Definition MFA

Was ist Multi-Faktor-Authentifizierung (MFA)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Multi-Faktor-Authentifizierung (MFA) kombiniert mehrere Berechtigungsnachweise, für mehr Sicherheit bei Benutzeranmeldungen.
Multi-Faktor-Authentifizierung (MFA) kombiniert mehrere Berechtigungsnachweise, für mehr Sicherheit bei Benutzeranmeldungen. (Bild: Pixabay / CC0)

Multi-Faktor-Authentifizierung (MFA) nutzt die Kombination von zwei oder mehr Berechtigungsnachweisen für die Prüfung der Identität. Die Sicherheit von Anmeldeverfahren lässt sich dank MFA deutlich erhöhen. Der Identitätsdiebstahl wird erschwert.

Bei der Multi-Faktor-Authentifizierung, abgekürzt MFA, handelt es sich um ein Authentifizierungsverfahren, das zwei oder mehr Berechtigungsnachweise (Faktoren) kombiniert. Mit MFA lassen sich Anmeldeverfahren absichern und Transaktionen verifizieren. Der Identitätsdiebstahl ist gegenüber Authentifizierungsverfahren, die nur ein Merkmal verwenden wie die Anmeldung mit Userkennung und Passwort, deutlich erschwert. Die verwendeten Faktoren basieren auf biometrischen Merkmalen, speziellem Wissen oder einem mitgeführten Gegenstand und sind voneinander unabhängig.

Eine Form der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung (2FA), die genau zwei Berechtigungsnachweise kombiniert. MFA kommt unter anderem beim elektronischen Zahlungsverkehr, bei der Anmeldung an Cloud-Services und Webanwendungen, beim Zugang zu Netzwerken und Rechnersystemen oder für die Zutrittsberechtigung geschützter Bereiche zum Einsatz. Die Authentifizierung kann beispielsweise erfolgen, indem eine PIN eingegeben und eine Identitätskarte vorgelegt, ein Passwort und eine auf das Smartphone gesendete Kennung eingegeben oder eine Karte durchgezogen, eine Sicherheitsfrage beantwortet und die Iris gescannt wird.

So funktioniert eine Multi-Faktor-Authentifizierung

Welche Klassen von Faktoren werden für MFA genutzt?

Die Berechtigungsnachweise (Faktoren), die bei der Multi-Faktor-Authentifizierung zur Anwendung kommen, lassen sich grundsätzlich in drei verschiedene Kategorien einteilen. Diese Kategorien sind:

  • physische Besitzobjekte wie ein Token oder eine Magnetkarte
  • geheimes Wissen wie ein Passwort oder eine PIN
  • eindeutige physische Merkmale oder biometrische Daten wie der Fingerabdruck, die Stimme oder das Muster der Iris

Geheimes Wissen ist der für Authentifizierungsverfahren am häufigsten genutzte Faktor. Viele Verfahren (Ein-Faktor-Authentifizierung) nutzen lediglich geheimes Wissen für die Anmeldung an einem System oder die Absicherung einer Transaktion. Passwörter, PINs oder Antworten auf Sicherheitsfragen sind Beispiele für solches Wissen. Es darf nur dem Anwender bekannt sein und sollte nicht zu erraten oder durch Ausprobieren zu ermitteln sein.

Bei physischen Besitzobjekten handelt es sich um Gegenstände, die im Besitz der Person sind, die sich authentifizieren möchte. Typische Beispiele hierfür sind Schlüssel, Magnetkarten, Token oder das Mobiltelefon mit seiner eindeutigen Rufnummer. Bei der Anmeldung ist dieser Gegenstand zusätzlich zu einem oder mehreren anderen Faktoren vorzulegen. Die Person hat ihn deshalb mit sich zu führen.

Eindeutige physische Merkmale sind unverwechselbar und mit der Identität des Anwenders verknüpft. In den meisten Fällen werden biometrische Daten als physische Merkmale genutzt. Wichtig ist, dass die Merkmale fälschungssicher sind und von Systemen wie Scannern eindeutig ermittelt werden können. Beispiele für Systeme zur Erkennung von biometrischen Merkmalen sind Fingerabdruckscanner, Augen-Iris-Scanner oder Stimmerkennungssysteme.

Biometrie bei der Zutritts- und Zugriffskontrolle

Das Gesicht als Türöffner

Biometrie bei der Zutritts- und Zugriffskontrolle

15.07.15 - Serverräume und Serverschränke sind hochsensible Bereiche, die vor unbefugtem Zutritt oder Zugriff geschützt werden müssen. Biometrische Verfahren sind dabei eine sinnvolle Ergänzung von Schlüssel oder Chipkarte. lesen

Zwei-Faktor-Authentifizierung als Spezialfall von MFA

Die Zwei-Faktor-Authentifizierung (2FA) stellt eine häufig verwendete Form der MFA dar. In vielen Fällen beruht 2FA auf dem Faktor geheimes Wissen und einem mitgeführten Gegenstand. Die Nutzung eines Bankautomaten, bei der eine PIN eingeben und eine Karte durchgezogen werden muss, stellt ein typisches Beispiel für 2FA dar. Mehr und mehr setzen sich Zwei-Faktor-Authentifizierungsverfahren durch, die das Mobiltelefon oder Smartphone als zweiten Faktor nutzen. Da das Mobiltelefon bei vielen Menschen ständiger Begleiter ist, bieten solche Verfahren den Vorteil, dass der Anwender keine zusätzlichen Gegenstände für den Identitätsnachweis mitzuführen hat. Die Anmeldung kann so aussehen, dass der User zunächst seine Userkennung und sein Passwort im System eingibt. Anschließend sendet das System eine zusätzliche Einmal-Kennung per SMS an die zuvor hinterlegte Mobilfunkrufnummer oder direkt an eine registrierte App auf dem Smartphone. Nach Eingabe der korrekten Einmal-Kennung gewährt das System dem Anwender Zugriff. Damit die Zwei-Faktor-Authentifizierung per Mobiltelefon oder Smartphone funktioniert, ist sicherzustellen, dass das Gerät in ein Mobilfunknetz eingebucht ist und eventuell zusätzlich eine Onlineverbindung besteht.

So funktioniert eine Multi-Faktor-Authentifizierung

Vor- und Nachteile der Multi-Faktor-Authentifizierung

Der Hauptvorteil der Multi-Faktor-Authentifizierung besteht darin, dass die gängigen Bedrohungsszenarien des Identitätsdiebstahls durch einfachen Passwortklau ausgeschlossen sind. Selbst wenn ein Angreifer in Besitz des Passworts ist, hat er noch kein Zugriff auf das System. Er benötigt hierfür mindestens einen weiteren Berechtigungsnachweis. Da diese Anmeldeverfahren ein Zugewinn an Sicherheit im Internet und bei der Nutzung von IT-Systemen darstellen, empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinen IT-Grundschutzkatalogen diese Verfahren einzusetzen. Ein Nachteil ergibt sich dadurch, dass die zusätzliche Sicherheit oft eine Einschränkung der Usability darstellt. Je mehr Faktoren bei der Anmeldung zu verwenden sind, desto aufwendiger und komplexer kann der Anmeldevorgang für den User werden. Kommt ein Faktor abhanden, ist zunächst keinerlei Zugriff auf das System möglich und es entsteht ein erheblicher Mehraufwand, den fehlenden Faktor zu ersetzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Digitale Transformation verlangt kollektiven Dauerlauf

SPD-MdB Esken zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die SPD-Bundestags­abgeordnete Saskia Esken äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion. lesen

Digitale Identitäten erfolgreich schützen

Neue Formen der sicheren Authentifizierung

Digitale Identitäten erfolgreich schützen

Obwohl das Risiko durch eine Vielzahl von Datendiebstählen bekannt ist, setzen die meisten Unternehmen weiterhin auf den klassischen Login mit Benutzername und Passwort. Je mehr Geschäfte und Verwaltungsvorgänge digital werden, desto wichtiger wird es aber, die persönlichen digitalen Identitäten besser abzusichern. lesen

Security jenseits von Firewall, Verschlüsselung und MFA

Sicherheitstechnologie im Wandel

Security jenseits von Firewall, Verschlüsselung und MFA

In den letzten Jahren ist „Sicherheit“ in vielen Branchen zum Modewort geworden, und das nicht ohne Grund. Die Bedrohung durch Datensicherheitsverletzungen ist für Branchengrößen, Haushaltsmarken und zahllose Verbraucher gleichermaßen präsent und Unternehmen achten deshalb immer stärker auf ihre internen Sicherheitsstrategien. lesen

Zero Trust – Kein Vertrauen ist auch keine Lösung

Zero Trust Konzepte und Identitäten

Zero Trust – Kein Vertrauen ist auch keine Lösung

Das Konzept Zero Trust, das ursprünglich von Forrester Research vorgeschlagen wurde, klingt einfach und bestechend: Traue niemanden! Ganz gleich, wer es ist, wo er ist, und ob er sich innerhalb oder außerhalb des Firmennetzwerks befindet. Das interne Netzwerk ist keine sichere Burg, die Angreifer finden Schlupflöcher und sind oft schon innerhalb der Burg. lesen

Cohesity will Ransomware-Angriffen Paroli bieten

Mehrstufig angelegter integrierter Sicherheitsansatz

Cohesity will Ransomware-Angriffen Paroli bieten

Das für seine hyperkonvergenten Sekundärspeicherlösungen bekannte Startup Cohesity will Ransomware-Angriffen ihren Schrecken nehmen. Hierfür spendierte der Hersteller seiner Cohesity DataPlatform eine Reihe neuer Funktionen. Thomas Boele, Senior Director Systems Engineering EMEA bei Cohesity, erläuterte im Gespräch mit Storage-Insider, wie diese aussehen und miteinander zusammenspielen. lesen

W3C macht WebAuthn zum Standard

Passwortlose Anmeldung

W3C macht WebAuthn zum Standard

WebAuthn, die Web-Authentication-Komponente von FIDO2 ist jetzt ein offizieller Web-Standard des W3C. Der neue Standard soll Anwendern eine einfachere und stärkere Authentifizierung ohne Passwörter ermöglichen. Webservices und Unternehmen sollten jetzt auf WebAuthn umsteigen, um anfällige Passwörter auszumustern und den Webnutzern zu helfen, ihre Online-Sicherheit zu erhöhen, meint Jeff Jaffe, CEO des W3C. lesen

Fünf hilfreiche Tipps, wie sie sich vor Datendiebstahl schützen können

Schutz vor Cyberkriminalität

Fünf hilfreiche Tipps, wie sie sich vor Datendiebstahl schützen können

„1234, Passwort, geheim“ – Beispiele für schlechte Passwörter, die leider immer noch verwendet werden. Dabei hat der (persönliche) Schutz im Internet höchste Priorität, denn laut einer Umfrage des Digitalverbands Bitkom ist im vergangenen Jahr jeder zweite Internetnutzer Opfer von Cyberkriminalität geworden. lesen

Passwortfreie Authentifizierung mit Remme.io

Das Ende der PKI?

Passwortfreie Authentifizierung mit Remme.io

Ein kleines Startup namens Remme.io hat sich für die vielen Unzulänglichkeiten der PKI eine innovative Lösung einfallen lassen. Die Vision der passwortfreien Authentifizierung soll durch private Schlüssel, verteilte Zertifikate und eine öffentliche Blockchain auf der Basis von Hyperledger Sawtooth Realität werden. lesen

Grundlagen der IAM-Systeme

Identity- und Access-Management (IAM)

Grundlagen der IAM-Systeme

Identity- und Access-Management-Systeme übernehmen als zentrale Authentifizierungs­plattform die Aufgabe, Benutzer zu identifizieren und Zugriff auf genau die Ressourcen zu geben, die er benötigt. Idealerweise ermöglichen IAM-System dies nur zu den Zeiten, die dafür vorgesehen sind. Dazu regeln die Lösungen den Zugriff auf alle Assets im heterogenen Netz und sorgen gleichzeitig für die Erfüllung bestehender Compliance-Vorgaben. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44820069 / Definitionen)