Kéttényezős hitelesítés

YubiKey 4 biztonsági token a kulcskarikán

A kétfaktoros hitelesítés ( 2FA ), amelyet gyakran kétfaktoros hitelesítésnek neveznek, a felhasználó személyazonosságának igazolását jelenti két különböző, különösen független összetevők (tényezők) kombinációjával. Tipikus példák a bankkártyák és a PIN -kódok az ATM -ekhez , ujjlenyomatok és hozzáférési kódok az épületekben , vagy a jelszó és a tranzakciószám (TAN) az online banki szolgáltatásokhoz . A kétfaktoros hitelesítés a többtényezős hitelesítés különleges esete .

Alkalmazás és cél

A kéttényezős hitelesítés különösen ajánlott biztonsági szempontból kritikus alkalmazási területeken, mint például a német Szövetségi Információbiztonsági Hivatal saját IT-Grundschutz katalógusok . A BSI für Bürger és a Stiftung Warentest most azt javasolja a fogyasztóknak, hogy a lehető legtöbb webalapú szolgáltatáshoz és online portálhoz kétfaktoros hitelesítést alkalmazzanak. Ennek oka az, hogy a fogyasztók gyakran nem megfelelő vagy gyenge jelszót választanak, és ugyanazt a jelszót használják több felhasználói fiókhoz vagy webszolgáltatáshoz. Az egyszeri jelszavak néhány másodperc vagy perc múlva érvénytelenné válnak - ez elhárítja a támadókat, akik ki akarják kémlelni a jelszavakat, pl. B. a beírt jelszavak vagy a keylogger olvasásával .

A bankszektorban az EU pénzforgalmi szolgáltatási irányelve kötelezővé tette a kétfaktoros hitelesítést az Európai Gazdasági Térség számára 2018-ban. Az olyan webes platformok, mint az Amazon vagy a Google, valamint az e-mail szolgáltatók , mint például a mail.de (2012 óta), a posteo (2014 óta) és a mailbox.org szintén lehetőséget kínálnak a felhasználóknak arra, hogy védjék felhasználói fiókjaikat kétfaktoros hitelesítéssel.

Alkatrészek

A kétfaktoros hitelesítés csak akkor sikeres, ha két meghatározott összetevőt vagy tényezőt együtt használnak, és mindkettő helyes. Ha egy összetevő hiányzik, vagy helytelenül használják, a hozzáférési engedély nem határozható meg teljes biztonsággal, és a hozzáférést megtagadják.

A tényezők a következők lehetnek:

Közvetett kétfaktoros hitelesítés

A biztonsági jogkivonaton keresztül történő titkosításként történő hitelesítésnek az a hátránya, hogy azt mindenkor hordozni kell, ha a felhasználó bármikor bejelentkezni tud. Ha az elemet ellopják, elveszik, vagy ha a felhasználó egyszerűen nincs nála, akkor a hozzáférés lehetetlen, vagy sok erőfeszítést igényel. Ezenkívül költségei vannak az első vásárlásnak, és szükség esetén a cserevásárlásnak is. E kockázatok elkerülése érdekében alternatívaként úgynevezett közvetett kétfaktoros hitelesítést fejlesztettek ki. A mobileszközöket, például a mobiltelefonokat és az okostelefonokat titoktartási eszközként használja , azaz "valamit, ami a felhasználó tulajdonában van" (de elveszítheti is). Mivel manapság a mobilkészülék sok ember állandó társa, nem kell további tokent vásárolni és védeni.

Ha a felhasználó hitelesíteni akarja magát, általában meg kell adnia egy jelszót és egy egyszer érvényes, dinamikusan generált egyszeri jelszót . Ezt a kódot küldenek az ő mobil eszköz segítségével SMS vagy e-mail , vagy (jobb) a megfelelő alkalmazást a kéttényezős hitelesítést generál egyszeri jelszót a mobil eszközön.

Ha a felhasználó számjegyeket használt, akkor az automatikusan törlődik, és a rendszer új kódot küld a mobileszközre. Ha az új kódot nem adja meg egy megadott időszakon belül, a rendszer automatikusan lecseréli. Ily módon nem maradnak régi kódok, amelyeket már használtak a mobil komponensen. A még nagyobb biztonság érdekében megadhatja, hogy hány hibás bejegyzés tűrhető, mielőtt a rendszer blokkolja a hozzáférést.

Ha a hitelesítő felhasználónak már nem kell manuálisan megadnia az adatokat, a folyamat félig automatizáltnak tekintendő . Ezt az NFC módszerrel érik el . Ehhez egy korábban személyre szabott mobil eszközt használnak.

A folyamat csak akkor tekinthető teljesen automatizáltnak, ha a hitelesítő felhasználónak már nem kell semmit kezelnie . Ezt úgy érik el , hogy nemzetközi iparági szabványként piknikeket ( Bluetooth ) használnak . Ehhez egy korábban személyre szabott mobil eszközt használnak.

Alkalmazások kéttényezős hitelesítéshez időalapú egyszeri jelszavak (TOTP) használatával

Először a felhasználó telepít egy megfelelő alkalmazást a mobileszközre, amelyet egy vagy több webalapú szolgáltatás elleni közvetett kétfaktoros hitelesítésre kell használni. A webalapú szolgáltatást ezután kétfaktoros hitelesítéssel lehet megvédeni, ha második tényezőként regisztrálja az alkalmazást a szolgáltatással. Ehhez a szolgáltatás biztonsági szervere és a végberendezés karaktersorozatot cserél titokként vagy jogkivonatként - pl. B. QR -kód beolvasásával a mobilkészülékkel, vagy manuálisan beírva a biztonsági szerver által megjelenített megfelelő karakterláncot. Ezen első lépés után a titkot ideális esetben csak a biztonsági szerver és a felhasználó személyes eszköze ismeri, és soha nem szabad elhagynia ezt a memóriát. A megfelelő funkcióteszt után a webszolgáltatás aktiválja a kétfaktoros hitelesítést a felhasználói fiókhoz.

Ha a felhasználó most használni akarja a webes szolgáltatást, akkor a felhasználó nevének és jelszavának megadása után meg kell adnia az alkalmazás által generált egyszeri jelszót a hitelesítés második tényezőjeként. Az alkalmazás kiszámítja az egyszeri jelszót az aktuális időből és a titokból . Emiatt az ügyfél és a szerver óráit nagyjából szinkronizálni kell . Általában a folyamat repülőgép üzemmódban is működik. Az alábbi pszeudokód 30 másodpercenként új jelszót biztosít. A gyakorlatban a szerver programozható úgy, hogy elfogadja az előd és az utódkódot, hogy fedezze az ügyfél legfeljebb egy perces időbeli eltéréseit. Az egyszeri jelszó előállításához szükséges titkot már nem továbbítják, ezért nem lehet lehallgatni.

Manapság számos alkalmazás létezik a kétfaktoros hitelesítéshez a TOTP-n keresztül, amelyek közül néhány nagyszámú platformon használható. Ezek az alkalmazások megvalósítják a HOTP ( RFC 4226 ) és a TOTP ( RFC 6238 ) nyílt szabványokat , ami azt jelenti, hogy bármely webszolgáltatással használhatók, amelynek biztonsági kiszolgálója ezeket a szabványokat megvalósítja.

Kb támogatott platformok Import / export funkció? Megjegyzések
Google Hitelesítő Android, iOS, Blackberry OS Igen Jelentkezzen be Google -fiókjába push értesítéssel. Az Androidra kifejlesztett alkalmazás eredetileg nyílt forráskódú volt a 2.21 -es verzióig , később saját tulajdonúvá vált.
andOTP Android Igen Nyílt forráskód
FreeOTP hitelesítő Android (utolsó frissítés: 2016. január 25.) és iOS nem A nyílt forráskódú szoftvert a Google Hitelesítő GitHub könyvtárból elérhető verziója alapján fejlesztették ki. A FreeOTP -t a Red Hat biztosítja .
FreeOTP + Android Igen A FreeOTP + nyílt forráskódú szoftver a FreeOTP villája, amely kiterjesztéseket integrál.
Authy ( Twilio ) Android, BlackBerry OS, iOS, Windows, Mac OS és Linux Igen A titkok / tokenek a felhőben vannak tárolva (titkosítva), így párhuzamosan több eszközön is használhatók.
Microsoft hitelesítő Android és iOS Igen Jelentkezzen be a Microsoft -fiókba push értesítéssel

A jelszókezelő, például a LastPass , a Bitwarden vagy az 1Password mostantól támogatja a kétfaktoros hitelesítést harmadik felek számára.

Univerzális kétfaktoros hitelesítés

A FIDO Alliance 2014. december 9-én dobta piacra az univerzális és licencmentes szabványok első változatát, a kétfaktoros hitelesítésre közzétett U2F -et, amely különböző módszerekkel és eszközökkel kompatibilis. 2015 februárjában a Microsoft bejelentette, hogy a FIDO Alliance internetes hitelesítési 2.0 szabványát támogatja a Windows 10 operációs rendszer .

Biztonsági szempontok

Biztonsági szakértők figyelmeztetnek arra, hogy az SMS hamisítás és a középső támadások , amelyek során a támadó hamis bejelentkezési oldalt mutat be, felhasználhatók az egyszeri jelszavakon alapuló, kétfaktoros hitelesítésű rendszerekbe való betöréshez. A FIDO U2F itt további védelmet nyújt.

A két tényezőt két külön átviteli csatornán kell továbbítani. A követelmény, hogy ne tárolják vagy tárolják ugyanazon a helyen, gyakran már nem teljesül, ezért manapság sok bank használja az e-banki alkalmazást és az alkalmazást kétfaktoros hitelesítésre egyszeri jelszóval ugyanazon az eszközön, így ha elveszik, csak a 2FA alkalmazásban található lehetséges PIN -kód védi a banki alkalmazást. De még akkor is, ha a kétfaktoros hitelesítési alkalmazást a TOTP használatával telepítette ugyanarra az eszközre, amelyen a 2FA által biztosított IT szolgáltatást használja, ez a biztonság növelését jelenti a csak bejelentkezési névvel és jelszóval rendelkező hitelesítéshez képest-az eredmények az egyszeri jelszó egyedisége. Ha azonban a hitelesítési alkalmazást egy második eszközön használja, akkor ez egy második tényező biztonságát is biztosítja.

Ezenkívül a legtöbb szolgáltató lehetővé teszi bizonyos számítógépek megbízható ügyfelekként való meghatározását, amelyekről egyszeri jelszó nélkül lehet bejelentkezni. Ha egy támadó hozzáférhet egy ilyen számítógéphez, a további védelem már nem érhető el.

Kapcsolódó cikkek

web Linkek

Egyéni bizonyíték

  1. SYS.2.1.M1 felhasználói hitelesítés , BSI, IT-Grundschutz-Kompendium Edition 2020, hozzáférés: 2020. augusztus 28.
  2. Kéttényezős hitelesítés a nagyobb biztonság érdekében . BSI polgároknak, Szövetségi Információbiztonsági Hivatal
  3. Védje az online fiókokat a 2FA segítségével. Így működik a kétfaktoros hitelesítés . Test.de, Stiftung Warentest, 2020. december 11
  4. egyszeri jelszó (OTP) . TechTarget hálózat
  5. Az online banki kétfaktoros hitelesítés jön. futurezone.at, 2017. augusztus 2. (hozzáférés: 2019. július 8.).
  6. Nagyobb biztonság: az Amazon bevezeti a kétfaktoros hitelesítést. In: Der Standard online, 2016. december 5.
  7. Második tényező: Csak néhány felhasználó védi tovább Google -fiókját. In: Der Standard online, 2018. január 22.
  8. Kétfaktoros hitelesítés: ez így működik , test.de , 2015. január 28., hozzáférés: 2015. február 20.
  9. datenschutzticker.de , 2020. április 29. (KINAST Rechtsanwälte)
  10. Kétfaktoros hitelesítés (Virtual Solution AG)
  11. Michel Smidt: Röviden kifejtve: Biztonságos bejelentkezés kétfaktoros hitelesítéssel. In: Univention Blog. univention, 2017. április 27., hozzáférés: 2018. augusztus 14 .
  12. 2021. januárjától a 2020. május 12 -i változatban
  13. Biztonsági mentés formátuma. In: andOTP wiki. Hozzáférés: 2021. január 2 .
  14. Migráció. In: andOTP wiki. Hozzáférés: 2021. január 2 .
  15. 2021. januárjától, a 2016. január 25 -i változatban
  16. Willis, Nathan: FreeOTP többtényezős hitelesítés . LWN.net, 2014. január 22
  17. FreeOTP , github.com
  18. FreeOTP + és az F-Droid
  19. Microsoft Authenticator: Az alkalmazás így működik . Írta: Nicole Hery-Moßmann, Chip.de, 2019. június 29
  20. Biztonsági másolat készítése és helyreállítása a fiók hitelesítő adatairól a Microsoft Authenticator alkalmazással . Microsoft Dokumentumok, 2020. június 3
  21. ↑ A FIDO 1.0 specifikációi közzétételre kerülnek, és végső felkészülés az erős iparági hitelesítés széles körű iparági elfogadására 2015 -ben , FIDO Alliance, hozzáférés: 2014. december 12.
  22. Dustin Ingalls: Microsoft bejelentette FIDO támogatás Jön a Windows 10 ( Memento a február 15, 2015 az Internet Archive ), windows.com, megajándékozzuk 15 február 2015
  23. egyszeri jelszó (OTP) . TechTarget hálózat
  24. Többtényezős hitelesítés. A-SIT biztonságos információtechnológiai központ, onlinesicherheit.gv.at; Hozzáférés ideje: 2018. július 8.