Ein-Faktor-, Zwei-Faktor- und Drei-Faktor-Authentifizierung

Ich bin wieder darauf gestoßen. Eine weitere Organisation, die glaubt, dass zwei Benutzerkennungen und Passwörter eine Zwei-Faktor-Authentifizierung darstellen und die PCI DSS-Anforderung 8.3 erfüllen. Bei all der Dokumentation, die im Internet verfügbar ist, sollte man meinen, dass dieses Thema auf kaltem Wege behandelt wird. Es scheint jedoch immer noch Verwirrung darüber zu herrschen, was eine Ein-, Zwei- und Drei-Faktor-Authentifizierung ausmacht, daher möchte ich mir die Zeit nehmen, diese Konzepte zu erklären.

Lassen Sie uns über die Definitionen der drei Authentifizierungsfaktoren sprechen.

• Ein-Faktor-Authentifizierung – das ist „etwas, das ein Benutzer weiß“. Die bekannteste Methode der Ein-Faktor-Authentifizierung ist das Passwort.
• Zwei-Faktor-Authentifizierung – zusätzlich zum ersten Faktor ist der zweite Faktor „etwas, das ein Benutzer hat“. Beispiele für etwas, das ein Benutzer besitzt, sind ein Anhänger, der einen vorher festgelegten Code erzeugt, ein signiertes digitales Zertifikat oder sogar ein biometrisches Merkmal wie ein Fingerabdruck. Die bekannteste Form der Zwei-Faktor-Authentifizierung ist der allgegenwärtige RSA-SecurID-Anhänger.
• Drei-Faktor-Authentifizierung – zusätzlich zu den beiden vorherigen Faktoren ist der dritte Faktor „etwas, das ein Benutzer ist“. Beispiele für einen dritten Faktor sind alle biometrischen Daten wie die Stimme des Benutzers, die Handkonfiguration, ein Fingerabdruck, ein Retina-Scan oder ähnliches. Die bekannteste Form der Drei-Faktoren-Authentifizierung ist in der Regel der Retina-Scan.

Das Wichtigste an den oben genannten Definitionen ist, dass nirgendwo die Verwendung von zwei Passwörtern oder Passphrasen, zwei Fingerabdrücken oder zwei Retina-Scans erwähnt wird. Die Verwendung von zwei gleichen Faktoren wird als Multi-Faktor-Authentifizierung betrachtet und steht in keinem Zusammenhang mit einer der oben genannten Definitionen. Wenn Sie also zwei verschiedene Benutzerkennungen und Passwörter verwenden, handelt es sich nicht um eine Zwei-Faktor-Authentifizierung, sondern um eine Mehr-Faktor-Authentifizierung. Der PCI DSS ist in Anforderung 8.3 sehr spezifisch und verlangt eine Zwei-Faktor-Authentifizierung oder besser. Multi-Faktor ist also nicht akzeptabel.

Ein weiterer Punkt ist, dass Sicherheitspuristen argumentieren werden, dass die Verwendung eines biometrischen Merkmals als zweiter Faktor die Regeln des dritten Faktors verletzt. Andere Sicherheitsexperten sagen jedoch, dass etwas, das ein Benutzer hat oder ist, entweder ein Token oder ein biometrisches Merkmal sein kann. Ihre Logik ist, dass ein Benutzer einen Fingerabdruck oder eine Netzhaut hat, so dass er als einer der beiden Faktoren in Frage kommt. Der Schlüssel ist, ein bestimmtes biometrisches Merkmal nur einmal zu verwenden. Wenn Sie also einen Fingerabdruck für den zweiten Faktor verwenden, können Sie keinen Fingerabdruck für den dritten Faktor verwenden.

Dieser Punkt ist zwar offensichtlich, wird aber von vielen Menschen übersehen. Die Ein-Faktor-Authentifizierung ist weniger sicher als die Zwei-Faktor-Authentifizierung, die wiederum weniger sicher ist als die Drei-Faktor-Authentifizierung. Wenn die Benutzer jedoch ihre Passwörter oder Passphrasen richtig zusammenstellen und andere Anmeldebeschränkungen vorhanden sind, kann die Ein-Faktor-Authentifizierung ziemlich effektiv gegen Sicherheitsverletzungen sein, möglicherweise im Bereich von 90 %. Die Zwei-Faktor-Authentifizierung erhöht die Effektivität in der Regel auf etwa 97 oder 98 %. Und die Drei-Faktor-Authentifizierung bringt die Dinge wahrscheinlich auf ein Sechs-Sigma-Niveau der Effektivität. Beachten Sie, dass Sie selbst mit der Drei-Faktor-Authentifizierung nur eine Effektivität von 99,9999 % erreichen. Wie ich bereits wiederholt betont habe, ist die Sicherheit nicht perfekt.

Vielen Menschen ist nicht bewusst, dass sie regelmäßig die Zwei-Faktor-Authentifizierung verwenden. Um einen Geldautomaten zu benutzen, braucht man eine Karte (die man hat) und eine vierstellige persönliche Identifikationsnummer oder PIN (die man kennt). Ein weiteres Beispiel, das heutzutage üblich ist, ist der Zugang zu gesicherten Einrichtungen, bei dem ein autorisierter Benutzer seine HID-Zugangskarte benutzen und eine PIN in ein Tastenfeld eingeben muss, bevor sich eine Tür öffnet. Zu beachten ist, dass die Reihenfolge, in der die Faktoren verwendet werden, keine Rolle spielt. Im Fall des Geldautomaten und des Eingangsbeispiels ziehen Sie zuerst Ihre Karte durch (etwas, das Sie haben) und geben dann Ihre PIN ein (etwas, das Sie wissen).

Nur weil der zweite Faktor etwas ist, das ein Benutzer hat, bedeutet das nicht, dass der Benutzer wissen muss, dass er es hat. Ein gutes Beispiel dafür ist ein digitales Zertifikat. Viele Unternehmen stellen mit ihrer VPN-Software ein digitales Zertifikat aus, um eine Zwei-Faktoren-Authentifizierung zu ermöglichen. Die meisten Benutzer sind sich nicht bewusst, dass sie ein digitales Zertifikat benötigen, damit das VPN funktioniert. Das digitale Zertifikat ist in der Regel an den Benutzer oder den Computer gebunden und wird im Rahmen der Installation der VPN-Software installiert. Der einzige Weg, wie ein Benutzer jemals auf das digitale Zertifikat aufmerksam wird, ist, wenn es beschädigt oder veraltet ist, was zu einem Fehler führt, wenn er versucht, eine Verbindung zum VPN herzustellen. (HINWEIS: In der Informationsergänzung des Rates zur Multi-Faktor-Authentifizierung aus dem Jahr 2017 wurde die Verwendung digitaler Zertifikate, wie hier beschrieben, für die Erfüllung der PCI-konformen Zwei-Faktor-Authentifizierung nicht zugelassen.)

Ein weiterer wichtiger Punkt ist, dass Sie in Fällen, in denen Sie nur Ihre HID-Zugangskarte verwenden, eine Ein-Faktor-Authentifizierung verwenden. Die Definitionen für die Faktoren wurden festgelegt, damit sie leicht erlernt und gespeichert werden können. Die Verwendung eines der Faktoren allein ist jedoch eine Ein-Faktor-Authentifizierung. Die Verwendung jedes Faktors in Verbindung mit einem anderen ergibt die Zwei- und Drei-Faktoren-Authentifizierung. Sie können also verschiedene Kombinationen aller Faktoren verwenden, um die Wahrscheinlichkeit einer Kompromittierung zu verringern. In vielen Spionagefilmen gibt es z. B. einen hochsicheren Raum, in den man nur mit einem Ausweis, einer PIN, einem Netzhautscan und der Eingabe der Passphrase eindringen kann. Dies ist kein Beispiel für eine Vier-Faktoren-Authentifizierung; es handelt sich um eine Drei-Faktoren-Authentifizierung mit zwei biometrischen Faktoren (d.h. Multi-Faktor).

Schließlich gibt es ein Risiko bei der Verwendung biometrischer Faktoren, über das die meisten Leute nicht gerne sprechen, das aber wichtig zu bedenken ist. Menschen erleiden immer wieder Unfälle. Finger werden geschnitten oder sogar abgetrennt. Hände werden gebrochen oder verstümmelt. Augen werden beschädigt. Menschen verlieren ihre Stimme. Wenn Sie biometrische Daten für die Authentifizierung verwenden wollen, sollten Sie daher solche Vorfälle einplanen.

Hoffentlich verstehen Sie jetzt die verschiedenen Faktoren der Authentifizierung und wissen, wie sie verwendet werden.