Vier-Faktor-Authentifizierung (4FA)
Die Vier-Faktor-Authentifizierung (4FA) ist ein etwas neueres Sicherheitsparadigma als die Zwei-Faktor- oder Drei-Faktor-Authentifizierung. Vier-Faktor-Systeme werden manchmal in Unternehmen und Behörden eingesetzt, die sehr hohe Sicherheitsanforderungen stellen. Höhere Stufen der Multifaktor-Authentifizierung machen es immer unwahrscheinlicher, dass ein Angreifer alle beteiligten Elemente fälschen oder stehlen kann.
Die Authentifizierungsfaktoren
Zu den Wissensfaktoren, gehören alle Informationen, die ein Benutzer wissen muss, um sich anzumelden. Das können zum Beispiel der Benutzername und Passwort oder auch eine PIN sein.
Zu den Besitzfaktoren gehört alles, was ein Anwender in seinem Besitz haben muss, um sich anzumelden. Das kann ein Einmalpasswort-Token (OTP-Token) sein oder aber auch ein Smartphone mit einer OTP-App.
Zu den Inhärenzfaktoren gehören biometrische Benutzerdaten, die für die Anmeldung bestätigt werden. Das können zum Beispiel Iris-Scans, Fingerabdruck-Scans oder auch Stimmerkennung sein.
Manchmal wird der Standort des Benutzers als vierter Faktor für die Authentifizierung angesehen. Die Allgegenwärtigkeit von Smartphones kann dabei helfen, derlei Faktoren zu berücksichtigen. Die meisten Smartphones unterstützen GPS, und können so eine einigermaßen sichere Bestätigung des Login-Standorts ermöglichen. Andere Methoden können beispielsweise die MAC-Adresse des Anmeldegerätes für die Bestimmung verwenden.
Manchmal wird auch die Zeit als zusätzlicher fünfter Faktor betrachtet, die Verifizierung kann so beispielsweise einige Arten von User-Hijacking-Angriffen verhindern. So kann beispielsweise ein deutscher Bankkunde seine Bankkarte nicht physisch zu Hause verwenden und innerhalb weniger Minuten auf einem anderen Kontinent einsetzen. Da die Zeit als eindeutige Bestätigungskategorie verwendet werden könnte, wird sie mitunter als separater Faktor betrachtet, wodurch die Fünf-Faktor-Authentifizierung möglich würde.
Die Anwendung von mindestens einem Element aus jeder der vier Faktorkategorien gilt als Vier-Faktor-Authentifizierung. Die Anwendung von vier Authentifizierungselementen aus zwei oder drei Kategorien zählt als Zwei- beziehungsweise Drei-Faktor-Authentifizierung.