Zugangssicherheit: 2FA, MFA und FIDO2 erklärt

Inhaltsverzeichnis

Sicherheit und Zugänglichkeit sind bekanntlich konkurrierende Anforderungen: Je sicherer, desto unbequemer. Logisch also, dass viele – wenn nicht die meisten – Benutzer schlampig mit ihren Passwörtern umgehen. Seien es die berühmt-berüchtigten Zettel unter der Tastatur, Trivial-Passwörter à la "12345678", immerwährend gleiche Phrasen für verschiedene Zugänge oder der Vorname der Tochter. Daran haben bislang auch erzieherische Maßnahmen wie der Welt-Passwort-Tag – jedes Jahr am ersten Donnerstag im Mai – wenig geändert.

Wer nationale Gedenktage mag, der kann am Änderere-dein-Passwort-Tag am 1. Februar alljährlich alle, so wirklich die Aufforderung, Passwörter ändern. Dabei ist das BSI von seinem Rat, man möge Passwörter häufig ändern, bereits 2020 abgerückt. Denn das führe nur zu einfachen und somit unsicheren Passwörtern. Hintergrund: Ist ein Bruce-Force-Angriff auf ein zehn Zeichen langes Passwort aus dem Ziffernraum von 0 bis 9 in 10 Sekunden erledigt, dauert dies bei gleicher Rechenleistung bei einem Zeichenraum von 96 (Klein- und Großbuchstaben, Ziffern, Sonderzeichen) über 2000 Jahre. Dabei ist das "Erraten" von Passwörtern mittels automatisierten Ausprobierens oder Wörterbüchern nur eine Variante der Kompromittierung von Zugangsdaten. Sie können auch schlicht abgefangen oder via Social Engineering beziehungsweise Phishing ausspioniert werden. Hinzu kommt die Arbeitsbelastung auf der Serviceseite: Anrufe wegen vergessener Credentials, Mechanismen zum Übermitteln neuer Passwörter und so fort.

Mehr zu Passwörtern

• Passkeys lösen Passwörter ab - so funktionieren sie
• Zugangssicherheit: 2FA, MFA und FIDO2 erklärt
• Fünf kostenlose 2FA-Authenticator-Apps für Android im Vergleich
• Security: Backupstrategie für Zwei-Faktor-Authentifizierung entwickeln
• Passwortsicherheit: So richten Sie Zwei-Faktor-Authentifizierungen ein
• Security: Diese Verfahren und Geräte sichern Ihre Online-Zugänge
• DiceKeys: Passwortgenerator mit Würfeln
• Im Test: 25 Passwortmanager für PC und Smartphone
• Passwortmanager-Apps im Privacy-Check
• So wechseln Sie zum Passwortmanager KeePassXC
• Gute Passwörter vergeben
• 15 Passwortmanager im Test
• So bringen Sie Ordnung ins Passwort-Chaos
• Für Windows, Mac und Linux: Passwörter unter Kontrolle mit KeePassXC

Jürgen Seeger

Jürgen Seeger war von Januar 1990 bis Mai 2019 iX-Chefredakteur.

Langer Rede kurzer Sinn: Allein die Kombination von Accountnamen und Passwort ist weder sicher noch bequem oder effizient. Ein weiteres Kennwort oder Merkmal zu fordern, ist zumindest aus der Sicherheitsperspektive betrachtet eine auf der Hand liegende Idee, also eine Zwei- oder Mehr-Faktor-Autorisierung (2FA/MFA). Zudem sollte dieser zweite Faktor nicht dauerhaft kompromittierbar sein, weil er nur für ein Log-in oder für einen begrenzten Zeitraum gilt.

Das war die Leseprobe unseres heise-Plus-Artikels "Zugangssicherheit: 2FA, MFA und FIDO2 erklärt". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Workshop: Frontplatten mit System zum Selberbauen

Ein Mosaiksystem ist eine modulare Lösung für Frontplatten von Selbstbaugeräten. Mit OpenSCAD geplant, sind die Frontplatten extrem flexibel einsetzbar.

---

Volvo EX30 im Test: Elektroauto mit überreichlich Power

Der Volvo EX30 ist gelungen. Der Komfort ist hoch, und auch das Google-Infotainment arbeitet ausgezeichnet. Nachbessern muss Volvo die Software.

---

Smartwatches im Vergleich: Huawei Watch Fit 3 und Xiaomi Watch 2

Die Smartwatches von Huawei und Xiaomi kosten unter 200 Euro. Eine trägt sich angenehmer und läuft länger, die andere überzeugt optisch und hat mehr Funktionen.

---

Insta360 X4 im Test: 360-Grad-Video in 8K-Auflösung

Die Actionkamera Insta360 X4 filmt Rundumvideos in hoher Auflösung, fängt Erschütterungen ab und retuschiert Selfiestick oder Halterung. Wir haben sie getestet.

---

Kamerasensoren erklärt: So wird aus Licht ein Bild

Die Bauart eines Kamerasensors beeinflusst die Bildqualität. Wir erklären, wie, und was das für Ihre Fotos bedeutet.

---

Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung

Behörden müssen Dienste digitalisieren. Dafür suchen sie nach IT-Fachkräften. Wir zeigen, für wen sich die Karriere eignet – und wie viel Geld man verdient.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Workshop: Frontplatten mit System zum Selberbauen

Ein Mosaiksystem ist eine modulare Lösung für Frontplatten von Selbstbaugeräten. Mit OpenSCAD geplant, sind die Frontplatten extrem flexibel einsetzbar.

---

Volvo EX30 im Test: Elektroauto mit überreichlich Power

Der Volvo EX30 ist gelungen. Der Komfort ist hoch, und auch das Google-Infotainment arbeitet ausgezeichnet. Nachbessern muss Volvo die Software.

---

Smartwatches im Vergleich: Huawei Watch Fit 3 und Xiaomi Watch 2

Die Smartwatches von Huawei und Xiaomi kosten unter 200 Euro. Eine trägt sich angenehmer und läuft länger, die andere überzeugt optisch und hat mehr Funktionen.

---

Insta360 X4 im Test: 360-Grad-Video in 8K-Auflösung

Die Actionkamera Insta360 X4 filmt Rundumvideos in hoher Auflösung, fängt Erschütterungen ab und retuschiert Selfiestick oder Halterung. Wir haben sie getestet.

---

Kamerasensoren erklärt: So wird aus Licht ein Bild

Die Bauart eines Kamerasensors beeinflusst die Bildqualität. Wir erklären, wie, und was das für Ihre Fotos bedeutet.

---

Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung

Behörden müssen Dienste digitalisieren. Dafür suchen sie nach IT-Fachkräften. Wir zeigen, für wen sich die Karriere eignet – und wie viel Geld man verdient.