Multi-Faktor-Authentisierung

Die Multi-Faktor-Authentifizierung (MFA), auch Multifaktor-Authentisierung, ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Das Bundesamt für Sicherheit in der Informationstechnik hat in seinen IT-Grundschutzkatalogen auch Empfehlungen zur Multi-Faktor-Authentisierung für Cloudanwendungen herausgegeben.^[1]

Faktoren

Möglich sind mehrere Faktoren. Verbreitet sind zurzeit

• „knowledge“, also „Wissen“, etwas, das der Nutzer weiß (beispielsweise ein Passwort),
• „ownership“, also „Besitz“, etwas, das nur der Nutzer besitzt (beispielsweise ein Mobiltelefon),
• „inherence“, also „Inhärenz“, etwas, das der Nutzer ist (beispielsweise ein Fingerabdruck),^[2]
• „location“, also „Ort“, ein Ort, an dem sich der Nutzer befindet.^[3]

Als Beispiel für mehrere Faktoren kann das Geld-Abheben an einem Geldautomaten betrachtet werden: Der Bankkunde muss seine Bankkarte besitzen („ownership“) sowie seine PIN kennen („knowledge“).

Wissen

Wissen ist der meist genutzte Faktor zur Authentisierung. Beispiele sind Passwörter, aber auch ein Geburtsdatum und andere Sicherheitsfragen.

Besitz

Authentisierung durch Besitz kann physisch durch SmartCards erfolgen oder auch digital durch kryptographische Schlüssel.^[4]

Inhärenz

Zu Inhärenz zählen insbesondere biometrische Authentisierungsmethoden wie der Fingerabdruck, Gesichtserkennung, Sprecherauthentifizierung oder Iris-Erkennung.^[5]

Angriffe

Die häufige Authentisierung durch SMS kann über verschiedene Wege ausgehebelt werden. So können unter Android gefälschte Apps Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten.^[6] Zudem können Angriffe direkt auf das im Mobilfunknetz verwendete Signalling-System-7-Protokoll (SS7) abzielen: Angreifer können SMS, die zur Authentisierung bestimmt sind, auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusätzlichen Sicherheitsfaktor aushebeln.^[7] Auf diese Weise wurden 2017 bei einem groß angelegten Angriff Kunden des Mobilfunkanbieters O₂ durch unberechtigte Abbuchungen von ihren Bankkonten betrogen.^[8]

Gesetzgebung

Europäische Union

Seit dem 1. Januar 2021 sind europäische Kreditinstitute durch die Zahlungsdiensterichtlinie PSD2 dazu verpflichtet, dem Kunden eine SKA (Starke Kundenauthentifizierung) anzubieten. Die bedeutet, dass Transaktionen durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden müssen.^[9]

Patente

Der Unternehmer und Internetaktivist Kim Dotcom behauptete 2013 öffentlichkeitswirksam, die Zwei-Faktor-Authentisierung erfunden und im Jahr 2000 zum Patent^[10] angemeldet zu haben. Ebenso hielt er ein europäisches Patent. Die Europäische Union entzog ihm jedoch im Jahr 2011 das Patent, unter anderem, weil AT&T ebenfalls ein Patent auf die Technologie angemeldet hatte, jedoch bereits 1995. Dotcoms Patent in den USA hat zwar weiter Bestand, jedoch hält AT&T auch dort ein älteres Patent.^[11]

Verwandte Artikel

• Zwei-Faktor-Authentisierung

Einzelnachweise

1. M 4.441 Multifaktor-Authentisierung für den Cloud-Benutzerzugriff (Memento vom 12. September 2015 im Internet Archive), BSI, Stand: 14. EL Stand 2014.
2. Andrea Saracino: Emerging Technologies for Authorization and Authentication. Springer International Publishing, Luxembourg City 2019, ISBN 978-3-03039749-4, S. 140, doi:10.1007/978-3-030-39749-4. 
3. Sharma Seema: Location Based Authentication. Hrsg.: University of New Orleans. 2005 (uno.edu). 
4. Henk C. A. van Tilborg: Encyclopedia of Cryptography and Security. Hrsg.: Springer Science & Business Media. 2011, ISBN 978-1-4419-5905-8, S. 1305 (springer.com). 
5. Norbert Pohlmann: Identifikation und Authentifikation. 2019, S. 87 (norbert-pohlmann.com [PDF]). 
6. Philipp Anz: Angriff auf SMS-basierte 2-Faktor-Authentifizierung. In: Inside IT. 17. Juni 2019, abgerufen am 20. Januar 2021. 
7. Bernd Kling: 31C3: SS7-Protokolle ermöglichen Angriffe auf Mobiltelefone. In: ZDNet. ZDNet, 29. Dezember 2014, abgerufen am 20. Januar 2021. 
8. Anja Schmoll-Trautmann: Hacker räumen Bankkonten von O2-Kunden leer. In: ZDNet. ZDNet, 3. Mai 2017, abgerufen am 20. Januar 2021. 
9. PSD2. In: Deutsche Bundesbank. Deutsche Bundesbank, archiviert vom Original am 5. Januar 2021; abgerufen am 20. Januar 2021.   Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bundesbank.de 
10. Patent US6078908: Method for authorizing in data transmission systems. Erfinder: Schmitz, Kim.‌
11. Jon Brodkin: Kim Dotcom claims he invented two-factor authentication—but he wasn't first. In: Ars Technica. 23. Mai 2013, archiviert vom Original (nicht mehr online verfügbar) am 9. Juli 2019; abgerufen am 20. Januar 2021.