Was ist eine 2-Faktoren-Authentifizierung?

Eigentlich ist es eine Zwei-Faktor-Authentisierung (2FA), wird allerdings häufiger Zwei-Faktor-Authentifizierung genannt. Die Begrifflichkeiten Authentifizierung, Authentisierung und Autorisierung werden ohnehin, außerhalb von Sicherheits- und IT-Kreisen, durcheinander geworfen bzw. synonym genutzt. Gemeint ist dabei im digitalen Umfeld meist der Anmeldeprozess bei einem PC, Mobiltelefon oder in einem Netzwerk. Der Standard hier ist oft eine Identifikation mit nur einem Faktor, z.B. einer PIN-Nummer, einem Passwort oder einem Fingerabdruck.

Man unterscheidet diese möglichen Faktoren in folgende Gruppen:

  • Wissen (PIN, Passwort, …)
  • Besitz (Token, Smartcard, Karte, Schlüssel …)
  • Biometrie (Gesichtserkennung, Fingerabdruck, Unterschrift, …)

Was alle drei gemein haben ist die Tatsache, dass keine von Ihnen absolut sicher ist und alle Vor- wie Nachteile haben. Um die Sicherheit bei einer Verifizierung zu erhöhen, kann man eine 2-Faktor-Authentisierung verwenden. Hierbei werden für die Identifikation zwei Faktoren aus unterschiedlichen Gruppen verwendet . Dies könnten z.B. ein Passwort (Wissen) welches Sie auf und eine Eingabe auf Ihrem Handy (Besitz) – so kennt man es schon von einigen Internet-Portalen. Oder Sie geben beim Online-Shopping eine Kreditkartennummer ein (Besitz) und bestätigen Ihre Identität über den Faktor Fingerabdruck (Biometrie).

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Passwort – Sicherheit und Management

Sie werden mir wahrscheinlich augenblicklich zustimmen, dass „123456“ kein sicheres Passwort ist. Fakt ist allerdings, dass genau dieses Passwort immer noch das beliebteste Passwort der Deutschen im Jahre 2018 war. Platz 2 belegte übrigens „12345“ dicht gefolgt von „123456789“. Vielleicht atmen Sie gerade auf, weil Sie sich denken: Kein Problem, so ein einfaches Passwort verwende ich schon mal nicht. Aber: Vergegenwärtigen Sie sich, irgendwer ist es, der derart unsichere Passwörter verwendet!

Das Hasso-Plattner-Institut hat die Top-Ten aus rund 500.000 öffentlich gewordenen Zugangsdaten deren Emailadresse auf „.de“ endete herausgefiltert. Es ist also nicht abwegig, dass auch Ihre Mitarbeiter, Geschäftspartner oder gar ihr Hausarzt oder Steuerberater einer derer ist, die ein Passwort aus den Top-Ten verwenden. Wir sind uns sicherlich einig, dass das kein besonders beruhigender Gedanke ist.

Datensicherheit ist als Teil des Datenschutzes Chefsache – der Grund dafür ist einfach zu benennen: Er ist der Verantwortliche und muss im Zweifel für Datenpannen geradestehen.

Wir empfehlen Ihnen daher im Unternehmen eine Passwortrichtlinie festzulegen. Diese regelt wie ein sicheres Passwort aussieht, wie oft es gewechselt wird, wo es Verwendung findet und auf welchem Weg es aufzubewahren ist. Hier sei gesagt: Ihre Schreibtischunterlage, die Wand hinter ihnen die direkt von der Webcam fokussiert wird  oder ihr Bildschirmrand sind keine geeigneten Speicherorte.

Eine solche Passwortrichtlinie dient nicht nur dem Verantwortlichen im Hinblick auf die Sicherung der Unternehmensgeheimnisse oder Kundendaten. Sie ist auch im Interesse eines jeden Mitarbeiters, dessen Daten ebenfalls in Ihrem Unternehmen verarbeitet werden.

Ein sicheres Passwort

Zu empfehlen ist eine Passwortlänge von mindestens 12 Zeichen. Man kann sagen, je länger das Passwort desto sicher ist es – dies gilt allerdings nur dann, wenn Sie ein kryptisches Passwort wählen. Kryptisch bedeutet, dass ihr Passwort im besten Fall aus Zahlen und Buchstaben (Groß- und Kleinschreibung) sowie Sonderzeichen besteht. Die Buchstaben sollten keinen Sinn ergeben, das heißt kein „echtes“ Wort sein. Verwenden Sie keine Namen oder Wörter die man in einem Wörterbuch finden könnte. Meiden Sie Passworte die sich durch einen Bezug auf Ihre Person ableiten lassen (Geburtsdaten, Autokennzeichen etc.) und verwenden Sie ein Passwort immer nur für einen Dienst. Wandeln Sie Ihr Passwort nicht nur ab, wenn Sie einen anderen Dienst verwenden, sondern erstellen Sie ein komplett anderes, ohne Bezug auf Ihre anderen Passwörter. Außerdem sollten Sie nie ein voreingestelltes Standardpasswort weiterverwenden, ändern Sie es nach dem ersten Anmelden. Sie sollten ein Passwort grundsätzlich in gewissen Zyklen ändern – nicht nur dann, wenn Sie den Verdacht haben, dass Ihr Passwort nicht mehr sicher sein könnte.

Passwortmanagement

Ein solch sicheres Passwort ist selbstverständlich schwer zu merken, insbesondere wenn es sich um mehr als nur ein Passwort handelt. Das BSI rät Bürgern zu einem leich zu merkenden Passwort nach z.B. folgendem Muster: „Ich habe drei Kinder und einen Hund, außerdem eine Katze!“ dieser Merksatz wird dann zu folgendem Passwort „Ih3Ku1H,a1K!„. Ich empfehle diese Methode insbesondere als sogenanntes Master-Passwort, welches dazu dient andere Passwörter die z.B. in einem Passwortmanager gespeichert sind zu sichern. Passwort-Manager speichern das Passwort nicht im Klartext, sondern verschlüsselt. Dieser Weg ist unbedingt dem unverschlüsselten speichern oder dem aufschreiben von Passworten zu bevorzugen. Passwortmanager gibt es als Offline-Programm z.B. KeePass, als auch als Online-Dienst z.B. LastPass.

 

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken