Was ist Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung (2FA oder TFA) ist der technische Begriff für den Prozess, bei dem ein Benutzer seine Identität auf zwei eindeutige Arten verifizieren muss, bevor er Zugang zu einem System erhält. Traditionell haben sich Benutzer auf gewohnte Authentifizierungssysteme verlassen, bei denen sie eine eindeutige Kennung wie eine E-Mail-Adresse, einen Benutzernamen oder eine Telefonnummer und ein korrektes Passwort oder eine PIN angeben müssen, um Zugang zum System zu erhalten.
2FA erweitert dieses Paradigma, indem es einen zusätzlichen Schritt zum Authentifizierungsprozess hinzufügt. Meistens muss der Benutzer ein einmaliges Token eingeben, das dynamisch generiert und über eine Methode bereitgestellt wird, auf die nur der Benutzer Zugriff hat. Eine weitere gängige Methode ist die Verwendung biometrischer Daten des Benutzers, wie z.B. Fingerabdrücke oder Netzhaut, als zweiter Faktor.
Erhöhte Sicherheit und Gewissheit
Die Zwei-Faktor-Authentifizierung ist nicht neu, tatsächlich wurde die Technologie bereits 1984 entwickelt. Sie wird in der modernen Welt immer wichtiger, da sich immer mehr Bereiche unseres Lebens, sowohl im persönlichen als auch im geschäftlichen Bereich, auf digitale Medien verlagern und die Bedrohung durch Hacker, Diebstahl und Zugriffsverlust schwerwiegende Folgen haben kann.
Seit Jahren versuchen Unternehmen, die Sicherheit der Benutzerauthentifizierung zu erhöhen, indem sie immer höhere Anforderungen stellen, wie z.B. die Länge des Passworts, Sonderzeichen, häufiges Ändern des Passworts, ausgeklügelte Hashing- und Salting-Algorithmen, die das eigentliche Passwort verbergen und vieles mehr. Letztendlich ist ein reines Passwortsystem immer noch anfällig, da die Benutzer dazu neigen, dasselbe Passwort für mehrere Systeme zu verwenden. Phishing und Social-Engineering-Techniken, die den Benutzer dazu bringen, sein Passwort unwissentlich preiszugeben, sind nur allzu häufig anzutreffen, und viele andere Szenarien können dazu führen, dass ein Passwort kompromittiert wird.
Die Zwei-Faktor-Authentifizierung gibt dem Benutzer und dem Systemadministrator Sicherheit, da sie sicherstellt, dass selbst bei einer Kompromittierung des Benutzerpassworts nicht auf das Konto zugegriffen werden kann, ohne dass nicht nur die als zweiter Faktor verwendete Methode bekannt ist, sondern auch der zweite Faktor wie ein dynamisch generiertes Einmal-Passwort (OTP) oder ein biologisches Token zur Verfügung steht.
Etwas, das Sie wissen, haben und sind
Die Zwei-Faktor-Authentifizierung basiert darauf, dass der Benutzer zwei der folgenden drei „etwas“ bereitstellt:
- Etwas, das Sie wissen–das Passwort oder die PIN für ein Konto
- Etwas, das Sie haben–ein physisches Gerät wie ein Mobiltelefon oder eine Softwareanwendung, die Einmal-Passwörter erzeugen kann
- Etwas, das Sie sind–ein biologisch einzigartiges Merkmal von Ihnen wie Ihre Fingerabdrücke, Ihre Stimme oder Ihre Netzhaut
Die meisten Hacker haben es darauf abgesehen, das Passwort oder die PIN für ein Konto zu erfahren. Auf einen physischen Token-Generator zuzugreifen oder biologische Merkmale zu erhalten, ist schwieriger und der Grund, warum 2FA effektiv für mehr Sicherheit bei Benutzerkonten sorgt.
Arten der Zwei-Faktor-Authentifizierung
Es gibt zahlreiche Möglichkeiten, 2FA zu implementieren. Sie haben alle ihre Vor- und Nachteile, aber alle erhöhen die Sicherheit von Benutzerkonten erheblich, wenn sie implementiert werden. Das Wichtigste bei allen hier besprochenen Methoden ist, dass der Benutzer, nachdem er seinen Benutzernamen und sein Passwort verifiziert hat, ein zweites Passwort eingeben muss, das dynamisch generiert wird und sich ständig ändert, bevor er auf das System zugreifen kann.
Unternehmen legen oft zusätzliche Regeln fest, wann und wie 2FA verwendet wird. Der Benutzer muss möglicherweise keine 2FA verwenden, wenn er sich im Intranet des Unternehmens oder auf einem Gerät befindet, für das er zuvor 2FA zur Anmeldung verwendet hat. In anderen Fällen kann es sein, dass der Benutzer bei jeder einzelnen Authentifizierung 2FA verwenden muss. Auth0 unterstützt diese und andere benutzerdefinierte Implementierungsregeln, um den geschäftlichen Anforderungen gerecht zu werden.
SMS-Token
Dies ist vielleicht die gängigste Methode zur Implementierung von 2FA. Bei dieser Methode wird dem Benutzer nach erfolgreicher Eingabe seines Benutzernamens und Kennworts ein eindeutiges Token per SMS gesendet, normalerweise ein 5-10-stelliger Code. Der Benutzer muss dann dieses eindeutige Token angeben, bevor er Zugang erhält.
Vorteile:
- Benutzerfreundlich – die meisten Benutzer haben kein Problem damit, Textnachrichten zu erhalten
- Verfügbarkeit – die meisten Telefone haben SMS-Funktionen
- Kosten – kostengünstig in der Einrichtung und Wartung
Nachteile:
- Konnektivität–Mobilfunksignal und Empfang erforderlich, um Token zu empfangen
- Sicherheit–SMS-Nachrichten können von Dritten abgefangen werden
- Hardware–physisches Gerät erforderlich. Wenn das Telefon verloren geht oder gestohlen wird, kann sich der Benutzer nicht authentifizieren
E-Mail-Token
Eine weitere gängige Methode der Zwei-Faktor-Authentifizierung. Diese Methode ist der obigen SMS-Methode sehr ähnlich, aber übliche Implementierungen beinhalten, dass der Benutzer ein 5-10 alphanumerisches Token eingibt oder auf einen in der E-Mail angegebenen Link klickt. Auch dynamisch generierte Einmal-Passwörter werden hier verwendet.
Vorteile:
- Benutzerfreundlich–Benutzer können E-Mails sowohl auf Computern als auch auf mobilen Geräten empfangen
- Kosten – kostengünstig in der Einrichtung und Wartung
- Optionen–kann dem Benutzer zusätzliche Optionen zur Verifizierung des Token geben, wie z.B. das Anklicken eines Links
1 2 2 1
- Zustellung–Es gibt viele Möglichkeiten, dass eine E-Mail nicht zugestellt werden kann, z.B. wenn sie in Spamordner landet, vom Server zurückgewiesen wird, die Warteschlange für die Zustellung überfüllt ist, was zu einer Verzögerung bei der Zustellung führt usw.
- Sicherheit–E-Mails können von Dritten abgefangen und Token kompromittiert werden
- Redundanz–wenn ein Dritter Zugang zu den Anmeldedaten des Benutzers erhält, ist es möglich, dass er auch auf die E-Mails zugreift und auf diese Weise leicht an den Token gelangt
Hardware-Token
Diese Methode ist in Unternehmensumgebungen üblich, kann aber in jedem System verwendet werden. Bei dieser Methode erhält der Benutzer ein physisches Gerät wie einen Schlüsselanhänger, einen USB-Dongle oder ein anderes Gerät, das dynamisch ein Token für den Benutzer erzeugt. Diese Token sind in der Regel nur für kurze Zeiträume gültig, manche sogar nur 30 Sekunden lang, und ändern sich ständig.
Vorteile:
- Standalone–benötigt keinen Empfang, keine Online-Verbindung oder andere Faktoren, um Token zu erzeugen
- Zuverlässig–Hardware-Token sind speziell dafür konzipiert, nur Token zu erzeugen
- Sicherheit–da diese Geräte nur eine Aufgabe erfüllen, sind die möglichen Angriffsflächen stark reduziert
Nachteile:
- Kosten – kostengünstig in der Einrichtung und Wartung
- Hardware – Geräte können leicht verlegt, vergessen und verloren werden
- Zu viele Geräte–ein Hardware-Gerät für mehrere Dienste zu haben, kann dazu führen, dass der Benutzer keine 2FA verwenden möchte
Software-Token
Software-Token erfordern, dass der Benutzer eine Anwendung herunterlädt und installiert, die auf seinem Computer oder mobilen Gerät läuft und dynamisch Token für den Benutzer generiert. Seit dem Aufkommen von Smartphones wird diese Methode immer beliebter. Software-Token funktionieren ähnlich wie Hardware-Token, da sie nach dem Zufallsprinzip generiert werden und nur für einen kurzen Zeitraum gültig sind, bevor sie ausgetauscht werden. Die Entwickler können jedoch eine Reihe von verschiedenen Implementierungen wählen, um den Anforderungen des Unternehmens gerecht zu werden.
Vorteile:
- Benutzerfreundlich–Apps haben in der Regel einfache Schnittstellen, die dem Benutzer nur das Token anzeigen
- Aktualisierungen–einfache Aktualisierung der Software und Anwendung von Patches bei Bedarf
- Erweiterbarkeit–die Möglichkeit, erweiterte Funktionen hinzuzufügen, wie z.B. die Notwendigkeit einer PIN für den Zugriff auf die App oder die Verwendung einer einzigen App für mehrere Konten
Nachteile:
- Kosten–teuer in Implementierung und Wartung
- Zusätzliche Software–der Benutzer muss zusätzliche Software herunterladen und auf seinen Geräten installieren
- Sicherheit–die Anwendung, die zur Erzeugung des Token verwendet wird, kann ohne Wissen des Benutzers kompromittiert werden
Telefonanruf
Bei dieser 2FA-Methode wird der Benutzer nach der Authentifizierung seines Benutzernamens und Passworts angerufen und erhält das Token. Dies ist vielleicht die unbequemste Methode für den Endbenutzer, aber es ist eine praktikable und gängige Methode, um dem Benutzer dynamische Token zukommen zu lassen.
Vorteile:
- Benutzerfreundlich–so einfach wie ein Telefonanruf
- Kosten–kostengünstig in der Einrichtung und Implementierung
- Zuverlässigkeit–im Allgemeinen benötigt der Sprach-/SMS-Empfang weniger Bandbreite als der Datenempfang, sodass er eine gute Alternative zur Software- oder E-Mail-basierten Überprüfung sein kann, wenn eine Datenverbindung erforderlich ist
Nachteile:
- Sicherheit–Anrufe können abgefangen, weitergeleitet oder Voicemails gehackt werden
- Konnektivität–Mobilfunksignal und -empfang sind erforderlich
- Hardware–erfordert ein physisches Gerät, um das Token zu empfangen
Biometrische Verifizierung
Diese Methode der 2FA ist einzigartig und unterscheidet sich von den anderen, die wir bisher erwähnt haben. Die biometrische Verifizierung beruht darauf, dass der eigentliche Benutzer das Token ist. Ein einzigartiges Merkmal wie der Fingerabdruck oder die Retina des Benutzers wird verwendet, um zu überprüfen, ob der Benutzer derjenige ist, der er vorgibt zu sein.
Vorteile:
- Der Benutzer wird zum Token–seien Sie einfach Sie selbst!
- Optionen–viele verschiedene Optionen für den Token, einschließlich Fingerabdrücke, Netzhaut, Stimme und Gesichtserkennung
- Benutzerfreundlich–minimale Kenntnisse über die Funktionsweise der Systeme durch den Endbenutzer erforderlich
Nachteile:
- Datenschutz–die Speicherung biometrischer Daten wirft Fragen bezüglich Datenschutz auf
- Sicherheit–Fingerabdrücke und andere biometrische Daten können kompromittiert werden und lassen sich nicht ändern
- Zusätzliche Hardware–erfordert spezielle Geräte zur Verifizierung biometrischer Daten - Kameras, Scanner usw.
Implementieren der Zwei-Faktor-Authentifizierung mit Auth0
Die Implementierung von 2FA mit Auth0 ist leicht und einfach. Sie können 2FA mit unserer Guardian App oder mit 2FA-Anbietern von Drittanbietern implementieren. Wir bieten zwei beliebte 2FA-Anbieter, Google Authenticator und Duo, die mit minimalem Aufwand in nur wenigen Minuten eingerichtet werden können.
Zusätzlich können Sie benutzerdefinierte Anbieter und Regeln implementieren, um den Workflow für 2FA zu verbessern und auf die Bedürfnisse Ihres Unternehmens abzustimmen. Sehen wir uns an, wie dieser Prozess mit Guardian funktioniert.
Zwei-Faktor-Authentifizierung mit Auth0 und Guardian
Die Implementierung von 2FA mit Auth0 und Guardian kann in nur zwei Schritten erfolgen.
- Navigieren Sie im Auth0 Management Dashboard zum Abschnitt Multi-Faktor-Authentifizierung (Multifactor Auth).
- Aktivieren Sie, wie Ihre Benutzer ihre 2FA-Codes erhalten sollen. Sie können Push-Benachrichtigungen (push notifications), SMS oder beides wählen.
- (Optional) Legen Sie fest, für welche Ihrer Auth0-Anwendungen 2FA aktiviert werden soll, und nehmen Sie bei Bedarf weitere Konfigurationsänderungen vor.
Speichern Sie Ihre Änderungen und 2FA mit Guardian wird für Ihre Anwendung aktiviert! Wenn ein Benutzer das nächste Mal versucht, sich anzumelden, wird er aufgefordert, 2FA einzurichten, bevor er Zugriff auf Ihre App erhält.
Adaptiver kontextabhängiger Multifaktor
Der adaptive kontextabhängige Multifaktor ermöglicht es Ihnen, 2FA oder zusätzliche Authentifizierungsebenen auf der Grundlage verschiedener Bedingungen zu erzwingen, wie z.B.: geografischer Standort, Tageszeit/Woche, Art des Netzwerks, benutzerdefinierte Domains, bestimmte IPs oder jede beliebige Bedingung, die in Code auf der Auth0-Plattform ausgedrückt werden kann.
Standardmäßig wird 2FA nur einmal pro Monat angefordert, aber Sie können erzwingen, dass es bei jeder Anmeldung des Benutzers angefordert wird, oder sogar Ihre eigenen Regeln definieren, um 2FA auszulösen.
Sie können Regeln definieren, z.B. für den Zugriff auf geschäftskritische Anwendungen von außerhalb des Intranets Ihres Unternehmens, für den Zugriff von einem anderen Gerät oder von einem neuen Standort aus.