Was ist Multi-Faktor-Authentifizierung?
Multi-Faktor-Authentifizierung (MFA) ist eine Authentifizierungsmethode, die von einem Benutzer verlangt, zwei oder mehr unabhängige Zugangsdaten aus verschiedenen Kategorien vorzulegen – etwas, das man weiß; etwas, das man hat; oder etwas, das man ist –, bevor Zugriff gewährt wird.
Auch bekannt als: multi-factor authentication, two-factor authentication, 2FA, MFA
Die drei Standard-Authentifizierungsfaktoren sind: Wissen (Passwörter, PINs), Besitz (Smartphones, Hardware-Token, Smartcards) und Inhärenz (Fingerabdrücke, Gesichtserkennung). MFA erfordert Zugangsdaten aus mindestens zwei dieser Kategorien, sodass das Kompromittieren eines einzelnen Faktors für einen Angreifer nicht ausreicht, um Zugang zu erlangen. Ein gestohlenes Passwort ist ohne den Hardware-Token nutzlos; ein gestohlenes Smartphone ist ohne die PIN nutzlos.
Die gängigsten MFA-Implementierungen kombinieren ein Passwort mit einem zeitbasierten Einmalpasswort (TOTP), das von einer Authenticator-App generiert wird, einem SMS-Code oder einer Push-Benachrichtigung auf einem Mobilgerät. Stärkere Implementierungen verwenden Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn), die Phishing-resistent sind, weil sie sich kryptografisch an die spezifische authentifizierende Domain binden. SMS-basierte Codes sind zwar besser als Passwörter allein, aber anfällig für SIM-Swapping-Angriffe.
MFA ist eine der wirksamsten Sicherheitsmaßnahmen, die eine Organisation einsetzen kann. Branchendaten zeigen konsistent, dass MFA über 99 % der automatisierten Angriffe auf Zugangsdaten blockiert. Dennoch bleibt die Verbreitung uneinheitlich – viele Sicherheitsvorfälle lassen sich auf Konten zurückführen, die nur durch Passwörter geschützt sind, insbesondere Dienstkonten, Legacy-Systeme und persönliche Konten, die über mehrere Dienste hinweg wiederverwendet werden.
Wie Vaulted Multi-Faktor-Authentifizierung verwendet
Vaulted verwendet keine Konten oder login-basierte Authentifizierung, daher gilt MFA nicht direkt für den Dienst. Vaulteds optionaler Passphrasenschutz bietet jedoch einen analogen zweiten Faktor für den Zugriff auf Geheimnisse. Der Link selbst fungiert als „etwas, das du hast" (Besitz der URL), und die Passphrase wirkt als „etwas, das du weißt". Zusammen stellen sie sicher, dass das Abfangen des Links allein nicht ausreicht, um auf das Geheimnis zuzugreifen – der Angreifer bräuchte auch die Passphrase, die über einen separaten Kanal kommuniziert werden sollte.