Wie Onlinedienste die Multi-Faktor-Authentifizierung umsetzen können

Zwei-Faktor- und Multi-Faktor-Authentifizierung sind gängige Verfahren zur Anmeldung bei Benutzerkonten. In der Regel werden dafür biometrische Daten sowie Einmal-Passwörter per SMS oder Push-Benachrichtigungen verwendet. In Deutschland ist infolge der Zahlungsdiensterichtlinie PSD2 seit 2018 die Zwei-Faktor-Anmeldung beim Online-Banking und Online-Shopping obligatorisch.

In jüngster Zeit fällt auf, dass sich außer Finanzdienstleistern auch Dienstanbieter anderer Branchen Gedanken um stärkere Authentifizierungsverfahren machen. So haben im Jahr 2021 einige große Player ihre Nutzer auf Multi-Faktor-Authentifizierung umgestellt: Google beispielsweise schreibt die Multi-Faktor-Authentifizierung für alle Nutzer von Google Workspace vor und hat Tausende von Sicherheitsschlüsseln an Personen mit hohem Risiko verschenkt. Bei Facebook wird für diese Personengruppe die Zwei-Faktor-Authentifizierung zur Pflicht, und Microsoft bietet vollständig passwortlose Benutzerkonten an. Zudem hat Twitter seine Daten zur Akzeptanz der Zwei-Faktor-Authentifizierung veröffentlicht.

Auch wenn Passwörter noch vor ein paar Jahren als hinreichendes, alleiniges Sicherheitsverfahren galten, gehört heute zum Allgemeinwissen, dass sie anfällig für Manipulation sind. Infolgedessen diskutieren Anbieter nicht mehr, ob die Multi-Faktor-Authentifizierung sinnvoll ist, sondern nur noch, wie schnell sie sich umsetzen lässt. Aber auch sie ist keineswegs perfekt – obwohl sie die Nutzer von Online-Diensten vor einer ganzen Reihe von Angriffen schützen kann. Für die oben genannten Tech-Giganten und für alle anderen Dienstanbieter für Verbraucher bleibt daher noch einiges zu tun. Um die sicheren Authentifizierungsverfahren zu pushen, sind jetzt die folgenden vier Schritte notwendig:

Mehr Verbraucher auf Multi-Faktor-Authentifizierung umstellen

Verhaltensänderungen bei Konsumenten sind bekanntermaßen nicht einfach zu erreichen. Aus Einsicht allein werden nur wenige technikaffine Menschen die Art und Weise ändern, wie sie auf ihre Konten zugreifen. Damit möglichst viele Verbraucher die Multi-Faktor-Authentifizierung nutzen, muss sie obligatorisch werden. Passwörter allein sind nicht ausreichend, selbst wenn sie sehr komplex und schwierig einzugeben sind. Die oben beschriebenen Vorstöße sind ein guter Anfang, aber damit die Online-Welt wirklich geschützt ist, müssen noch mehr Anbieter dem guten Beispiel folgen und mehr Kunden zur Umstellung bewegen.

Die Akzeptanzraten öffentlich machen

Als Twitter im vergangenen Sommer seine Zahlen zur Akzeptanz der Zwei-Faktor-Authentifizierung veröffentlicht hat, hatten sie lediglich 2,3 Prozent der Accounts aktiviert. 80 Prozent dieser Konten verwendeten ein SMS-basiertes Verfahren, das aufgrund seiner Anfälligkeit für Hijacking- und Phishing-Angriffe das unsicherste aller Zwei-Faktor-Verfahren ist. Obwohl die Zahlen erschütternd sind, ist ihre offene Kommunikation enorm wichtig.

An der Benutzerfreundlichkeit arbeiten

Authentifizierungsverfahren sind nicht nur eine Frage der Sicherheit, das Benutzererlebnis spielt dabei ebenfalls eine tragende Rolle. Verfahren wie Einmal-Passwörter per SMS und Push-Benachrichtigungen sind nicht besonders benutzerfreundlich und haben Zwei-Faktor-Verfahren als Zweischrittverfahren etwas in “Verruf” gebracht. Das zeigt sich eindrucksvoll im Online-Handel, wo laut Forrester Einbußen von mehr als 18 Milliarden Dollar jährlich durch Kaufabbrüche größtenteils auf Reibungsverluste bei der Zahlung zurückzuführen sind.

Im Umkehrschluss heißt das, dass die Multi-Faktor-Authentifizierung – soll sie denn von den Verbrauchern in vollem Umfang angenommen werden – so nahtlos wie möglich in den Anmeldeprozess integriert sein muss. Das leistet beispielsweise die besitzbasierte Authentifizierung. Biometrie und Sicherheitsschlüssel bzw. Smartphone, Tablet oder PC  sind in der Regel sehr einfache Verfahren, die mit nur einer Geste ausgeführt werden können. Mit ihr können Benutzer die Sicherheit erhöhen, ohne dass die Benutzererfahrung leidet.

Mit der besten verfügbaren Authentifizierungstechnologie einsteigen

Wie Microsoft aufgezeigt hat, ist zum Schutz eines Benutzerkontos jede Art von Multi-Faktor-Authentifizierung besser als ein Passwort allein. Allerdings sind nicht alle Zwei-Faktor-Authentifizierungen gleich gut. Mithilfe neuer, online verfügbarer Toolkits mit bösartiger Software lässt sich die Multi-Faktor-Authentifizierung, insbesondere Einmal-Passcodes per SMS, umgehen. Denn jeder Einmal-Passcode kann versehentlich in eine falsche Anwendung eingegeben werden und ist daher anfällig für Manipulationen.

Bei der Umstellung ihrer Kunden sollten Cloud Service Provider Nägel mit Köpfen machen und von Anfang an mit der besitzbasierten Multi-Faktor-Authentifizierung einsteigen – also mit biometrischen Verfahren auf Smartphones, Tablets oder PCs bzw. mit Sicherheitsschlüsseln. Da sie durch robuste Hardware geschützt sind und sich während der Authentifizierung in der Hand des Anwenders befinden müssen, können sie nicht auf die gleiche Weise wie Einmal-Passcodes gefälscht oder kompromittiert werden.

Fazit

Im Hinblick auf die Multi-Faktor-Authentifizierung hat sich viel getan. Wo zunächst Fragen nach der Notwendigkeit und der Umsetzbarkeit solcher Verfahren im Vordergrund standen, geht es jetzt darum, wie sie konkret eingeführt werden können. Das Vorgehen dabei wird der Schlüssel sein, und wir werden sehen, wie sich Benutzerfreundlichkeit und universelle Einsetzbarkeit neuer Authentifizierungsverfahren weiter entwickeln. Für Dienstanbieter wird entscheidend sein, dass Sicherheit und Benutzerfreundlichkeit Hand in Hand gehen.

 von Rolf Lindemann, Boardmitglied der FIDO Alliance