2FA – Sicherheit vs. Nutzungserlebnis

Jun 02, 2020

„Wir verstehen, dass dies einigen eher lästig erscheint, möchten jedoch die bestmöglichen Lösungen zum Schutz deines Epic-Kontos anbieten.“ Gerade hat eine Aktion vom Epic Store geendet, die zur häufigeren Verwendung von 2FA führen und damit die Sicherheit steigern sollte.

Dieser letzte Satz bei der Ankündigung, zeigen das Problem von Sicherheit, Nutzungserlebnis und 2FA. Es ist unbestritten, dass 2FA ein zusätzliches Level von Sicherheit zumindest suggeriert und wenn richtig implementiert (leider ist das nicht immer der Fall) auch tatsächlich bietet.

2FA in Kürze

Es gibt drei Überkategorien (Faktoren), die zur Identifizierung genutzt werden können: geheimes Wissen, individueller Besitz und Biometrie. Bei einem klassischen Nutzername-Passwort-Login wird nur der Faktor „Wissen“ verwendet. Bei der 2FA müssen zwei Faktoren im Besitz eines Angreifers sein, um eine Sicherheitsbarriere zu überwinden. Da jeder Faktor eine andere Angriffsmethode benötigt, erhöht 2FA die Sicherheit, da ein Angreifer verschiedene Methoden verwenden muss.

Jeder Faktor hat dabei seine Stärken und Schwächen, aber eben immer Unterschiedliche, sodass der Aufwand für einen Angreifer deutlich steigt.

Warum ist 2FA aber so ein großes Hindernis bei der Benutzung?

Stellen sie Sich eine Tür vor. Und sie müssten zunächst einen Pin-Code eingeben und dann noch mit dem Schlüssel aufschließen. Oder in ihrem Auto erst den Zündschlüssel drehen und dann noch einen Pin eingeben. Kommt ihnen seltsam vor? Ist gefühlt überflüssig für diese Tätigkeit? So geht es auch vielen Computernutzern. Wir sind gewohnt, dass es reicht unser Passwort einzugeben (oder bei den Apps auf unserem Handy sogar noch nicht mal das) und dann muss man auf einmal noch sein Handy hervorkramen und seinen Login bestätigen?

Zwar ist das neue Online-Banking nervig, da man alles Mögliche immer und immer wieder über das Handy bestätigt werden muss, aber war es früher nutzerfreundlicher? Der Tan-Generator, den man nie zur Hand hatte, wenn man ihn brauchte, war noch nerviger und über die Tan-Listen will ich erst gar nicht sprechen.

Online-Banking - unsicher und trotzdem nutzerunfreundlich

Wenn ich auf einem Handy (ein Besitzgegenstand) meine Transaktionen mit einer zweiten App (auf dem gleichen Handy) oder sogar mit der gleichen App (die dann auch noch den selben Pin zum Freigeben verwendet, wie die App an sich), dann habe ich faktisch 2FA also mein Sicherheitsmerkmal umgangen. Da hilft es auch nichts, wenn man das Handy braucht um eine Transaktion im Browser zu tätigen, denn den Browser (2. PC) brauche ich überhaupt nicht, ich kann ja sowieso alles über das Handy machen. Warum also nicht nur eine App, mit einem Pin, das wäre sicherheitstechnisch äquivalent und nutzerfreundlicher. Und alle Transaktionen, die von dieser App gestartet werden, sind direkt authentifiziert. Wenn das die Sicherheit ist, dann bringen alle weiteren Barrieren, die auf die gleichen Faktoren setzen, nur Frust beim Nutzer.

Wie geht es Nutzerfreundlicher?

Stellen sie Sich eine Reihe an Türen vor. Und für jede wollen Sie 2FA nutzen. Allerdings da sie etwas bequem sind, verwenden Sie überall die gleichen zwei Faktoren. Doch Sie könnten stattdessen auch nur eine einzelne gesicherte Tür verwenden, hinter der sich alle anderen Türen ungesichert verbergen. Sicherheitstechnisch sind beide Verfahren äquivalent, doch Sie müssen im zweiten Fall nur eine Tür entriegeln.

Wenn sie dadurch, dass sie sich aber nur noch eine Kombination an Zugangsdaten merken müssen, können sie dort sichere (und vielleicht komplizierte) Methoden verwenden, da sie diese ja nur einmal verwenden müssen.

Ein Blick in die Zukunft – wie geht es noch sicherer (und Nutzerfreundlicher)?

2FA ist heutzutage sicherheitstechnisch sehr gut (wenn richtig umgesetzt) und sollte in vielen Fällen verwendet werden. Insbesondere die Möglichkeit diesen Schutz effektiv einmalig und dann mit noch besseren Methoden umzusetzen, sollte wahrgenommen werden.

2FA wird aber ein Auslaufmodell sein, da Sicherheit und insbesondere das Nutzungserlebnis nicht vereinbar sind. Die Zukunft wird daher Continuous Behaviour Verification lauten. Denn eine einzelne Schranke, eine einzelne Tür, wird in Zukunft nicht mehr ausreichen. Stattdessen werden Methoden im Hintergrund die Verwendung des Programmes kontrollieren, Anomalien aufdecken und in diesen Fällen eingreifen. So müssen Angreifer nicht nur die Eingangsbarriere überwinden, sondern sich durchgängig wie ein normaler Nutzer verhalten, was nochmals eine deutliche Komplexität in den Angriff bringen würde.

Das Ganze passiert, ohne dass der einzelne Nutzer etwas davon mitbekommt. Sein Nutzungserlebnis wird nicht verändert, denn quasi genau dieses Nutzungserlebnis ist die Sicherheit. Er kann das Programm ganz normal verwenden, durch diese Verwendung wird ein einmaliges Muster entwickelt, dass dann als Sicherheit gegenüber Angreifern dient.


Erfahre mehr über VIPFYs 2-Factor Authentisierung, welche die Sicherheit von Login-Prozessen durch mehrfache Identifizierung erhöht.

Teste die VIPFY Business Suite kostenlos.

VIPFY wird durch das CISPA Helmholtz-Zentrum für Informationssicherheit und das Bundesministerium für Bildung und Forschung unterstützt.

Nils Vossebein

CMO VIPFY