12. Zwei-Faktor-Authentifizierung (2FA und MFA)

Warum reicht ein Passwort nicht?

Stellt euch vor: Ein Mitarbeiter nutzt dasselbe Passwort für sein E-Mail-Konto und einen Online-Shop. Der Shop wird gehackt, die Passwortdatenbank landet im Netz. Ein Angreifer probiert die Kombination beim Firmen-E-Mail-Server – und ist drin. Er liest interne E-Mails, setzt Passwörter zurück, verschafft sich Zugang zu weiteren Systemen. Der gesamte Vorfall begann mit einem einzigen gestohlenen Passwort.

Genau das verhindert ein zweiter Faktor. Passwörter haben ein fundamentales Problem: Sie sind ein einzelner Faktor, den man stehlen, erraten oder abfangen kann.

Nach diesem Block könnt ihr:

  • die drei Authentifizierungsfaktoren (Wissen, Besitz, Inhärenz) benennen und unterscheiden
  • TOTP erklären: wie Shared Secret, Zeitstempel und HMAC zusammenwirken
  • erklären, warum FIDO2 phishing-resistent ist und TOTP nicht
  • SMS-2FA, TOTP und FIDO2 hinsichtlich Sicherheit einordnen
  • begründen, warum 2FA für Admin-Zugänge Pflicht ist
Angriff auf Passwörter:
  Phishing:            Nutzer gibt Passwort auf gefälschter Seite ein
  Datenleck:           Passwortdatenbank eines Dienstes wird gehackt
  MITM:                Passwort beim Login abgefangen
  Brute-Force:         Schwaches Passwort wird erraten
  Credential Stuffing: Gestohlene Passwörter aus anderen Diensten ausprobiert
                       (funktioniert, weil Menschen Passwörter wiederverwenden)

Lösung: Mehrere unabhängige Faktoren kombinieren. Selbst wenn ein Faktor kompromittiert wird, ist der Account noch geschützt.

Die drei Authentifizierungsfaktoren

FaktorKategorieBeispiele
Faktor 1: WissenWas man weißPasswort, PIN, Sicherheitsfrage
Faktor 2: BesitzWas man hatSmartphone, Hardware-Token, Smartcard
Faktor 3: InhärenzWas man istFingerabdruck, Gesicht, Iris (Biometrie)

2FA (Zwei-Faktor-Authentifizierung): Kombination aus genau zwei Faktoren, typischerweise Wissen + Besitz.

MFA (Multi-Faktor-Authentifizierung): Oberbegriff für zwei oder mehr Faktoren.

Wichtig: Zwei Passwörter sind kein 2FA – das sind zwei Wissen-Faktoren. 2FA bedeutet Faktoren aus verschiedenen Kategorien.

TOTP – Time-based One-Time Password

TOTP (RFC 6238) ist der Standard hinter Authenticator-Apps wie Google Authenticator, Authy, Microsoft Authenticator oder dem integrierten iOS/Android-Passwortmanager.

Wie TOTP funktioniert:

Einrichtung (einmalig):
  Server generiert einen geheimen Schlüssel (Shared Secret, 160 Bit)
  → Als QR-Code angezeigt → Nutzer scannt mit Authenticator-App
  → App und Server teilen denselben geheimen Schlüssel

Beim Login:
  App und Server berechnen unabhängig voneinander:
  TOTP = HMAC-SHA1(Shared Secret, aktueller Zeitstempel / 30 Sekunden)
  → Beide kommen zum selben 6-stelligen Code
  → Code ist 30 Sekunden gültig, dann wechselt er

  Nutzer gibt Passwort (Faktor 1: Wissen) ein
  Nutzer gibt TOTP-Code (Faktor 2: Besitz – Smartphone mit App) ein
  → Beide müssen stimmen

Warum ist TOTP sicher?

  • Ein gestohlenes Passwort allein reicht nicht – ohne Smartphone kein Zugang
  • Der Code ändert sich alle 30 Sekunden → abgefangene Codes sind sofort wertlos
  • Der Shared Secret verlässt nie das Gerät (außer bei der initialen Einrichtung)

Probiert es selbst: TOTP könnt ihr auch ohne App auf der Kommandozeile ausprobieren:

  1. Tool installieren: sudo apt install oathtool
  2. Zufälliges Shared Secret erzeugen: head -c 20 /dev/urandom | base32
  3. TOTP-Code generieren: oathtool --totp -b <EUER_SECRET>
  4. 30 Sekunden warten, dann denselben Befehl nochmal ausführen – der Code hat sich geändert.

Das ist exakt das, was eure Authenticator-App im Hintergrund macht – nur mit einer hübschen Oberfläche statt Terminal.

Schwächen von TOTP:

  • Phishing in Echtzeit: Ein Angreifer kann Passwort + TOTP-Code gleichzeitig abfangen und sofort verwenden (Echtzeit-MITM)
  • Geräteverlust: Wenn das Smartphone verloren geht und kein Backup des Shared Secret existiert, ist der Account gesperrt
  • Gerätekompromittierung: Malware auf dem Smartphone kann TOTP-Codes auslesen

HOTP – HMAC-based One-Time Password

HOTP begegnet euch in der IHK-Prüfung als Abgrenzung zu TOTP – und gelegentlich in der Praxis bei älteren Hardware-Tokens. Das Prinzip ist dasselbe wie bei TOTP, aber statt einem Zeitstempel wird ein Zähler verwendet: Jede Code-Generierung erhöht den Zähler um eins. Wird z.B. in physischen Hardware-Tokens (RSA SecurID) verwendet, die keine interne Uhr haben. Nachteil: Geraten Client und Server außer Takt, etwa weil zu viele Codes generiert wurden, ohne sie einzugeben, entstehen Synchronisierungsprobleme. In der Praxis hat sich TOTP daher weitgehend durchgesetzt.

FIDO2 und WebAuthn – Phishing-resistente Authentifizierung

TOTP hat eine entscheidende Schwäche: Ein Angreifer kann Passwort und TOTP-Code in Echtzeit abphishen – der Nutzer gibt beides auf einer gefälschten Seite ein, der Angreifer leitet es sofort an den echten Server weiter. FIDO2 löst genau dieses Problem. Es ist der moderne Standard, der von Google, Apple, Microsoft und allen modernen Browsern unterstützt wird.

Komponenten:

  • WebAuthn: Der Web-Standard (W3C), der beschreibt, wie Browser mit Authenticatoren kommunizieren
  • CTAP (Client to Authenticator Protocol): Protokoll zwischen Browser/OS und dem Authenticator
  • Authenticator: Das Gerät, das die Schlüssel hält – ein Hardware-Token (YubiKey), das Smartphone, oder ein in das Gerät integrierter Chip (Windows Hello, Touch ID)

Wie FIDO2 funktioniert:

Registrierung (einmalig):
  Server ────► Browser ─────► Authenticator
    │            │                │
    │            │  Generiert Schlüsselpaar (Public + Private Key)
    │            │  speziell für diese Domain
    │            │                │
    │            │◄── Public Key ─│
    │◄── Public Key ──────────────│
    │   speichert Public Key      │
    │                             │
    │   Private Key bleibt im Authenticator,
    │   verlässt ihn nie

Authentifizierung:
  Server schickt zufällige Challenge an Browser
  Browser leitet Challenge an Authenticator
  Authenticator: Nutzer bestätigt (Fingerabdruck, PIN, Button-Druck)
  Authenticator signiert Challenge mit Private Key
  Signatur → Browser → Server
  Server prüft Signatur mit gespeichertem Public Key
  → Authentifizierung erfolgreich

Warum FIDO2 phishing-resistent ist:

Der Private Key ist an eine bestimmte Domain gebunden. Wenn ein Nutzer auf eine Phishing-Seite gelangt (z.B. bank-de.evil.com statt bank.de), erkennt der Authenticator die falsche Domain und verweigert die Signatur. Der Angreifer bekommt keine gültige Antwort.

Legitime Seite:    bank.de        → Authenticator antwortet
Phishing-Seite:    bank-de.evil.com → Authenticator: Domain stimmt nicht, keine Signatur

Hardware-Token (z.B. YubiKey):

Ein physischer USB/NFC/Bluetooth-Sicherheitsschlüssel. Schlüssel können nicht ausgelesen werden – selbst wenn das Gerät gestohlen wird, ist ohne Kenntnis der PIN / physischen Besitz keine Authentifizierung möglich.

Typischer Denkfehler

„Zwei Passwörter sind doppelt so sicher – das ist doch auch 2FA.” – Nein. Zwei Passwörter sind zwei Wissen-Faktoren – beide können auf demselben Weg gestohlen werden (Phishing, Datenleck). Echtes 2FA kombiniert Faktoren aus verschiedenen Kategorien: Wissen + Besitz (z.B. Passwort + Authenticator-App) oder Wissen + Inhärenz (z.B. Passwort + Fingerabdruck). Die Stärke liegt in der Unabhängigkeit der Faktoren.

SMS als 2FA – schwach, aber besser als nichts

Bevor TOTP und FIDO2 verbreitet waren, war SMS der Standard-Weg für 2FA – und er ist es in vielen Consumer-Diensten immer noch. Das Problem: SMS wurde nie für Sicherheit konzipiert.

SMS-basiertes 2FA ist weit verbreitet, gilt aber als schwache 2FA-Methode:

Schwächen von SMS-2FA:
  SIM-Swapping: Angreifer überredet Mobilfunkanbieter, Nummer auf eigene SIM zu übertragen
  SS7-Angriff:  Angriff auf das Telefonnetz-Protokoll, SMS können abgefangen werden
  Malware:      SMS-Trojaner auf Android lesen Codes aus
  Phishing:     Codes können in Echtzeit abgephisht werden

Trotzdem: SMS-2FA ist deutlich besser als gar kein 2FA. Es erhöht den Aufwand für den Angreifer erheblich.

Empfehlung der Priorität:

1. FIDO2 / Passkeys (Hardware-Token oder geräteeigener Authenticator)  ← Beste Sicherheit
2. TOTP (Authenticator-App)
3. SMS-2FA
4. E-Mail-2FA
5. Kein 2FA                                                             ← Vermeiden

Passkeys – die Zukunft der Authentifizierung

Passkeys sind der Versuch, Passwörter vollständig durch FIDO2-basierte Authentifizierung zu ersetzen. Anstatt Passwort + 2FA gibt es nur noch einen Passkey (Private Key auf dem Gerät), der per Biometrie oder PIN freigeschaltet wird.

  • Apple, Google und Microsoft unterstützen Passkeys seit 2022/2023
  • Synchronisierung über die Cloud-Keychain (iCloud Keychain, Google Password Manager)
  • Phishing-resistent, da domaingebunden
  • Kein Passwort mehr → kein Passwortleck möglich

Vergleich der 2FA-Methoden

MethodePhishing-resistentGeräteverlust-RisikoBenutzerfreundlichkeitUnternehmenseinsatz
SMSNeinGeringHochMöglich, nicht empfohlen
TOTP (App)NeinMittel (Backup nötig)MittelVerbreitet
FIDO2 (Hardware-Token)JaGering (Backup-Token)HochEmpfohlen
FIDO2 (Plattform, Touch ID etc.)JaMittel (gerätgebunden)Sehr hochWächst stark
PasskeysJaGering (Cloud-Sync)Sehr hochZukunft

Merke: 2FA ist für jedes System mit sensiblen Daten Pflicht – besonders für Admin-Zugänge, VPN, Cloud-Dienste und E-Mail. Ein gestohlenes Passwort ist für einen Angreifer wertlos, wenn der zweite Faktor fehlt. Richtet für eure eigenen Admin-Zugänge mindestens TOTP ein – besser FIDO2.

Recovery Codes – der Notfallplan

Was passiert, wenn euer 2FA-Gerät weg ist – Handy kaputt, YubiKey verloren? Ohne zweiten Faktor kommt ihr nicht mehr rein. Genau dafür gibt es Recovery Codes.

Bei der Einrichtung von 2FA generieren die meisten Dienste eine Liste einmaliger Notfall-Codes. Jeder Code funktioniert genau einmal und ersetzt im Notfall den zweiten Faktor.

Regeln für Recovery Codes:

  • Offline und sicher speichern – ausdrucken und in den Tresor legen, nicht als Screenshot auf dem Handy
  • Nicht digital unverschlüsselt ablegen – sie sind genauso schützenswert wie Passwörter
  • Verbrauchte Codes streichen – jeder Code ist nur einmal gültig
  • Ohne Recovery Codes und ohne 2FA-Gerät ist der Account-Zugang verloren – dann hilft nur noch der IT-Support, oft mit aufwendiger Identitätsprüfung

Merke: Recovery Codes sind genauso schützenswert wie eure Passwörter. Behandelt sie entsprechend.

Zusammenfassung

  • 2FA kombiniert zwei Faktoren aus verschiedenen Kategorien (Wissen + Besitz oder Wissen + Inhärenz)
  • TOTP generiert zeitbasierte Einmalcodes aus einem Shared Secret – einfach, aber phishing-anfällig in Echtzeit
  • FIDO2/WebAuthn bindet den Private Key an eine Domain – der Authenticator verweigert auf Phishing-Seiten die Signatur
  • Passkeys ersetzen Passwörter komplett durch FIDO2-basierte Authentifizierung
  • SMS-2FA ist schwach (SIM-Swapping, SS7), aber immer noch besser als kein zweiter Faktor

Selbsttest

  1. Ein Nutzer loggt sich mit Passwort und PIN ein. Ist das 2FA? Begründet eure Antwort.
  2. Warum kann ein Angreifer einen TOTP-Code in Echtzeit abphishen, aber bei FIDO2 nicht?
  3. Ordnet die folgenden 2FA-Methoden nach Sicherheit: SMS, TOTP-App, FIDO2-Hardware-Token, E-Mail-Code.

Wie geht es weiter?

Authentifizierung sichert den Zugang – aber was, wenn der gesamte Netzwerkverkehr geschützt werden muss? Block 12 zeigt VPN-Technologien: verschlüsselte Tunnel durch das öffentliche Internet, mit denen Standorte verbunden und Homeoffice-Zugänge abgesichert werden.