Die Zwei-Faktor-Authentisierung soll Nutzern mehr Sicherheit bei Logins bieten. Das tut sie auch, sagt eine Expertin. Jedoch ranken sich immer noch Mythen um die 2FA.

Bremen – Angesichts zunehmender digitaler Bedrohungen wie Phishing-Versuchen oder Hacker-Angriffen, vor denen auch das Bundesamt für Sicherheits- und Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit (2021) warnt, sind viele Verbraucher darum bemüht, ihre Sicherheit in den Weiten des Internets zu wahren. Auch, weil von Sicherheitslücken schnell wichtige Dienste wie das eigene Online-Banking betroffen sein können.

Dabei kann beispielsweise eine zusätzliche Authentifizierung über einen extern von einer App bereitgestellten Code helfen. Etwa der Suchmaschinen-Riese Google bietet eine solche mit seinem „Authenticator“ an. Doch gerade Logins auf neuen Geräten oder anderen als den üblichen Geräten können dadurch mit einem scheinbar vermeidbaren Mehraufwand verbunden sein – und Nutzern manchmal sogar Nerven kosten.

Macht die Zwei-Faktor-Authentisierung Logins für Internetnutzer sicherer?

Die sogenannte Zwei-Faktor-Authentisierung (2FA) soll den Login-Prozess für Internetnutzer sicherer machen. Um sich durch ihn verifizieren zu lassen, müssen Nutzer nach der üblichen Login-Eingabe ihrer E-Mail-Adresse und ihres Passwortes auch noch einen Code eingeben. Dieser wurde zuvor von der Authenticator-App individuell für den Nutzer erstellt.

„Angreifer, die über Social Engineering oder Datenleaks an Nutzername und Passwort gelangt sind, können das betreffende Online-Konto ohne den 2FA-Code nicht einfach übernehmen“, heißt es dazu seitens der Experten der Tuch-Plattform chip.de. 

+

Dem stimmt auch Sicherheitsforscherin Anna Lena Fehlhaber von der Universität Hannover zu, die dort als Dozentin im Bereich „Human Factors in Cybersecurity“ tätig ist. „Richtig umgesetzt schützt 2FA vor Account- oder Ressourcendiebstahl“, sagt sie im Gespräch mit chip.de. Dass jemand an beide Faktoren eines Kontos kommt und weiß, dass sie zusammengehören, hält sie für unwahrscheinlich.

Mythos 1: Die Zwei-Faktor-Authentifizierung ist nicht für gewöhnliche Bedrohungen anfällig

Obwohl die 2FA aber die Sicherheit im Internet und bei Diensten wie dem Online Banking erhöhen kann, gibt es den chip.de-Experten zufolge immer noch einige Mythen, die sich um den ominösen zweiten Schritt der Authentifizierung für Logins ranken.„Wasserdicht“ nämlich, sei die 2FA laut chip.de entgegen der Annahme vieler Nutzer nicht. „Das liegt an den verschiedenen Anmelde-Bausteinen“, schreiben die Experten der Plattform dazu.

So muss der Nutzer für eine Anmeldung in sein Konto auf einem anderen oder neuen Gerät zunächst ein Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage eintragen, um den Login-Prozess zu starten. Für den zweiten Login-Schritt ist dann oftmals ein Gegenstand nötig, der sich im Besitz des jeweiligen Nutzers befindet. Dafür kann beispielsweise ein Hardwaretoken dienen oder ein Smartphone, auf dem der zugesandte Zahlencode per App oder SMS eingeht. Letzteres sei den chip.de-Experten zufolge allerdings nicht so sicher, wie manch einer vielleicht denkt.

Denn SMS sind unverschlüsselt und lassen sich vergleichsweise einfach manipulieren. Auch schütze 2FA nicht vor Phishing- oder Social-Engineering-Angriffen – also Versuchen, 2FA-Nutzer zu täuschen, um an persönliche Daten zu gelangen. „Dabei ist das eines der häufigsten Bedrohungsszenarien im Internet‘“, sagt Sicherheitsforscherin Anna Lena Fehlhaber von der Universität Hannover, Dozentin im Bereich „Human Factors in Cybersecurity“ im Gespräch mit chip.de.

Mythos 2: Die 2-Faktor-Authentifizierung setzt ein zweites Gerät voraus

Weit verbreitet ist auch die Annahme, für 2FA sei unbedingt ein zweites Gerät notwendig. Aber auch das ist laut den chip.de-Experten falsch. Denn ihnen zufolge ist es durchaus möglich, das eigene Smartphone für beide Schritte des Login-Prozesses zu verwenden.

So könne ein Nutzer sein Passwort etwa für einen E-Mai-Dienst eingeben und den Login-Versuch anschließend per Fingerabdruck verifizieren. Der erste Faktor ist somit „Wissen“, der zweite „Biometrie“ – funktionieren tun beide aber über ein und dasselbe Gerät.

Das sei auch der Grund, warum viele Sicherheitsexperten die SMS-basierte 2FA kritisieren. „Streng genommen handelt es sich dabei nicht um eine echte 2-Faktor-Authentifizierung“, sagt auch Expertin Fehlhaber. Schließlich ließen sich SMS umleiten. „Man muss nicht im Besitz des Smartphones sein, um sie zu empfangen“, fügt sie hinzu. (fh)

Rubriklistenbild: © Silas Stein/dpa/Symbolbild