So funktioniert 2FA

Ein Nutzer authentisiert seine Identität bei einem Online-Dienst durch seinen Benutzernamen und das Passwort. Die Authentifizierung basiert dabei ausschließlich auf dem Faktor Wissen – für eine Anmeldung muss man nur die Benutzernamen-Passwort-Kombination kennen.

Der Zugang zu Online-Diensten und Daten sollte daher durch Hinzunahme mindestens eines weiteren Authentifizierungsfaktors zusätzlich geschützt werden. Eine 2-Faktor-Authentifizierung kombiniert zwei Authentifizierungsmethoden. Zu dem Faktor Wissen kommt der Faktor Besitz oder der Faktor Biometrie.

Der Einsatz biometrischer Merkmale fällt in der Regel aus. Zum einen steht Mitarbeitern nur selten etwa ein Fingerabdrucksensor zur Verfügung. Zum anderen handelt es sich um eindeutige persönliche Merkmale, die nicht jeder preisgeben möchte.

Was bleibt ist der Faktor Besitz. Digitale Zertifikate etwa auf Smartcards sind in der Praxis zu kompliziert. Was aber fast jeder immer bei sich hat: das Smartphone. Es bietet sich also an, dieses für zusätzliche Sicherheit zu nutzen.

So haben sich bei der 2-Faktor-Authentifizierung softwaregenerierte One-Time-Password-Token durchgesetzt. Dabei handelt es sich um zeitlich begrenzt gültige Einmal-Passwörter, die der Nutzer zusätzlich zum Benutzernamen und zum Passwort bei der Anmeldung angeben muss.

Und hier kommt der Faktor Besitz ins Spiel: Dieses Einmal-Passwort sendet der Online-Dienst bei der Anmeldung etwa per Kurzmitteilung an das Smartphone des Nutzers oder eine auf dem Gerät installierte App generiert ein solches zeitlich begrenzt gültiges Einmal-Passwort. Wenn man sich also bei einem Dienst anmeldet, dann benötigt man zusätzlich zum Wissen – Benutzername und Passwort – auch zwingend das Smartphone mit einer passend konfigurierten App oder der vorab hinterlegten Telefonnummer für den Kurzmitteilungsempfang.

Übrigens: Was nur wenige wissen – wir alle nutzen im täglichen Leben bereits regelmäßig eine 2-Faktor-Authentifizierung. Und zwar am Geldautomaten. Dieser kombiniert die beiden Faktoren Wissen und Besitz. Zum Geldabheben muss man nicht nur seine PIN-Nummer kennen, sondern auch im Besitz der dazu passenden Bankkarte sein.