Zwei-Faktor-Authentifizierung (2FA) am Beispiel Online-Banking
Zuletzt aktualisiert am 24. März 2019 durch Jürgen Voskuhl
In diesem Beitrag stellen wir Ihnen die praktische Anwendung einer Zwei-Faktor-Authentifizierung am Beispiel Online-Banking vor.
Von einer Zwei-Faktor-Authentifizierung (2FA) spricht man, wenn mindestens zwei Elemente aus den Kategorien
- Wissen (zum Beispiel das Passwort)
- Besitz (zum Beispiel die Girokarte oder das Mobiltelefon des Kunden) und
- Inhärenz, also ein ständiges Merkmal des Kunden (zum Beispiel der Fingerabdruck)
für die Durchführung einer Aktion (Anmeldung bei einem Online-Zugang, Ausführen einer Banküberweisung, …) erforderlich sind. Hierzu nachfolgend ein Beispiel aus dem Bereich Online Banking.
Beim Online Banking anmelden
Nehmen wir an, ich möchte bei meiner Bank (ING Bank) eine Online-Überweisung tätigen. Dazu muss ich mich zunächst per Browser im Web-Zugang meiner Bank anmelden. Hierfür benötige ich meine Zugangsnummer und meine Internetbanking PIN:
Anschließend werde ich zur Eingabe von zwei zufällig ausgewählten Stellen meines 6‑stelligen DiBa Keys aufgefordert:
Alle drei Informationen (Zugangsnummer, Internetbanking PIN, DiBa Key) gehören zur Kategorie Wissen.
Ich bin an dieser Stelle lediglich in der Lage, meinen Kontostand sowie alle Umsätze einzusehen. Für das Ausführen einer Überweisung braucht es eine zusätzliche Information.
Eine Überweisung ausführen
Nachdem ich im Browser die Überweisungsfunktion aufgerufen und die relevanten Daten (Zahlungsempfänger, dessen IBAN, Betrag, usw.) eingegeben habe, werde ich aufgefordert, den Auftrag auf meinem (dafür bei der Bank autorisierten) Mobiltelefon über die App der ING Bank freizugeben:
Hierfür benötige ich also zwingend mein Mobiltelefon, welches zur Kategorie Besitz gehört.
Erst diese Kombination aus Wissen und Besitz führt letztendlich zur Belastung meines Bankkontos.