Wie funktioniert eine Zwei-Faktor Authentifizierung (2-FA)

[SchöneBlume]

Hallo,

kann mir jemand verständlich erklären wie eine Zweifaktor-Authentifizierung App fürs Smartphone funktioniert? Im Grunde scannst du bei der Einrichtung einen QR-Code, damit wird am Smartphone ein Code in regelmäßigen Abständen generiert, aber wie prüft die Seite nach, ob der Code auch richtig ist?

Ich dachte bis dato, weil sich die beiden Dinge übers Internet "absprechen", aber mein Authentificator geht auch offline ohne Internetzugriff, wie funktioniert das?

 

[duAffentier]

https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung

Google hilft.

 

[Amaoto]

Falls du TOTP meinst, ist es ein geheimer Schlüssel (den beide Seiten bereits kennen) und die aktuelle Uhrzeit. Es braucht also z.B. keine Verbindung übers Internet o.Ä. aufgebaut zu werden.

https://de.wikipedia.org/wiki/Time-based_one-time_password

 

[Sykehouse]

Weil die Gegenstelle denselben Code generiert aus dem ursprünglichen Code und der aktuellen Zeit.

 

[kartoffelpü]

Bei Berechnung des Codes wird die aktuelle Uhrzeit einbezogen, wodurch keine Internetverbindung benötigt wird.
Siehe z.B. https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
Bis vor ein paar Jahren lief so etwas auch schon ohne App auf Hardwaretokens, welche auch keine Internetverbindung haben, z.B. so was: https://www.cdw.com/product/rsa-securid-sid700-hardware-token/800120

 

[piepenkorn]

Zwei-Faktor-Authentisierung

 

[duAffentier]

aber wie prüft die Seite nach, ob der Code auch richtig ist?

Internetverbindung

 

[H3llF15H]

https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung

 

[Kampfbiene]

Das funktioniert über die Uhrzeit und einen sogenannten Seed.

In dem QR Code den du scannst steht der Seed, eine Buchstaben und Ziffernfolge. Die kann man sich meist auch so anzeigen lassen wenn man anklickt dass der QR Code nicht funktioniert o.ä.

Dein Gerät errechnet aus der Kombination von Uhrzeit und Seed dann den 6-stellige Code.
Der Dienst bei dem du dich anmeldest kann das dann entsprechend gegenprüfen.
Übermittelt wird nur der OTP Code.

Wenn du den Seed/QR Code abspeicherst kannst du dir das auch an beliebig vielen Stellen ablegen (Authenticator auf dem Handy, Passwortdatenbank am PC, etc.).

https://de.wikipedia.org/wiki/Time-based_one-time_password

 

[SchöneBlume]

Vielen Dank Kampfbiene für deine Erklärung und den Tipp für die Passwortdatenbank!

 

[Limmbo]

ich würde davon abraten den QR Code mit in der Datenbank von den eigentlichen Passwörter abzulegen. Ein Hacker müsste „nur“ Zugriff auf die Datenbank bekommen und hätte somit Zugriff auf alle hinterlegten Webseiten, inkl. der MFA.