Die Multi-Faktor-Authentifizierung ist sicherlich ohne menschliches Eingreifen möglich.
Es ist jedoch eine Frame-Herausforderung erforderlich.
Im Umgang mit Menschen sind die drei typischen Authentifizierungsfaktoren etwas, das Sie wissen (Passwort), etwas, das Sie haben (TOTP-Gerät / Programm, Telefon mit SMS, Zugriff auf ein E-Mail-Konto usw.) und etwas, das Sie sind (Biometrie). Sie können nicht verschiedene Dinge aus demselben Faktor kombinieren und als Multifaktorauthentifizierung bezeichnen. Das heißt, ein Fingerabdruck- und ein Netzhaut-Scan sind nicht 2FA, aber ein Fingerabdruck und ein Passwort sind 2FA.
Biometrie funktioniert nicht über ein Netzwerk, unabhängig davon, ob Sie die Fingerabdrücke eines Menschen scannen oder " Fingerabdruck "eines Computers, da Sie nicht überprüfen können, ob der Client nicht lügt, es sei denn, Sie haben einen vertrauenswürdigen Agenten bereit. "Der Kunde ist in den Händen des Feindes." - Raph Koster (Spieledesigner, kein Sicherheitsexperte, aber der Rat ist gut angewendet.) Ohne diesen vertrauenswürdigen Agenten sind biometrische Daten nur zur Identifizierung nützlich, nicht zur Authentifizierung (*).
Der nächste Authentifizierungsfaktor etwas, das Sie haben, ist normalerweise nicht von etwas zu unterscheiden, das Sie als Computer kennen. TOTP-Seeds, Kennwörter, Sitzungstoken, private RSA-Schlüssel usw. sind nur Bytes für einen Computer und befinden sich irgendwann im RAM. Menschen können davonkommen, dass TOTP-Seeds, Sitzungstoken, kryptografische Schlüssel und dergleichen zweite Faktoren sind, da es sehr unwahrscheinlich ist, dass Menschen diese auswendig lernen können. Daher benötigen sie Zugriff auf separate Hardware (oder zumindest etwas, das aufgeschrieben ist).
Es gibt jedoch Dinge, die ein Computer nicht im Voraus "wissen" kann. Wenn Sie über ein Hardwaregerät verfügen, das kryptografische Vorgänge ausführt und den privaten Schlüssel auf eine Weise speichert, die nicht kopiert werden kann (ohne offensichtliche Anzeichen von Manipulationen), wie z. B. einen U2F-Dongle, gilt dies als etwas, das der Computer hat, aber nicht. Ich weiß es nicht. In ähnlicher Weise können Informationen, die außerhalb des Bandes gesendet werden, auch als etwas betrachtet werden, über das der Computer verfügt, und nicht als etwas, das er kennt. Beispielsweise kann ein Token per E-Mail, FTP oder per SMS gesendet werden. Abhängig von Ihrem Bedrohungsmodell kann das einfache Öffnen einer Verbindung an einem anderen Port gut genug sein, um automatisierte Überwachungstools zu täuschen, obwohl ich es einem aktiven Lauscher nicht anvertrauen würde.
Apropos Bedrohungsmodelle, die aktuellen Bedrohungsmodelle gegen Benutzer, die Passwörter verwenden, sind nicht nur ein Faktor. Das Bedrohungsmodell besteht darin, dass die meisten Benutzer Kennwörter wiederverwenden, Kennwörter mit niedriger Entropie haben und dass fast alle Daten eines Menschen in mehrere Datenverletzungen einbezogen wurden, einschließlich vieler Datenverletzungen, die nie erkannt oder gemeldet wurden. Da Computer keine Probleme haben, sehr lange und wirklich zufällige Kennwörter zu speichern, und jedes Kennwort speichern können, das ihnen zugewiesen wurde, ist es trivial, für jedes Dienstkonto ein eindeutiges Kennwort mit hoher Entropie einzurichten.
Fußnoten:
(*) Die Identifizierung unterscheidet sich von der Authentifizierung darin, dass ich mich als Königin des Mars identifizieren kann, aber nicht als Königin des Mars authentifiziert werden kann. Ein Benutzername ist eine Identifikation, ein Benutzername und ein Passwort sind eine Authentifizierung. Ein Fingerabdruck ist eine Identifikation, aber ein Fingerabdruck, der von einem vertrauenswürdigen Agenten erstellt wurde, der den Prozess überwacht, ist eine Authentifizierung.