Ein sicheres Kennwort reicht oft nicht aus, um Ihre Benutzerkonten und Online-Dienste ausreichend zu schützen. Deshalb vertrauen viele Anbieter auf eine zweite Sicherheitsschranke. Selbst wenn die erste überwunden werden sollte, ist Ihr Online-Konto noch durch die zweite Maßnahme geschützt. Denn der Anmeldeprozess besteht aus zwei Schritten.
Was ist eine Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung heißt auch Zwei-Stufen-Authentifizierung oder doppelte Authentifizierung. Der Begriff wird mit 2FA (»Two-Factor Authentication«) abgekürzt. Ein typisches 2FA-Beispiel ist die Nutzung Ihrer Girokarte zusammen mit Ihrer persönlichen PIN-Nummer für diese Girokarte am Bankautomaten. Nur wenn Sie sowohl die Karte als auch die PIN besitzen, können Sie Geld abheben.
Damit erschwert es die sogenannte Zwei-Faktor-Authentifizierung Dritten, sich Zugang zu Ihren Konten zu verschaffen. Banken müssen heute schon für Ihr Online-Banking einen doppelten Anmeldevorgang verpflichtend umsetzen.
Im Rahmen unserer Domain-Security können Sie auch den Login in Ihr Domain-Portfolio mit einer doppelten Authentifizierung absichern.
Wie funktioniert eine Zwei-Faktor-Authentifizierung?
Wenn Sie sich bei einem Online-Konto nur mit Ihrem Kennwort anmelden, spricht man von einer Ein-Faktor-Authentifizierung (Single-Factor Authentication, SFA). Das Kennwort ist bei dieser Anmeldemethode Ihre einzige Sicherheitsstufe.
Im Gegensatz dazu kombiniert die Zwei-Faktor-Authentifizierung zwei Sicherheitsfaktoren miteinander. Neben dem Kennwort wird eine weitere Authentifizierungstechnik verwendet, z. B. ein zeitlich begrenzt verwendbarer Code. Damit ist eine 2-stufige Überprüfung bei der Anmeldung bei einem Konto oder Programm möglich.
Die Sicherheitsfaktoren: Wissen, Besitz und Biometrie
Die Authentifizierungstechniken werden in die drei Kategorien Wissen, Besitz und Biometrie eingeteilt. Um eine hohe Sicherheit von Daten und Diensten zu gewährleisten, werden die Sicherheitsfaktoren aus verschiedenen Kategorien kombiniert.
In der Praxis sieht das so aus, dass zur Sicherheitsstufe »Wissen« eine weitere Sicherheitsschranke aus dem Bereich »Besitz« oder »Biometrie« hinzukommt. Das sind die Standard-Sicherheitsfaktoren:
Kategorie »Wissen«
- Statisches Passwort
- Passphrase
- PIN-Nummer
- Persönliche ID-Nummer
Kategorie »Besitz«
- Bankkarte (Giro- und Kreditkarte)
- TAN-Generator (von Banken und Sparkassen)
- Mobiltelefon
- Chipkarte
- Krypto-Stick (im USB-Format, z. B. YubiKey)
- Einmalpasswort
Kategorie »Biometrie«
- Fingerabdruck
- Iris-/Retinaerkennung
- Stimmerkennung
- Gesichtserkennung
Anmeldevorgang: Authentisierung plus Authentifizierung
Der Login mit einer Zwei-Faktor-Authentifizierung ist eine zweistufige Überprüfung. Zunächst melden Sie sich mit Ihrem Benutzernamen und dem sicheren Passwort an, das Sie selbst festgelegt haben. Das ist eine Authentisierung (Überprüfung) durch Ihre Anmeldedaten. Sind Ihre Login-Daten gültig, müssen Sie in einem zweiten Schritt eine Authentifizierung (Identitätsprüfung) durchführen. Das kann dann unter anderem die Eingabe eines zugesendeten Einmalkennworts oder Ihr Fingerabdruck sein.
Praxis: So nutzen Sie eine Zwei-Faktor-Authentifizierung?
Beim Online-Banking könnte eine 2FA konkret so aussehen:
- Sie melden sich am PC über den Browser mit Ihren Zugangsdaten bei Ihrem Online-Konto an. Ihre Zugangsdaten sind Benutzername und Kennwort, manchmal auch Zugangsnummer und Internetbanking-PIN.
- Sie öffnen dann die Banking-App auf Ihrem Mobiltelefon. Sie müssen dazu möglicherweise Ihre App-PIN eingeben.
- Und schließlich bestätigen Sie in der App die Anmeldung bei Ihrem Online-Konto im Browser.
- Erst dann können Sie am PC Ihr Konto einsehen, Überweisungen tätigen usw.
Nach der Eingabe Ihres Benutzernamens und Kennworts, um sich bei einem Konto anzumelden, gibt es neben der Nutzung einer Banking-App noch weitere Möglichkeiten zur Authentifizierung.
Mit einer SMS: Sie erhalten eine SMS-Nachricht mit einem Bestätigungscode. Der Code besteht häufig aus wenigen Zahlen und/oder Buchstaben. Sie haben dann wenige Minuten Zeit, diesen Code einzugeben. Erst wenn Sie den Code richtig eingetippt haben, ist die Anmeldung abgeschlossen. Bei dieser Sicherheitsstufe hinterlegen Sie vorher Ihre Smartphone-Nummer beim Online-Dienst.
Mit einem Einmalpasswort: Nach der Standard-Anmeldung erhalten Sie das Einmalkennwort (One-Time-Password, OTP) zum Beispiel per E-Mail an Ihre hinterlegte E-Mail-Adresse. Dieses temporäre Passwort muss innerhalb eines bestimmten Zeitfensters von bis zu wenigen Minuten eingegeben werden.
Mit einem Anruf: Einen Bestätigungscode als zweite Sicherheitsstufe können Sie auch mit einem Anruf erhalten. Das heißt, Sie erhalten für den zweiten Schritt des Anmeldevorgangs einen Anruf auf das Festnetz- oder Mobiltelefon. Eine Computer-generierte Stimme teilt Ihnen dann den Code mit.
Mit einem Sicherheitsschlüssel: Der Sicherheitsschlüssel sieht aus wie ein USB-Stick. Er wird allerdings nicht zum Speichern von Daten verwendet, sondern enthält einen digitalen Sicherheitsschlüssel. Sie schließen diesen Schlüssel an Ihrem Computer oder Mobilgerät an. Wenn Sie im ersten Schritt Ihren Benutzernamen und Ihr Kennwort eingegeben haben, müssen Sie im zweiten Schritt den Knopf auf diesem Stick drücken.
Tipp: Lesen Sie in unseren Blog-Artikel »Ein sicheres Passwort generieren«, wie Sie Ihre Passwörter sicher erstellen und verwalten.
Häufig gestellte Fragen zur Zwei-Faktor-Authentifizierung
Wie sicher ist die Zwei-Faktor-Authentifizierung?
Bei der Ein-Faktor-Authentifizierung werden nur Benutzername und Kennwort abgefragt. Da der Benutzername häufig eine E-Mail-Adresse ist, die leicht herauszufinden ist, ist dieses Verfahren relativ unsicher. Denn das dazugehörige Kennwort kann mitunter schnell geknackt werden, beispielsweise über ein Datenleck oder wenn das Kennwort zu schwach ist (wie »abc« oder »12345«).
Die Zwei-Faktor-Authentifizierung bietet eine höhere Sicherheit, da ein weiterer Anmeldeschritt durchgeführt werden muss. Es gilt: Je mehr Authentifizierungstechniken verwendet werden, desto sicherer ist die Prüfung der Identität. Das heißt, Dritten wird es damit viel schwerer gemacht, sich Zugang zu einem Computer, Netzwerk oder einem Konto zu verschaffen. Selbst wenn Hacker oder Cyberkriminelle die erste Sicherheitshürde überwunden haben, weil sie das Kennwort geknackt haben, wird der Computer, das Netzwerk oder das Konto durch einen weiteren Sicherheitsfaktor geschützt, etwa durch einen Fingerabdruck.
Werden übrigens drei Sicherheitsstufen verwendet, spricht man von einer Drei-Faktor-Authentifizierung. Und bei vier Sicherheitsstufen von einer Vier- oder Multi-Faktor-Authentifizierung.
Es wird generell empfohlen, immer eine Zwei-Faktor-Authentifizierung zu nutzen, wenn diese von Ihrem Anbieter angeboten wird.
Was ist der Unterschied zwischen Passwort, Passphrase und Einmalpasswort?
Ein Passwort wird von Ihnen selbst erstellt. Sie verwenden Buchstaben und Zahlen (und ggf. Sonderzeichen) für Ihr Kennwort, das für Dritte zwar schwer zu erraten, aber für Sie leichter zu merken ist. Die Länge eines Passworts bewegt sich häufig zwischen sechs und zehn Zeichen. Ein Beispiel für ein gutes Kennwort wäre »StrAnd!2007«. Längere Kennwörter erhöhen die Sicherheit jedoch erheblich.
Ein Kennwort wird immer dann als Passphrase bezeichnet, wenn es zufällig generiert wird und keine »lesbaren« Wörter mehr hat. Es besteht immer aus Klein- und Großbuchstaben, Zahlen und Zeichen. Eine Passphrase ist außerdem deutlich länger als ein Kennwort und kann manchmal sogar mehr als hundert Zeichen enthalten. Ein Beispiel für eine Passphrase wäre »WjhS?dwE%1yz65X«. Ähnlich wie ein langes Kennwort bietet eine Passphrase eine viel höhere Sicherheit, da sie nicht erraten werden kann und kaum zu knacken ist. Wie Sie ein sicheres Passwort erstellen können, lesen Sie in unserem Blogartikel Ein sicheres Passwort erstellen & sichern.
Ein Einmalkennwort wird – wie der Name schon sagt – nur ein einziges Mal für den Login verwendet und ist temporär. Dieses zufällig generierte Kennwort wird bei jeder Anmeldung in der Regel per SMS oder E-Mail an Sie verschickt. Dieses müssen Sie dann als weiteren Sicherheitsschlüssel eingeben.
Wo kann man eine doppelte Authentifizierung nutzen?
Die Zwei-Stufen-Authentifizierung wird in vielen Bereichen genutzt und angeboten:
- Bezahlung mit Kredit-, Debit- oder Girokarte
- Online-Banking
- Anmeldung bei Ihren Online-Konten (z. B. Krankenkasse)
- Online-Abgabe Ihrer Steuererklärung (z. B. über Elster)
- Nutzung der Online-Ausweisfunktion Ihres Personalausweises
- Online-Shopping
- Nutzung von Zahlungsdiensten (z. B. PayPal)
- Anmeldung bei Ihren E-Mail- oder Social-Media-Konten
- Zugriff auf Anwendungen, Programme und Cloud-Dienste