Definition MFA

Was ist Multi-Faktor-Authentifizierung (MFA)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Multi-Faktor-Authentifizierung (MFA) kombiniert mehrere Berechtigungsnachweise, für mehr Sicherheit bei Benutzeranmeldungen.
Multi-Faktor-Authentifizierung (MFA) kombiniert mehrere Berechtigungsnachweise, für mehr Sicherheit bei Benutzeranmeldungen. (Bild: Pixabay / CC0)

Multi-Faktor-Authentifizierung (MFA) nutzt die Kombination von zwei oder mehr Berechtigungsnachweisen für die Prüfung der Identität. Die Sicherheit von Anmeldeverfahren lässt sich dank MFA deutlich erhöhen. Der Identitätsdiebstahl wird erschwert.

Bei der Multi-Faktor-Authentifizierung, abgekürzt MFA, handelt es sich um ein Authentifizierungsverfahren, das zwei oder mehr Berechtigungsnachweise (Faktoren) kombiniert. Mit MFA lassen sich Anmeldeverfahren absichern und Transaktionen verifizieren. Der Identitätsdiebstahl ist gegenüber Authentifizierungsverfahren, die nur ein Merkmal verwenden wie die Anmeldung mit Userkennung und Passwort, deutlich erschwert. Die verwendeten Faktoren basieren auf biometrischen Merkmalen, speziellem Wissen oder einem mitgeführten Gegenstand und sind voneinander unabhängig.

Eine Form der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung (2FA), die genau zwei Berechtigungsnachweise kombiniert. MFA kommt unter anderem beim elektronischen Zahlungsverkehr, bei der Anmeldung an Cloud-Services und Webanwendungen, beim Zugang zu Netzwerken und Rechnersystemen oder für die Zutrittsberechtigung geschützter Bereiche zum Einsatz. Die Authentifizierung kann beispielsweise erfolgen, indem eine PIN eingegeben und eine Identitätskarte vorgelegt, ein Passwort und eine auf das Smartphone gesendete Kennung eingegeben oder eine Karte durchgezogen, eine Sicherheitsfrage beantwortet und die Iris gescannt wird.

So funktioniert eine Multi-Faktor-Authentifizierung

Welche Klassen von Faktoren werden für MFA genutzt?

Die Berechtigungsnachweise (Faktoren), die bei der Multi-Faktor-Authentifizierung zur Anwendung kommen, lassen sich grundsätzlich in drei verschiedene Kategorien einteilen. Diese Kategorien sind:

  • physische Besitzobjekte wie ein Token oder eine Magnetkarte
  • geheimes Wissen wie ein Passwort oder eine PIN
  • eindeutige physische Merkmale oder biometrische Daten wie der Fingerabdruck, die Stimme oder das Muster der Iris

Geheimes Wissen ist der für Authentifizierungsverfahren am häufigsten genutzte Faktor. Viele Verfahren (Ein-Faktor-Authentifizierung) nutzen lediglich geheimes Wissen für die Anmeldung an einem System oder die Absicherung einer Transaktion. Passwörter, PINs oder Antworten auf Sicherheitsfragen sind Beispiele für solches Wissen. Es darf nur dem Anwender bekannt sein und sollte nicht zu erraten oder durch Ausprobieren zu ermitteln sein.

Bei physischen Besitzobjekten handelt es sich um Gegenstände, die im Besitz der Person sind, die sich authentifizieren möchte. Typische Beispiele hierfür sind Schlüssel, Magnetkarten, Token oder das Mobiltelefon mit seiner eindeutigen Rufnummer. Bei der Anmeldung ist dieser Gegenstand zusätzlich zu einem oder mehreren anderen Faktoren vorzulegen. Die Person hat ihn deshalb mit sich zu führen.

Eindeutige physische Merkmale sind unverwechselbar und mit der Identität des Anwenders verknüpft. In den meisten Fällen werden biometrische Daten als physische Merkmale genutzt. Wichtig ist, dass die Merkmale fälschungssicher sind und von Systemen wie Scannern eindeutig ermittelt werden können. Beispiele für Systeme zur Erkennung von biometrischen Merkmalen sind Fingerabdruckscanner, Augen-Iris-Scanner oder Stimmerkennungssysteme.

Biometrie bei der Zutritts- und Zugriffskontrolle

Das Gesicht als Türöffner

Biometrie bei der Zutritts- und Zugriffskontrolle

15.07.15 - Serverräume und Serverschränke sind hochsensible Bereiche, die vor unbefugtem Zutritt oder Zugriff geschützt werden müssen. Biometrische Verfahren sind dabei eine sinnvolle Ergänzung von Schlüssel oder Chipkarte. lesen

Zwei-Faktor-Authentifizierung als Spezialfall von MFA

Die Zwei-Faktor-Authentifizierung (2FA) stellt eine häufig verwendete Form der MFA dar. In vielen Fällen beruht 2FA auf dem Faktor geheimes Wissen und einem mitgeführten Gegenstand. Die Nutzung eines Bankautomaten, bei der eine PIN eingeben und eine Karte durchgezogen werden muss, stellt ein typisches Beispiel für 2FA dar. Mehr und mehr setzen sich Zwei-Faktor-Authentifizierungsverfahren durch, die das Mobiltelefon oder Smartphone als zweiten Faktor nutzen. Da das Mobiltelefon bei vielen Menschen ständiger Begleiter ist, bieten solche Verfahren den Vorteil, dass der Anwender keine zusätzlichen Gegenstände für den Identitätsnachweis mitzuführen hat. Die Anmeldung kann so aussehen, dass der User zunächst seine Userkennung und sein Passwort im System eingibt. Anschließend sendet das System eine zusätzliche Einmal-Kennung per SMS an die zuvor hinterlegte Mobilfunkrufnummer oder direkt an eine registrierte App auf dem Smartphone. Nach Eingabe der korrekten Einmal-Kennung gewährt das System dem Anwender Zugriff. Damit die Zwei-Faktor-Authentifizierung per Mobiltelefon oder Smartphone funktioniert, ist sicherzustellen, dass das Gerät in ein Mobilfunknetz eingebucht ist und eventuell zusätzlich eine Onlineverbindung besteht.

So funktioniert eine Multi-Faktor-Authentifizierung

Vor- und Nachteile der Multi-Faktor-Authentifizierung

Der Hauptvorteil der Multi-Faktor-Authentifizierung besteht darin, dass die gängigen Bedrohungsszenarien des Identitätsdiebstahls durch einfachen Passwortklau ausgeschlossen sind. Selbst wenn ein Angreifer in Besitz des Passworts ist, hat er noch kein Zugriff auf das System. Er benötigt hierfür mindestens einen weiteren Berechtigungsnachweis. Da diese Anmeldeverfahren ein Zugewinn an Sicherheit im Internet und bei der Nutzung von IT-Systemen darstellen, empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinen IT-Grundschutzkatalogen diese Verfahren einzusetzen. Ein Nachteil ergibt sich dadurch, dass die zusätzliche Sicherheit oft eine Einschränkung der Usability darstellt. Je mehr Faktoren bei der Anmeldung zu verwenden sind, desto aufwendiger und komplexer kann der Anmeldevorgang für den User werden. Kommt ein Faktor abhanden, ist zunächst keinerlei Zugriff auf das System möglich und es entsteht ein erheblicher Mehraufwand, den fehlenden Faktor zu ersetzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Security-Startups auf Partnersuche

Web Summit 2019

Security-Startups auf Partnersuche

Über 2.000 Startups präsentierten sich auf dem Web Summit 2019 in Lissabon, darunter viele Security-Startups. Viele davon suchen Partner für Projekte und Vermarktung. Wer sein Security-Portfolio erweitern möchte, sollte sich auch solche Startups ansehen. Wir stellen spannende Lösungen für den deutschen Markt vor. lesen

Digitale Transformation verlangt kollektiven Dauerlauf

Saskia Esken (SPD) zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die designierte SPD-Parteivorsitzende Saskia Esken (MdB) äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion. lesen

Der Yubikey wird biometrisch

Sichere passwortlose Anmeldung

Der Yubikey wird biometrisch

Anlässlich der Microsoft Ignite hatte Yubico seinen ersten Yubikey mit integrierter biometrischer Authentifizierung vorgestellt. Der Yubikey Bio soll den Komfort der biometrischen Anmeldung mit den zusätzlichen Vorteilen der Sicherheit, Zuverlässigkeit und Langlebigkeit eines klassischen Yubikey vereinen. lesen

Privileged Access Management in einer Cloud-Umgebung

Bevorrechtete Accounts in hybriden Clouds absichern

Privileged Access Management in einer Cloud-Umgebung

Cloud- und hybride Infrastrukturen bringen besondere Herausforderungen mit sich. Sie abzusichern, ist auf Grund der unterschiedlichen Zugriffswege und Systemmerkmale schwierig. Doch beim Betrieb in einer Hybrid-Cloud-Umgebung ist die Absicherung insbesondere privilegierter Accounts – also Benutzern, die aufgrund ihrer Tätigkeit über erweiterte Berechtigungen verfügen müssen –unerlässlich. lesen

Erste Schritte mit dem AWS Security Hub

Compliance-Checks automatisiert durchführen

Erste Schritte mit dem AWS Security Hub

In Entwicklungsumgebungen, in denen schnelle und häufige Deployments die Regel sind, schleichen sich leicht unbemerkt Fehler in den Code. Der AWS Security Hub ermöglicht automatisierte Compliance-Checks und liefert aggregierte Informationen zu einer Reihe von Cloud-Services. lesen

Zwei-Faktor-Authentifizierung schützt, wirklich!

Kommentar Benoit Flippen, Perseus

Zwei-Faktor-Authentifizierung schützt, wirklich!

Die Zwei-Faktor-Authentifizierung wird oft als Allheilmittel der Accountsicherheit gesehen, das ist sie natürlich nicht! Zwei- oder Multi-Faktor-Authentifizierung ist der Sicherheitsgurt der Cybersicherheit – er kann bei richtiger Anwendung Gefahren vermeiden, schützt jedoch nicht vor dem eigenen fahrlässigem Verhalten. lesen

Sechs Tipps für eine bessere IT-Sicherheit

Hacker-Ziel: Mittelstand

Sechs Tipps für eine bessere IT-Sicherheit

Opfer von Cyberangriffen kann jeder werden, ob großes Unternehmen oder Privatperson. Dennoch glauben viele mittelständische Unternehmen in Deutschland nach wie vor, sie seien zu klein und unbedeutend. Leider falsch gedacht. Im folgenden gibt es ein paar Tipps für mehr IT-Security. lesen

Das war die it-sa 2019

Messe

Das war die it-sa 2019

Vom 08. – 10 Oktober 2019 fand die IT-Security Messe it-sa statt. Zahlreiche Besucher strömten nach Nürnberg, um sich über die neuesten Technologien und Lösungen rund um das Thema IT-Sicherheit zu informieren. Wir haben ein paar Eindrücke gesammelt. lesen

Fast alle Firmen haben Probleme beim IAM

Identity- und Access-Management in Unternehmen

Fast alle Firmen haben Probleme beim IAM

IT-Experten bestätigen mit 82 Prozent mehrheitlich, dass schlechter Umgang mit Identitäten in ihrem Unternehmen bereits für Risiken gesorgt hat. Das zeigt eine Studie von Vanson Bourne im Auftrag von LastPass. Die Untersuchung gibt tiefe Einblicke in den Status-Quo des Identity- and Access Management (IAM) bei Unternehmen. Zudem zeigt sie Schritte auf zur Verbesserung eines IAM-Programms. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44820069 / Definitionen)