MFA (Multi-Factor Authentication) bzw. 2FA (Two-Factor Authentication) ist ein Sicherheitsverfahren, bei dem sich User mit mehr als nur Benutzername und Passwort anmelden müssen.
- 2FA bedeutet, dass zwei Faktoren aus unterschiedlichen Kategorien verwendet werden, z. B.:
- Wissen – etwas, das man weiß (z. B. Passwort, PIN)
- Besitz – etwas, das man hat (z. B. Smartphone-App, Hardware-Token)
- Biometrie – etwas, das man ist (z. B. Fingerabdruck, Gesichtserkennung)
- MFA ist der Oberbegriff und kann zwei oder mehr Faktoren kombinieren.
Kurz gesagt:
MFA/2FA erhöht die Kontosicherheit, indem es neben dem Passwort einen zusätzlichen Nachweis der Identität verlangt (z. B. SMS-Code, Authenticator-App, Fingerabdruck).
Gängige Apps sind: Microsoft Authenticator, Google Authenticator oder DUO Mobile.
Dabei gibt es aber wesentliche Unterschiede in der Sicherheit. Nur weil ein zweiter Faktor verwendet wird ist man nicht per se geschützt, denn die Art und Weise welcher Faktor genutzt wird ist dabei nicht unwesentlich.
🔑 1. Code-Eingabe
a) SMS-Code (One-Time Password, OTP via SMS)
- Ablauf: Server generiert 6-stelligen Code → sendet per SMS → Nutzer tippt ihn ein.
- Sicherheitsaspekte:
- ✅ Einfach und weit verbreitet
- ❌ Anfällig für SIM-Swapping / SMS-Abfangen
- ❌ Codes sind statisch für kurze Zeit (z. B. 30–60 Sekunden) → Risiko bei Phishing
- ❌ SMS oft nicht Ende-zu-Ende-verschlüsselt
➡️ Schwach gegen Social Engineering und Netzangriffe
b) TOTP-Code (Time-based One-Time Password, z. B. Google Authenticator)
- Ablauf: Schlüssel wird lokal in der App gespeichert → App generiert alle 30 Sekunden neuen Code → Nutzer gibt ihn ein.
- Sicherheitsaspekte:
- ✅ Kein SMS-Kanal, also resistent gegen SIM-Swapping
- ✅ Funktioniert offline (kein Internet nötig)
- ❌ Phishing-anfällig (Angreifer kann Code abfangen und sofort verwenden)
- ❌ Bei Malware auf Gerät kann der geheime Schlüssel ausgelesen werden
➡️ Besser als SMS, aber nicht phishing-resistent
📲 2. Push-Token / Push-Bestätigung
a) Push-App (z. B. Microsoft Authenticator, Duo, Okta)
- Ablauf: Server sendet eine signierte Anfrage an die App → Nutzer bestätigt (Approve/Deny) oder nutzt biometrische Freigabe.
- Sicherheitsaspekte:
- ✅ Kein manuelles Eintippen → verhindert Phishing-Abfangen von Codes
- ✅ Verbindung meist TLS-gesichert und kryptografisch signiert
- ✅ Kann biometrische Faktoren einbeziehen (Face ID, Fingerabdruck)
- ❌ Push-Bombing-Angriffe möglich (Angreifer sendet viele Anfragen, Nutzer klickt versehentlich „Approve“)
- ❌ Abhängig von Internetverbindung und Integrität der App
➡️ Höherer Schutz als TOTP, besonders mit Biometrie und „Number Matching“
🛡️ 3. Hardware-basierte Token (z. B. FIDO2 / YubiKey)
- Ablauf: Token führt kryptografische Challenge-Response-Signatur aus, meist via USB/NFC.
- Sicherheitsaspekte:
- ✅ Stark phishing-resistent (bindet Anmeldung an die echte Domain)
- ✅ Keine Codes oder Push → nichts abzufangen
- ✅ Keine Internet- oder Mobilfunkabhängigkeit
- ❌ Höherer Anschaffungs- und Verwaltungsaufwand
➡️ Höchste Sicherheit, besonders für kritische Konten
⚖️ Vergleichstabelle
| Methode | Phishing-resistent | Schutz vor SIM-Swaps | Benutzerfreundlich | Internet nötig |
|---|---|---|---|---|
| SMS-Code | ❌ Niedrig | ❌ Schwach | ✅ Hoch | 📶 Ja |
| TOTP (App-Code) | ❌ Mittel | ✅ Gut | ⚖️ Mittel | ❌ Nein |
| Push-App | ⚖️ Besser | ✅ Gut | ✅ Hoch | 📶 Ja |
| Hardware-Token (FIDO2) | ✅ Sehr hoch | ✅ Sehr gut | ⚖️ Mittel | ❌ Nein |
💡 Fazit:
- Push-Token mit Biometrie bieten mehr Schutz als reine Code-Eingabe (besonders gegenüber Phishing).
- FIDO2/Hardware-Token sind am sichersten, da sie kryptografisch die echte Domain prüfen.
- SMS-Codes gelten heute als unsicher und sollten nur als Notfall-MFA verwendet werden.
Disclosure: Teile meines Blogs sind mit KI Unterstützung verfasst und von mir inhaltlich geprüft / angepasst.