In diesem Blog-Artikel überprüfen wir, ob eine Drei- oder sogar Vier-Faktor-Authentifizierung mehr Sicherheit bietet als das mittlerweile gängige Authentifizierungsverfahren mit zwei Faktoren.
Mittlerweile ist es state of the art für Web-Anwendungen eine Zwei-Faktor-Authentifizierung (2FA) anzubieten, um den Nutzenden eine zusätzliche Sicherheit beim Einloggen zu ermöglichen. Diese zusätzliche Authentifizierungshürde bzw. Multi-Faktor-Authentifizierung gibt es in zahlreichen Varianten: einige ergänzen das zuvor eingegebene Passwort um einen zusätzlichen Faktor und wiederum andere ersetzen das vorherige Login mit Passwort komplett durch eine direkte Kombination zweier Faktoren.
Doch warum bei zwei Faktoren aufhören? Böte nicht das Einführen eines dritten oder gar vierten Faktors noch mehr Sicherheit?
Grundlagen der Authentifizierung
Die Authentisierung des Nutzenden beginnt üblicherweise mit der Eingabe der E-Mail oder des Benutzernamens zusammen mit einem sicher gewählten Passwort. Ohne eines weiteren Authentifizierungsmerkmals würde ein User damit sofort Zugang erlangen. Mit Zwei-Faktor-Authentifizierung muss der User dagegen noch einen weiteren Faktor angeben. Dies kann z. B. ein Bestätigungscode sein, den der Betreiber an ein Mobiltelefon sendet. Damit weisen Nutzende nach, im Besitz dieses Geräts zu sein. Oder es könnte der Fingerabdruck, die Gesichtsbiometrie, eine Chipkarte oder ein Hardware-Token sein. Erst wenn sich der zusätzliche Faktor zur Identitätsbestätigung neben dem ursprünglichen Passwort in dem Besitz der Nutzenden befindet, können die angeforderten Ressourcen des Online-Dienstes genutzt werden.
Theorie der Authentifizierung
Grundsätzlich teilt man die unterschiedlichen Möglichkeiten zur Authentifizierung in die folgenden Kategorien ein, wie es auch das NIST tut:
- knowledge: z. B. Passwort, PIN
- possession: z. B. Hardware-Token, Authenticator-App mit TOTP oder eine Push-Benachrichtigung auf ein eingerichtetes Gerät
- inherence: z. B. biometrische Merkmale wie Fingerabdruck, Gesicht oder Stimme
- location: z. B. Netzwerk- oder Geolocation
- behaviour: z. B. Uhrzeit, Gerät oder Zugriffsmuster
Mehrere Faktoren aus derselben Kategorie haben das Risiko, dass sie auf die gleiche Art und Weise kompromittiert werden können. Darum sollten Faktoren nach Möglichkeit aus unterschiedlichen Kategorien kommen. Ein Passwort beispielsweise mit einem weiteren Passwort zu ergänzen, ist zunächst nichts anderes als ein doppelt so langes Passwort, und damit kein echter zweiter Faktor.
2FA – Stand der Technik
In der Realität besteht 2FA zur Zeit in der Regel aus dem bekannten Passwort plus einem simplen possession-based Faktor.
Mit einem Passwort – als dem User bekannteste Methode – wird eine grundsätzliche Absicherung der Authentifizierung erreicht. Losgelöst von Hardware oder speziellen Algorithmen stellt das Passwort ein für den User vertrautes und erwartetes Verfahren dar. Über Passwort-Policies kann erreicht werden, dass die Passwörter zumindest ein gewisses Sicherheitsniveau erfüllen. Trotzdem verbleiben Risiken, dass Passwörter beispielsweise bestimmten Schemata folgen oder für andere Dienste wiederverwendet werden, und vor allem die „Schwäche“ des menschlichen Gehirns, sich lange und sichere Passwörter zu merken.
Ergänzt wird das Passwort deshalb durch einen einfachen Besitz-Faktor, wie eine SMS auf eine bekannte Handynummer oder TOTP (Time-based One-time Password) über eine App. Durch eine Abhängigkeit von der aktuellen Uhrzeit ist dieser Teil der Authentifizierung nur begrenzt gültig und kann nicht einfach später wiederverwendet werden. Nachteilig wird der Besitz-Charakter, wenn das Gerät ersetzt werden soll oder verloren geht. Hier müssen dann zusätzliche Prozesse geschaffen werden. Obwohl zunehmend verbreitet, sind noch immer nicht alle Nutzer mit solchen Faktoren vertraut und stoßen auf Unklarheiten. Die verwendeten Technologien und Prinzipien sind oft nicht intuitiv verständlich und die Erfahrungen mit Passwörtern können nicht einfach übertragen werden.
In der Kombination ergänzen sich die beiden Faktoren dann: Positive Eigenschaften verstärken sich und jeweilige Schwächen können aufgefangen werden. Ein kryptografisch abgesicherter Besitz-Faktor ergänzt das bekannte, einfach zu verstehende Passwort, das oft aber nicht besonders sicher gewählt wird. Die einfache Wiederverwendung eines geleakten Passworts wird durch die Einmaligkeit und zeitliche Beschränkung des OTPs verhindert. Auf der anderen Seite führt das physische Verlieren des genutzten Gerätes nicht dazu, dass damit direkt ein Zugang möglich wäre, da das geheime Passwort dazu fehlt.
Authentication und Usability
Definitiv nachteilig wirkt sich die Verwendung zweier Faktoren jedoch auf die Usability aus. Der doppelte Aufwand der Authentifizierung und insbesondere die (aus Security-Sicht sinnvolle) Beschränkung auf ein bestimmtes Gerät erschweren auch den Zugang für den legitimen Nutzer. In der Praxis wird deshalb häufig der zweite Faktor nur in bestimmten Situationen abgefragt, z. B. bei einem Login auf einem neuen Gerät oder einem besonders sensiblen und schützenswerten Vorgang, wie dem Hinzufügen oder Ändern von Zahlungsmitteln und postalischen Anschriften.
More FA! Weitere Möglichkeiten zur Authentifizierung
Möchte man die klassische 2FA-Kombination aus Passwort und TOTP durch einen weiteren Faktor ergänzen, sollte der wie oben erklärt aus anderen Authentifizierungskategorien stammen:
Inherence
Zu Faktoren der Kategorie Inherence zählen üblicherweise biometrische Merkmale, wie Fingerabdruck, Irismuster des Auges, Gesicht oder Stimme. Der große Vorteil ist, dass man diese Faktoren immer dabei hat und nicht vergessen kann. Dadurch ist es jedoch auch für Angreifer:innen sehr einfach, an diese Merkmale zu gelangen: jede:r von uns hinterlässt jeden Tag unzählige Fingerabdrücke an allen möglichen Orten.
Während es einfach ist, ein bekannt gewordenes Passwort durch ein neues zu ersetzen, ist dies bei biometrischen Merkmalen deutlich schwieriger oder gar unmöglich. Ist der Fingerabdruck eines Nutzers erst einmal in einem geeigneten Format öffentlich, kann dieser kaum weiter als Merkmal zur Authentifizierung genutzt werden. Umgekehrt kann man die Faktoren allerdings durchaus verlieren, z. B. wenn sich die Gesichtsform verändert oder Fingerabdrücke durch Verletzungen (vorübergehend) nicht erkannt werden.
Eine weitere Herausforderung ist die Schnittstelle zwischen realer und digitaler Welt. Zum Beispiel bei einem Fingerabdruckleser: entweder er liefert die Rohdaten an den Authentifizierungs-Service (damit kann jeder, der diese Rohdaten kennt, sich authentifizieren, also Knowledge) oder die Prüfung geschieht im Lesegerät (Authentifizierungs-Service muss dem Lesegerät vertrauen und sicherstellen, dass niemand anderes sich als dieses Gerät ausgibt: Gerät muss ein Secret haben). Es lassen sich allerdings keine eigenen geprüften Geräte für alle Internetnutzenden bereitstellen. Man muss also dem Gerät vertrauen und darauf, dass das Secret darin nicht ausgelesen werden kann. Wir sind also schon sehr nahe an Possession.
Location/Behavior
Diese beiden Kategorien sind relativ neu und werden auch nicht in allen Aufzählungen der Literatur erwähnt. Bekannt sind diese Faktoren vermutlich am ehesten von Kreditkartenfirmen. Wenn zwei Geldauszahlungen an weit entfernten Orten in kurzer Zeit passieren oder plötzlich Geld für unübliche Waren ausgegeben wird (ältere Person kauft plötzlich größere Mengen Kryptowährung), könnte Missbrauch vorliegen.
Der Vorteil ist hier, dass der User überhaupt nichts tun muss. Einfach nur durch die ganz normale Benutzung werden die Faktoren erfasst und können ausgewertet werden.
Die große Herausforderung ist, dass diese Faktoren schwammig sind. Klassische Authentifizierungsverfahren sind binär: authentifiziert als Person X oder nicht. Mit diesen nicht-binären Faktoren ergibt sich eher ein Wahrscheinlichkeitswert, ob tatsächlich Person X aktiv ist. Das System muss damit umgehen können und zum Beispiel Zugriff auf bestimmte Bereiche nur ab einem gewissen Prozentwert erlauben.
Behavior-Faktoren können zudem oft nur reagieren: Wenn ein:e Benutzer:in plötzlich nacheinander die Gehaltsabrechnungen aller Mitarbeiter:innen abruft, kann das System dies erst nach den ersten paar ungewöhnlichen Aktionen feststellen. Bis dahin hat der/die Angreifer:in aber zumindest schon einen Teil seines/ihres Ziels erreicht.
Quality before Quantity?
Mit weiteren Faktoren kann die Sicherheit einer Authentifizierung also noch weiter erhöht werden, aber auch die Nachteile der zusätzlichen Faktoren sind zu berücksichtigen. Deshalb ist ein alternativer Ansatz, die vorhandenen Faktoren zu stärken und zu verbessern. Passwörter können höheren Anforderungen an Länge und Entropie unterworfen werden. Statt SMS-TAN, gegen die zahlreiche Angriffsvektoren existieren, kann ein TOTP als Besitz-Faktor genutzt werden oder sogar auf Hardware-Tokens umgestellt werden.
Ein aktuelles Beispiel für diesen Trend, nicht mehr Faktoren sondern bessere zu wählen, zeigt WebAuthn. Hier geht man sogar noch weiter und reduziert die Zahl der Faktoren gar. Der Standard kommt aus dem FIDO2-Umfeld, der sich ursprünglich mit der Vereinheitlichung von Zweit-Faktoren beschäftigte. Mit WebAuthn geht man jetzt aber einen Schritt weiter: Nach Passwort-ergänzend soll passwordless kommen. Die Authentifizierung kommt zunächst ganz ohne knowledge-based Faktor aus, dafür wird auf starke asymmetrische Kryptographie gesetzt. Der Vollständigkeit halber sei gesagt, dass auch WebAuthn Credentials um weitere Faktoren (wie eine PIN) ergänzt werden können. Zudem wird bei WebAuthn auch die Identität der Serverseite geprüft, so dass Phishing deutlich erschwert wird.
Die Komplexität von modernen Authentifizierungsfaktoren, die meist auf asymmetrischer Kryptographie aufbauen, führt auch zu einer veränderten Bewertung des Vertrauens der Nutzer:innen: Für knowledge-based Faktoren liegt die Verantwortung scheinbar allein beim Menschen: Erstellung und Aufbewahrung des Passworts findet im eigenen Kopf und damit unmittelbar kontrolliert statt. Schon die Nutzung eines Passwortmanagers, erst recht aber die Verwendung von TOTP-Apps, Hardwaretokens und biometrischen Verfahren ändert dies. Der Nutzer muss nun externen Algorithmen und fremder Soft- oder Hardware vertrauen, die eine Komplexität aufweisen, die Nutzer:innen kaum vollständig überprüfen können.
Fazit
Zusätzliche Faktoren, insbesondere Alternativen zum Passwort, kommen also nicht ohne Nachteile. Weniger (dafür qualitativ hochwertige) können sicherer sein und zugleich einfacher zu benutzen.
Aus einer reinen Security-Perspektive verbessern mehr Faktoren die Authentifizierung, weil Angreifer:innen mehr Hürden zu überwinden haben. Jedoch sind zusätzlich auch die Schwächen bzw. Aufwände der Faktoren „um die Security herum“ (z. B. Usability) zu betrachten, weshalb eine reine Erhöhung der Faktorenzahl nicht unbedingt sinnvoll ist.
Deshalb ist die Lösung für eine sichere Authentifizierung nicht das blinde Hinzufügen eines zweiten, dritten oder vierten Faktors. Stattdessen gilt es, sich genaue Gedanken zum Threat Model zu machen: Welche Angriffsoberfläche hat meine Authentifizierung? Wie sehen die Prozesse bei vergessenen/verlorenen Faktoren aus? Gibt es unsichere Fallback-Authentifizierungen? Ist Phishing ein relevanter Threat Vector? Welche User, mit welchem Vorwissen und welchen Fähigkeiten, sollen die Authentifizierung nutzen? Basierend auf diesem Threat Model kann dann die passende Zahl und Art der Authentifizierungsfaktoren ausgewählt werden.
