Die MFA (Multi-Faktor-Authentifizierung) ist ein Verfahren, bei dem ein Nutzer für eine Anmeldung mindestens zwei unabhängige Nachweise aus unterschiedlichen Kategorien erbringt. Dadurch bleibt der Schutz auch dann erhalten, wenn ein Faktor — meist das Passwort — gestohlen oder erraten wurde.
Im engeren Sinn wird oft 2FA (Zwei-Faktor-Authentifizierung) als Synonym verwendet. Beide Begriffe meinen dasselbe Grundprinzip; MFA ist die allgemeinere Bezeichnung und umfasst auch Verfahren mit mehr als zwei Faktoren.
Faktor-Kategorien
Die klassischen drei Kategorien lauten:
- Wissen — etwas, das der Nutzer weiß. Beispiele: Passwort, PIN, Antwort auf Sicherheitsfrage.
- Besitz — etwas, das der Nutzer hat. Beispiele: Hardware-Token, Smartphone, Smartcard, FIDO2-Schlüssel.
- Inhärenz — etwas, das der Nutzer ist. Beispiele: Fingerabdruck, Gesichtserkennung, Iris-Scan.
Manche Modelle ergänzen Ort (Standort des Nutzers) und Verhalten (Tippmuster, Bewegungsprofile) als zusätzliche, wenn auch schwächere Faktoren.
Wichtig: Zwei Nachweise aus derselben Kategorie ergeben keine MFA. Zwei Passwörter sind kein zweiter Faktor.
Verbreitete Verfahren
Im Alltag haben sich mehrere Verfahren durchgesetzt:
- TOTP (Time-Based One-Time Password) — Authenticator-Apps wie Aegis, Authy oder Google Authenticator erzeugen alle 30 Sekunden einen Einmal-Code.
- HOTP — wie TOTP, aber zähler- statt zeitbasiert. Heute selten.
- Push-Benachrichtigung — eine vertrauenswürdige App fragt auf dem registrierten Gerät nach Bestätigung.
- SMS- oder E-Mail-Codes — bequem, aber schwächer: SMS sind anfällig für SIM-Swapping, E-Mail-Konten sind oft selbst nur passwortgeschützt.
- Hardware-Schlüssel mit FIDO2 / WebAuthn — physische Geräte (z. B. YubiKey), die eine kryptografische Antwort liefern. Resistent gegen Phishing, weil die Antwort an die Origin gebunden ist.
- Biometrie — Fingerabdruck oder Gesichtserkennung, meist als bequemer Faktor in Verbindung mit dem Gerät selbst.
Phishing-Resistenz
Nicht jedes MFA-Verfahren bietet denselben Schutz. Klassische TOTP-Codes können auf einer gefälschten Anmeldeseite mit eingegeben und vom Angreifer in Echtzeit weiterverwendet werden. WebAuthn-basierte Hardware-Schlüssel sind resistent gegen diese Art Phishing, weil die Signatur kryptografisch an die echte Origin gebunden ist.
Im Sicherheitskontext gilt grob:
- Schwach — SMS, E-Mail.
- Mittel — TOTP-App, Push.
- Stark — FIDO2 / WebAuthn, idealerweise mit getrenntem Hardware-Schlüssel.
Recovery
Jedes MFA-Verfahren braucht ein Konzept für den Verlust des zweiten Faktors — etwa ausgedruckte Backup-Codes, einen zweiten registrierten Schlüssel oder einen administrativen Wiederherstellungsweg. Ohne Recovery wird MFA zur Selbstaussperrung.