Die Zwei-Faktor Authentifizierung über einen SMS Passcode ist ein sicheres und trotzdem einfaches "tokenloses" Verfahren. Nicht zuletzt aus diesem Grund nutzen viele Online-Banken dieses Verfahren zum Schutz von Kunden-Transaktionen. Jedes SMS fähige Mobiltelefon kann hierbei als SMS Passcode Empfänger genutzt werden.

Auch für Unternehmen ist eine Zwei-Faktor Authentifizierung über einen SMS Passcode zum Schutz Ihrer Remote-Zugänge vorteilhaft, da das Mobiltelefon ein ständiger Begleiter ist und einen höheren Stellenwert hat als Hardware-Token. Zusätzlich entfällt die aufwendige Administration von Hardware-Token.

Wie funktioniert Zwei-Faktor Authentifizierung über SMS Passcode?

Um die nötige User-Akzeptanz zu erreichen, integrieren sich viele Zwei-Faktor Authentifizierungen nahtlos in die Remote-Access Plattformen (z.. Citrix, Cisco, Microsoft, VPN, Radius) und ergänzen die Eingabemasken von Name und statischem Passwort um eine zusätzlich Passcode Abfrage. Ein "Passcode" wird auch als One-Time-Password (OTP) oder Einmalpasswort bezeichnet, da der Passcode nur für eine Anmeldung und meist auch zeitlich limitiert gültig ist.

Beim SMS Passcode Verfahren erhält der Anwender den Passcode als Flash-SMS (SMS, die nur angezeigt, aber nicht gespeichert wird) oder SMS entweder in Echtzeit gesandt oder das Einmalpasswort ist bereits als SMS vorhanden (pre-loaded). Durch Eingabe des Passcodes als zweiten Faktor, bekommt der Anwender remote Zugang zum Unternehmensnetzwerk, Cloud-Anwendung oder virtuellen Umgebungen (z.B. VMware). Die SMS Passcodes sind fast immer session-locked, d.h. die Nutzung funktioniert nur zusammen mit einer bestimmten Session-ID (siehe auch hier).

"Tokenlose" Zwei-Faktor Authentifizierung

"Tokenlose" Multi-Faktor Authentifizierung ist der Überbegriff für alle Authentifizierungsverfahren, die ohne Hardware-Token arbeiten. Dabei kann ein Passcode auch in Form eines Software-Tokens auf den mobilen Devices (z.B. Smartphone, Tablet oder Notebook) generiert werden. Diese Methode ist besonders für User geeignet, die sich mehrmals täglich anmelden müssen, in Gebieten mit schlechter Netzabdeckung unterwegs sind oder sich immer wieder im Ausland aufhalten und keine Roaming-Gebühren verursachen wollen oder dürfen. Soft Token Apps gibt es für Apple, Android, Windows Mobile und Blackberry Devices aber auch für Windows- und MAC-Notebooks und Desktops.

Ein Passcode kann auch per E-Mail geliefert werden. Diese Methode eignet sich gut in geschützten E-Mail Umgebungen z.B. bei Blackberry Geräten bzw. als fall-back Verfahren, falls andere Authentifizierungsmethoden nicht funktionieren.

In den seltenen Fällen, dass Mitarbeiter sich "tokenlos" ohne SMS-fähiges Telefon  authentifizieren wollen oder in Ländern arbeiten wo der SMS Empfang kostenpflichtig ist, sind Voicecall oder Call-back Verfahren möglich. Hierbei wird entweder der Passcode über einen Provider telefonisch übermittelt oder der Anwender bekommt seinen Passcode als SMS oder E-Mail angezeigt, wird zeitgleich angerufen und muss den Passcode über die Telefontastatur bestätigen. In beiden Fällen sorgt eine persönliche PIN für zusätzliche Sicherheit.

Im Gegensatz zu Hardware-Token ermöglicht "tokenlose" Zwei-Faktor Authentifizierung den sicheren Remote-Zugriff über unterschiedliche Zugänge und Remote-Access Plattformen mit einer einzigen Lösung.

Echtzeit Passcodes oder pre-loaded Passcodes?

Passcodes können in Echtzeit während der Anmeldung geliefert oder generiert werden. Andere Passcodes sind bereits vorab auf dem mobilen Device vorhanden (pre-loaded). Beide Verfahren sind ähnlich sicher, wenn die genutzten Passcodes nicht gespeichert werden, um Wiederholungsattacken zu vermeiden.