Bei einer schwachen Authentisierung weise ich mich gegenüber einer Anwendung mittels Benutzername und Passwort aus. Das Passwort kann zwar kompliziert gewählt werden, doch der Schutz einer Anwendung ist damit nur bedingt möglich. Risiken dabei sind:
Bei der starken Authentisierung kommen neben Benutzername und Passwort weitere Faktoren hinzu, die einen Anwender identifizieren können. Diese kann man wie folgt unterteilen:
Nicht all diese Erweiterungen zur Identifizierung sind einfach umzusetzen. In Onlineanwendungen haben sich die Verwendung von mTAN oder Token etabliert. Beim mTAN-Verfahren wird nach der Eingabe von Benutzername und Passwort eine SMS mit einem Code an das persönliche Handy gesendet. Dieser Code muss dann in der Onlineanwendung eingegeben werden. Beim Token muss - ebenfalls nach erfolgreicher Eingabe von Benutzername und Passwort - die auf dem Token angezeigte Nummer eingetippt werden.
Die starke Authentisierung ist zwar schwierig zu manipulieren, doch bedingt sie seitens Anbieter einen erhöhten Registrations- und Verwaltungsaufwand der Benutzer. So muss ein Benutzer dem Anbieter seine Handynummer auf einem von der Anwendung unabhängigen Weg (z.B. per Post) mitteilen. Den Token wiederum muss der Anbieter dem Anwender per Post zustellen. Auch im Betrieb der Anwendung erhöht sich der Aufwand, zum Beispiel wenn Benutzer die Telefonnummer wechseln oder den Token verlieren.
Die starke Authentisierung erhöht die Sicherheit, bringt aber auch mehr Aufwand. Entsprechend sollte sie nur eingesetzt werden, wenn es wirklich nötig ist.