Hacker lesen E-Mails mit, loggen sich in Facebook-Accounts ein oder haben Einblick in Dokumente der Dropbox: Ob Google, Soziale Medien oder Online Banking-Dienste – im Internet befinden sich unendlich viele sensible Daten, die vor Hackern geschützt werden müssen. Um diese Daten noch besser abzusichern, setzen immer mehr Online-Dienste auf die Zwei-Faktor-Authentifizierung.
10. Juli 2018
|
Lesedauer: ca. 2 Min.
Bild: © CANCOM
Die Zwei-Faktor-Authentifizierung wird auch vom Bundesamt für Sicherheit in der Informationstechnik empfohlen: Demnach bietet dieses Verfahren ein hohes Maß an Sicherheit und sollte, falls möglich, ergänzend zu einem starken Passwort genutzt werden.
Doch bei weitem nicht alle Online-Dienste sind mit der Zwei-Faktor-Authentifizierung abgesichert – obwohl verschiedene Webseiten immer häufiger Opfer von Hackerangriffen werden.
Um Online-Dienste noch sicherer zu gestalten, bietet sich die Zwei-Faktor-Authentifizierung an: Hier müssen sich Nutzer mittels einer Kombination aus zwei unterschiedlichen, unabhängigen Methoden identifizieren. Neben den normalen Login-Daten kann der zweite Faktor ein weiteres Passwort, ein Security-Token, ein USB-Token oder eine biometrische Authentfizierungsmethode sein. Eine Webseite, die mit dem Verfahren der Zwei-Faktor-Authentifizierung gesichert ist, verlangt vom Nutzer also sowohl die Eingabe der normalen Zugangsdaten als auch den zweiten Faktor. Folglich wird Hackern der Zugriff auch dann verweigert, wenn sie im Besitz der Zugangsdaten sind.
In der Praxis ist der zweite Faktor häufig eine sechsstellige PIN, die auf das angemeldete Mobilgerät (beispielsweise ein Smartphone) per SMS gesendet wird. Sollte sich der Fall ergeben, dass der SMS-Dienst nicht verfügbar oder kostenpflichtig ist, bieten sich als Alternative sogenannte Authenticator Apps an. Damit kann die Zwei-Faktor-Authentifizierung auch dann genutzt werden, wenn das Smartphone offline ist. In der Regel stehen diese Apps für Android und iOS zur Verfügung. Anbieter sind beispielsweise Google, Microsoft oder LastPass.
Bei Authenticator Apps muss der Nutzer im Regelfall einen QR-Code mit den Authenticator abscannen. Daraufhin werden Codes erzeugt, die sich als zweiter Faktor zur Identifizierung nutzen lassen.
Unternehmen wie HID Global setzen im Bereich vertrauenswürdiger Online-Identifikation neue Impulse, indem sie bei ihrer Technologie “2FA-App HID Approve” die Gesichtserkennung als biometrische Authentifizierungsmethode anwenden. Diese Technologie verwendet zum Beispiel das iPhone X mit Face ID.
Auf dem frei zugänglichen Portal twofactorauth.org ist konkret aufgelistet, welche Webseiten eine Identifizierung mit diesem Verfahren verlangen. Die übersichtliche Unterteilung in Rubriken wie Cloud Computing, Finance, IoT oder Social soll sicherstellen, dass der Nutzer die gesuchte Webseite schnell findet.
Via E-Mail, Facebook oder Twitter können Online-Dienste auf dem Portal darauf hingewiesen werden, dass sie die Zwei-Faktor-Authentifizierung noch nicht unterstützen.
Die DSGVO ist seit dem 25. Mai 2018 rechtsgültig – und stellt völlig neue Ansprüche an den Datenschutz in der EU. Spätestens jetzt sind Unternehmen dazu verpflichtet, sensible, personenbezogene Daten angemessen zu schützen. Genau hier kommt die Zwei-Faktor-Authentifizierung ins Spiel: Damit lässt sich der Datenschutz DSGVO-konform gestalten.