Was ist die 2-Faktor-Authentifizierung?

Die Anmeldung mit der Zwei-Faktor-Authentifizierung erfordert einen zweiten Schritt, um sich zu authentifizieren. Anstatt nur Ihren Benutzer­namen und Ihr Pass­wort einzugeben, müssen Sie Ihre Identität zusätzlich auf andere Weise nach­weisen. Dies kann bei­spiels­weise ein Code sein, der per SMS an Ihr Telefon geschickt wird, eine persönliche Frage, die nur Sie beantworten können, Ihr Finger­abdruck oder eine separate App.

Die Zwei-Faktor-Authentifizierung wird manchmal auch als Zwei-Faktor-Authentisierung oder 2FA bezeichnet. Der Begriff MFA oder Multi-Faktor-Authentifizierung bezeichnet Authentifizierungs­methoden, die zwei oder mehr Schritte umfassen. 2FA und MFA verbessern Ihre Online-Sicherheit, indem sie es Hackern erschweren, auf Ihre Konten zuzugreifen und private Informationen zu stehlen.

Heutzutage haben viele Online-Dienste und Web­sites die Two-Factor Authentication eingeführt. Allerdings ist sie manchmal nicht standard­mäßig eingestellt und muss vom User manuell in den Konto­einstellungen aktiviert werden. Wie der jeweilige Dienst 2FA benutzt, ist unter­schiedlich. So kann die Zwei-Faktor-Authentifizierung bei­spiels­weise einmalig bei der Anmeldung auf einem neuen Gerät oder jedes Mal, wenn der Nutzer versucht, sich bei seinem Konto anzumelden, erforderlich sein.

Warum Sie 2FA verwenden sollten

Wenn Sie sich bei einem Konto anmelden, wird Ihre Identität mit einem Benutzer­namen und einem Pass­wort bestätigt. Die Verwendung eines sicheren Pass­worts ist absolut empfehlens­wert, schützt Sie jedoch nicht, wenn es gestohlen wird. Zudem gibt es heutzutage viele Methoden, Anmelde­daten zu hacken, weshalb Pass­wörter und Benutzer­namen allein nicht mehr ausreichen.

Oftmals verwenden User Ihre E‑Mail-Adresse als Benutzer­name, die in der Regel für jeden sichtbar und somit leicht herauszufinden ist. Zudem — seien wir ehrlich — ist es viel einfacher, dasselbe Pass­wort für mehrere Konten zu verwenden oder ein einfaches, leicht zu merkendes Pass­wort zu wählen. Doch damit haben Kriminelle ein Leichtes, auf viele Konten gleich­zeitig zuzugreifen. Ziehen Sie die Verwendung eines Pass­wort­managers in Betracht, um sichere Pass­wörter zu erstellen und einfach zu verwalten.

Die Vorgehens­weisen von Online-Kriminellen und Betrügern werden immer raffinierter. Deshalb müssen Sie sicher­stellen, dass sich niemand außer Ihnen bei Ihren Konten anmelden und auf Ihre sensiblen Daten zugreifen kann. Für maximalen Online-Schutz empfehlen wir, die Zwei-Faktor-Authentifizierung für so viele Benutzer­konten wie möglich zu aktivieren. Denn diese hilft Ihnen folgender­maßen:

• Verhindern Sie Konto­über­nahmen. Wenn es einem Online-Kriminellen gelingt, in Ihr Konto einzu­dringen, kann er persönliche Daten, wie z. B. Kredit­karten­informationen, stehlen und diese für Online-Einkäufe verwenden.
• Verhindern Sie Identitäts­diebstahl. Neben Konto­über­nahmen besteht auch die Gefahr, dass Sie Opfer eines Identitäts­diebstahls werden. Die Folgen können schwer­wiegend und teuer sein, wenn Sie nicht recht­zeitig handeln.
• Verhindern Sie Betrug in Ihrem Namen. Wenn Online-Kriminelle Zugang zu Ihrem Konto, z. B. in sozialen Medien, erhalten, können sie falsche Nach­richten in Ihrem Namen verbreiten. Beliebt ist bei­spiels­weise die Über­nahme von Instagram-Kontos, um Bit­coins an Ihre Follower zu verkaufen. Deshalb schützt 2FA nicht nur Sie und Ihren Ruf, sondern auch andere davor, betrogen zu werden.
• Werden Sie wachsamer. Durch die Aktivierung der 2-Faktor-Authentifizierung sind Sie gezwungen, sorg­fältiger über Ihre Online-Sicherheit nach­zudenken. Viele Menschen verwenden aus Bequem­lichkeit dasselbe Pass­wort für mehrere Konten. Die Zwei-Faktor-Authentifizierung ist ein wirksames Mittel, um das Bewusst­sein für Ihren Online-Daten­schutz und die Cyber­sicherheit zu schärfen.

So funktioniert die Multi-Faktor-Authentifizierung

Doch wie genau funktioniert die Authentifizierung in mehreren Schritten? Typische Methoden der Zwei-Faktor-Authentifizierung lassen sich in drei Kategorien einteilen:

• Etwas, das Sie kennen. Dies kann zum Beispiel ein Pass­wort, ein PIN-Code oder die Antwort auf eine persönliche Frage sein.
• Etwas, das Sie haben. Hierfür benötigen Sie einen physischen Gegen­stand, um sich zu identifizieren, z. B. Ihr Telefon oder Ihre Kredit­karte. Es gibt sogar kleine physische Geräte, sogenannte Sicherheits­schlüssel, die für die Multi-Faktor-Authentifizierung verwendet werden.
• Etwas, das Sie sind. Diese Methode der Multi-Faktor-Authentifizierung ist sehr sicher, da sie ein bio­metrisches Muster wie das Gesicht, den Finger­abdruck oder die Stimme des Benutzers verwendet.

Ganz konkret können Sie sich auf folgende Weise online verifizieren:

• Persönliche Frage: Sie können eine Sicherheits­frage einrichten, die nur Sie beantworten können. Achten Sie darauf, dass die Frage und Antwort nicht zu offensichtlich und leicht zu erraten sind.
• Einmalige Bestätigungs­nummer: Jedes Mal, wenn Sie sich anmelden, erhalten Sie einen PIN-Code als Text­nach­richt auf Ihr Gerät, um Ihre Identität zu bestätigen.
• Gesichts­erkennung: Die Anmeldung gelingt nur, wenn das Gerät ihr Gesicht gescannt und erkannt hat.
• Finger­abdruck: Da jeder menschliche Finger­abdruck einzig­artig ist, können Sie sich mit diesem eindeutig identifizieren. Moderne Smart­phones können Ihren Finger­abdruck über den Touch­screen des Geräts lesen.
• Stimm­erkennung: Um Zugang zu Ihrem Konto zu erhalten, muss das Gerät Ihre Stimme erkennen. Die Stimm­erkennung kann jedoch gegebenenfalls mit aufgenommenen Stimm­proben des echten Users über­listet werden.
• QR-Code: Um sich anzumelden, müssen Sie einen QR-Code mit einer App scannen.
• Authentifizierungs-App: Viele Institutionen wie Banken verwenden eine zusätzliche Authentifizierungs-App. Nachdem Sie Ihre Anmelde­daten eingegeben haben, sendet der Dienst eine Authentifizierungs­anfrage an die separate App auf Ihrem Mobil­gerät.
• Sicherheits­schlüssel oder Token: Physische Sicherheits­schlüssel wie USB-, NFE- oder Blue­tooth-Geräte bestätigen Ihre Identität. Da Sie diese bei sich tragen, sind sie sicher, sofern sie nicht gestohlen werden.

Wie Hacker die 2-Faktor-Authentifizierung umgehen

Obwohl die Zwei-Faktor-Authentifizierung den Schutz Ihrer Online-Konten verbessert und das Hacken Ihrer Konten erschwert, gibt es immer noch Wege, wie Cyber-Kriminelle die 2-Faktor-Authentifizierung umgehen können.

Social Engineering

Beim Social Engineering nutzen Online-Kriminelle die größte Schwach­stelle der Cyber­sicherheit: das Opfer selbst. Die Manipulation von Nutzern, um ihre sensiblen Daten zu stehlen und Zugang zu ihren Konten zu erhalten, wird als Social Engineering bezeichnet. Eine gängige Methode des Social Engineering ist Phishing. Dabei werden SMS und E‑Mails versendet, um Menschen dazu zu bringen, vertrauliche Informationen preis­zugeben oder das Gerät des Opfers mit Malware zu infizieren.

Um die Zwei-Faktor-Authentifizierung zu umgehen, könnten sich Betrüger als vertrauens­würdige Organisation ausgeben und eine Ausrede erfinden, warum das Opfer seinen Sicherheits­code preis­geben sollte. Ist der Angreifer bereits im Besitz des Benutzer­namens und des Pass­worts des Opfers, kann er mit dem 2FA-Code in das Konto eindringen.

Brute Force

Ein Brute-Force-Angriff bezieht sich auf die wieder­holten Versuche, sich bei einem Konto anzumelden. Dies geschieht meist mit einer Soft­ware, die versucht, das Pass­wort eines Kontos zu erraten. Wenn es kein Limit gibt, wie oft ein Angreifer ein falsches Pass­wort eingeben kann, wird er früher oder später den Code knacken, sofern das Pass­wort nicht sicher genug ist. Je länger und komplexer das Pass­wort ist, desto länger dauert es, es gewaltsam zu erraten.

Das Gleiche gilt für 2FA-Codes. Vor allem wenn der Code kurz ist und nur aus vier bis sechs Zahlen besteht, kann er mit Brute Force geknackt werden. Um dies zu verhindern, sollte der Code nur für eine kurze Zeit aktiv oder die Authentifizierung auf wenige Fehl­versuche beschränkt sein.

Wieder­verwendete Tokens

Viele Methoden der Benutzer­authentifizierung erzeugen ein Token, das zur sofortigen Authentifizierung verwendet wird. In einigen Fällen existiert eine bereits erstellte Liste von Tokens. Der Hacker kann die Zwei-Faktor-Authentifizierung umgehen, wenn er weiß, welchen Tokens der Liste er verwenden muss. Allerdings benötigt er hierfür auch den Benutzer­namen und das Pass­wort des Opfers.

Malware

Online-Kriminelle können Malware verwenden, um die Zwei-Faktor-Authentifizierung zu umgehen und bei­spiels­weise auf das Bank­konto des Opfers zuzugreifen. Einige fort­schrittliche Android-Banking-Trojaner sind in der Lage, sich als legitime Banking-Apps auszugeben und das Opfer dazu zu bringen, den Zugang der Kriminellen selbst zu authentifizieren. Auch bei vielen Krypto­währungs­diensten richtet Malware Schaden an.

Änderung der Privat­sphäre-Einstellungen des Opfers

Der für 2FA verwendete Sicherheits­code oder das Token wird häufig per SMS an das Gerät des Nutzers gesendet. Indem Cyber­kriminelle die Sicherheits­einstellungen Ihrer Opfer ändern, wie bei­spiels­weise die Telefon­nummer, an die der Sicherheits­code gesendet wird, können sie diese Authentifizierungs­methode ausnutzen. Anstatt dass der tatsächliche Besitzer des Kontos den erforderlichen Sicherheits­code erhält, wird er an die Kriminellen gesendet. Diese können ihn anschließend für den Zugriff auf das Konto des Opfers verwenden.