Es gibt in der Spitze bis zu drei feststehende Faktoren:
Wissens-Faktor, Haben-Faktor sowie Sein-Faktor
Richtig.
Wissen = Passwort
Haben = Handy oder sonstiger Hardware Token
Sein = Biometrie (Fingerprint, Gesicht, Iris usw.)
Eigentlich ist das Gerät was man besitzen soll/muss der 2.Faktor.
Wenn ich mich mittels chipTAN am PC einlogge, ist der 1.Faktor auch Benutzername/Passwort und der 2.Faktor in Besitz ist die Girocard.
Wenn ich kein chipTAN nutze kann der Login am Smartphone freigegeben werden, was in dem Fall auch der 2.Faktor ist.
Es gibt keine Reihenfolge was der zweite Faktor zu sein hat - eine Multi-Faktor Authentifizierung ist immer eine Kombination aus mindestens 2 der 3 Faktoren (Wissen, Haben, Sein)
Also alle diese Kombinationen wären in Ordnung:
Wissen + Haben = Passwort und verknüpftes Gerät
Wissen + Sein = Passwort und Biometrie (ohne verknüpftes Gerät!)
Haben + Sein = verknüpftes Gerät und Biometrie
Wissen + Haben + Sein = Passwort mit verknüpftem Gerät UND Biometrie
Nur weil oft ein Passwort als erster Faktor benutzt wird heißt das nicht, dass das immer erforderlich ist.
In mein Microsoft Konto logge ich mich z.B. komplett ohne Passwort ein und trotzdem ist das eine Multi-Faktor Authentifizierung, weil ich den Login an meinem Handy bestätige (Haben) und dann nochmal mit FaceID den Zugriff authentifizieren muss (Sein).
Die Kombination aus Haben + Sein ist sogar die sicherste von den ersten drei, weil ein Passwort potenziell am ehesten kompromittiert werden kann. Microsoft arbeitet z.B. schon länger daran, dass Passwörter möglichst komplett verschwinden weil der Login dadurch sicherer wird.
Ein Problem ist das nicht. Möglichkeiten gibt es genug.
