Gegenstand und sind voneinander unabhängig.

Eine Form der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung (2FA), die genau zwei Berechtigungsnachweise kombiniert. MFA kommt unter anderem beim elektronischen Zahlungsverkehr, bei der Anmeldung an Cloud-Services und Webanwendungen, beim Zugang zu Netzwerken und Rechnersystemen oder für die Zutrittsberechtigung geschützter Bereiche zum Einsatz. Die Authentifizierung kann beispielsweise erfolgen, indem eine PIN eingegeben und eine Identitätskarte vorgelegt, ein Passwort und eine auf das Smartphone gesendete Kennung eingegeben oder eine Karte durchgezogen, eine Sicherheitsfrage beantwortet und die Iris gescannt wird.

So funktioniert eine Multi-Faktor-Authentifizierung

Welche Klassen von Faktoren werden für MFA genutzt?

Die Berechtigungsnachweise (Faktoren), die bei der Multi-Faktor-Authentifizierung zur Anwendung kommen, lassen sich grundsätzlich in drei verschiedene Kategorien einteilen. Diese Kategorien sind:

  • physische Besitzobjekte wie ein Token oder eine Magnetkarte
  • geheimes Wissen wie ein Passwort oder eine PIN
  • eindeutige physische Merkmale oder biometrische Daten wie der Fingerabdruck, die Stimme oder das Muster der Iris

Geheimes Wissen ist der für Authentifizierungsverfahren am häufigsten genutzte Faktor. Viele Verfahren (Ein-Faktor-Authentifizierung) nutzen lediglich geheimes Wissen für die Anmeldung an einem System oder die Absicherung einer Transaktion. Passwörter, PINs oder Antworten auf Sicherheitsfragen sind Beispiele für solches Wissen. Es darf nur dem Anwender bekannt sein und sollte nicht zu erraten oder durch Ausprobieren zu ermitteln sein.

Bei physischen Besitzobjekten handelt es sich um Gegenstände, die im Besitz der Person sind, die sich authentifizieren möchte. Typische Beispiele hierfür sind Schlüssel, Magnetkarten, Token oder das Mobiltelefon mit seiner eindeutigen Rufnummer. Bei der Anmeldung ist dieser Gegenstand zusätzlich zu einem oder mehreren anderen Faktoren vorzulegen. Die Person hat ihn deshalb mit sich zu führen.

Eindeutige physische Merkmale sind unverwechselbar und mit der Identität des Anwenders verknüpft. In den meisten Fällen werden biometrische Daten als physische Merkmale genutzt. Wichtig ist, dass die Merkmale fälschungssicher sind und von Systemen wie Scannern eindeutig ermittelt werden können. Beispiele für Systeme zur Erkennung von biometrischen Merkmalen sind Fingerabdruckscanner, Augen-Iris-Scanner oder Stimmerkennungssysteme.

Biometrie bei der Zutritts- und Zugriffskontrolle

Das Gesicht als Türöffner

Biometrie bei der Zutritts- und Zugriffskontrolle

15.07.15 - Serverräume und Serverschränke sind hochsensible Bereiche, die vor unbefugtem Zutritt oder Zugriff geschützt werden müssen. Biometrische Verfahren sind dabei eine sinnvolle Ergänzung von Schlüssel oder Chipkarte. lesen

Zwei-Faktor-Authentifizierung als Spezialfall von MFA

Die Zwei-Faktor-Authentifizierung (2FA) stellt eine häufig verwendete Form der MFA dar. In vielen Fällen beruht 2FA auf dem Faktor geheimes Wissen und einem mitgeführten Gegenstand. Die Nutzung eines Bankautomaten, bei der eine PIN eingeben und eine Karte durchgezogen werden muss, stellt ein typisches Beispiel für 2FA dar. Mehr und mehr setzen sich Zwei-Faktor-Authentifizierungsverfahren durch, die das Mobiltelefon oder Smartphone als zweiten Faktor nutzen. Da das Mobiltelefon bei vielen Menschen ständiger Begleiter ist, bieten solche Verfahren den Vorteil, dass der Anwender keine zusätzlichen Gegenstände für den Identitätsnachweis mitzuführen hat. Die Anmeldung kann so aussehen, dass der User zunächst seine Userkennung und sein Passwort im System eingibt. Anschließend sendet das System eine zusätzliche Einmal-Kennung per SMS an die zuvor hinterlegte Mobilfunkrufnummer oder direkt an eine registrierte App auf dem Smartphone. Nach Eingabe der korrekten Einmal-Kennung gewährt das System dem Anwender Zugriff. Damit die Zwei-Faktor-Authentifizierung per Mobiltelefon oder Smartphone funktioniert, ist sicherzustellen, dass das Gerät in ein Mobilfunknetz eingebucht ist und eventuell zusätzlich eine Onlineverbindung besteht.

So funktioniert eine Multi-Faktor-Authentifizierung

Vor- und Nachteile der Multi-Faktor-Authentifizierung

Der Hauptvorteil der Multi-Faktor-Authentifizierung besteht darin, dass die gängigen Bedrohungsszenarien des Identitätsdiebstahls durch einfachen Passwortklau ausgeschlossen sind. Selbst wenn ein Angreifer in Besitz des Passworts ist, hat er noch kein Zugriff auf das System. Er benötigt hierfür mindestens einen weiteren Berechtigungsnachweis. Da diese Anmeldeverfahren ein Zugewinn an Sicherheit im Internet und bei der Nutzung von IT-Systemen darstellen, empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinen IT-Grundschutzkatalogen diese Verfahren einzusetzen. Ein Nachteil ergibt sich dadurch, dass die zusätzliche Sicherheit oft eine Einschränkung der Usability darstellt. Je mehr Faktoren bei der Anmeldung zu verwenden sind, desto aufwendiger und komplexer kann der Anmeldevorgang für den User werden. Kommt ein Faktor abhanden, ist zunächst keinerlei Zugriff auf das System möglich und es entsteht ein erheblicher Mehraufwand, den fehlenden Faktor zu ersetzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Active Directory Management mit dem „Red Forest“

Enhanced Security Administrative Environment

Active Directory Management mit dem „Red Forest“

Fast alle Unternehmen verlassen sich auf das Active Directory als primären Authentifizie­rungs­mechanismus in ihrem Netzwerk. Dadurch ist Active Directory auch das beliebteste Ziel von Angriffen. Ein zusätzliches Maß an Sicherheit soll Microsofts Active Directory Red Forest Design, alias Enhanced Security Administrative Environment (ESAE) bieten. lesen

Schutz vor Datenlecks

Diebstahl von Anmeldedaten

Schutz vor Datenlecks

Die Größe von Datenlecks nimmt in jüngster Vergangenheit immer weiter zu, während die Intervalle immer kleiner werden. Höchste Zeit für Unternehmen sich den Gefahren eines Datenverlustes bewusst zu werden und sich mithilfe professioneller IT-Security-Beratung proaktiv vor neuen Gefahren zu schützen. lesen

Jedes dritte Unternehmen über APIs attackiert

Radware warnt vor Schwachstellen in API-Implementierungen

Jedes dritte Unternehmen über APIs attackiert

Mit der zunehmenden Bereitstellung von APIs, sprich Programmierschnittstellen, nehmen auch Angriffe zu. Laut dem jüngsten Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen davon, dass ihre Anwendungen über APIs attackiert werden. lesen

DSGVO-Hürden mit IAM erfolgreich bewältigen

Ist IAM das fehlende Element?

DSGVO-Hürden mit IAM erfolgreich bewältigen

Dank der DSGVO hat Europa sich offiziell als Wegbereiter für Datenschutz etabliert. Ein Konzept welches aus rechtlicher Sicht hoch gelobt wurde, doch für Unternehmen stand die DSGVO gleichbedeutend für ein lästiges Ärgernis ohne direkt erkennbaren Nutzen. Identitäts- und Access-Management (IAM) kann Unternehmen dabei helfen, die DSGVO korrekt zu adressieren. lesen

Digitale Transformation verlangt kollektiven Dauerlauf

SPD-MdB Esken zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die SPD-Bundestags­abgeordnete Saskia Esken äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion. lesen

Digitale Identitäten erfolgreich schützen

Neue Formen der sicheren Authentifizierung

Digitale Identitäten erfolgreich schützen

Obwohl das Risiko durch eine Vielzahl von Datendiebstählen bekannt ist, setzen die meisten Unternehmen weiterhin auf den klassischen Login mit Benutzername und Passwort. Je mehr Geschäfte und Verwaltungsvorgänge digital werden, desto wichtiger wird es aber, die persönlichen digitalen Identitäten besser abzusichern. lesen

Security jenseits von Firewall, Verschlüsselung und MFA

Sicherheitstechnologie im Wandel

Security jenseits von Firewall, Verschlüsselung und MFA

In den letzten Jahren ist „Sicherheit“ in vielen Branchen zum Modewort geworden, und das nicht ohne Grund. Die Bedrohung durch Datensicherheitsverletzungen ist für Branchengrößen, Haushaltsmarken und zahllose Verbraucher gleichermaßen präsent und Unternehmen achten deshalb immer stärker auf ihre internen Sicherheitsstrategien. lesen

Zero Trust – Kein Vertrauen ist auch keine Lösung

Zero Trust Konzepte und Identitäten

Zero Trust – Kein Vertrauen ist auch keine Lösung

Das Konzept Zero Trust, das ursprünglich von Forrester Research vorgeschlagen wurde, klingt einfach und bestechend: Traue niemanden! Ganz gleich, wer es ist, wo er ist, und ob er sich innerhalb oder außerhalb des Firmennetzwerks befindet. Das interne Netzwerk ist keine sichere Burg, die Angreifer finden Schlupflöcher und sind oft schon innerhalb der Burg. lesen

Cohesity will Ransomware-Angriffen Paroli bieten

Mehrstufig angelegter integrierter Sicherheitsansatz

Cohesity will Ransomware-Angriffen Paroli bieten

Das für seine hyperkonvergenten Sekundärspeicherlösungen bekannte Startup Cohesity will Ransomware-Angriffen ihren Schrecken nehmen. Hierfür spendierte der Hersteller seiner Cohesity DataPlatform eine Reihe neuer Funktionen. Thomas Boele, Senior Director Systems Engineering EMEA bei Cohesity, erläuterte im Gespräch mit Storage-Insider, wie diese aussehen und miteinander zusammenspielen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44820069 / Definitionen)