1Password: Kennwortmanager mit 2FA-Integration
Die Zwei-Faktor-Authentifizierung bietet unbestreitbar einen Sicherheitsgewinn im Rahmen der vielfachen Anmeldung bei Diensten mit Username und Kennwort. Der Einsatz der 2FA ist in der Praxis nicht immer einfach. 1Password, das Programm zur Kennwortverwaltung, zeigt, wie es in der Praxis einfacher geht.
Die Zwei-Faktor-Absicherung
Viele Dienste wie Google, Evernote oder Dropbox bieten bereits seit längerem die Möglichkeit, die einfache Anmeldung mittels Name (meist E-Mail-Adresse) und Kennwort um einen zusätzlichen Schritt besser abzusichern. Nutzt man auf einem – dem Dienst – bisher unbekannten Gerät die Anwendung, so ist eine weitere Eingabe im Rahmen der Anmeldung notwendig. Erst die Eingabe des sechsstelligen Codes, der nur für wenige Sekunden gültig ist, schaltet den Zugriff frei.
Die App am SmartPhone
Erzeugt wird dieser Code in einer App auf dem – meist immer zur Verfügung stehenden – SmartPhone. Googles Authenticator ist beispielsweise eine solche App, die dann die Zugangszahlen für alle möglichen Webdienste erzeugt und verwaltet. Startet man die App, so werden für alle eingetragenen Dienste die aktuellen Zugangscodes automatisch dargestellt. Einfach und schnell.
2FA-Einträge ablegen
Die Einrichtung der Zwei-Faktor-Authentifizierung ist von Dienst zu Dienst unterschiedlich, folgt aber immer demselben Schema: Nach der Aktivierung stellt der Hersteller einen QR-Code dar. Dieser wird mithilfe der 2FA-App gescannt. Fertig.
Kennwort-Eintrag mit 2FA-Code in 1Password
Verwalten von 2FA
Etwas umständlicher gestaltet es sich, wenn man die zusätzliche Sicherheit bei einem Service eingerichtet hat, die 2FA-App aber keinen Eintrag mehr dazu hat. Dies ist schon gerne mal der Fall, wenn man auf ein anderes SmartPhone-Modell umgestiegen ist oder die App neu installieren musste. Wie die Praxis zeigte, ist auch eine Migration eines iPhones (mithilfe von iTunes) keine Garantie für eine vollständige Datenübernahme. Dann hilft nur noch eines: In den Optionen der Webanwendung von Google, Evernote und Co. die Zwei-Faktor-Authentifizierung deaktivieren und sofort wieder aktivieren. Nur so erfolgt die Ausgabe des QR-Codes für die Integration in die 2FA-App.
Zentral abgelegt
Einen weitaus zuverlässigeren Weg geht hier der Passwortmanager „1Password“. Neben der Möglichkeit für alle vorstellbaren Vertraulichkeiten einen verschlüsselten Eintrag zu generieren, kann hier für einzelne Einträge auch der passende 2FA-Code konfiguriert werden. Über den Datenabgleich von SmartPhone und PC oder Mac steht damit jederzeit der passende 2FA-Zugangscode auf allen Geräten zur Verfügung – inklusive Backup im Rahmen der Sicherung des Kennwort-Tresors.
2FA mit 1Password
Die Vorgehensweise in 1Password ist einfach. In der Praxis hilfreich ist es, jeden Eintrag dieser Art in 1Password mit einem entsprechenden „Tag“ (z.B. „2FA“) zu versehen. Dies erspart Zeit im täglichen Gebrauch und ist hilfreich bei der Migration von Einträgen wie z.B. dem Google Authenticator.
- Suchen Sie den gewünschten Eintrag (Google, Evernote, etc.) in der 1Password-Anwendung.
- Gehen Sie auf „Bearbeiten“.
- Wählen Sie nun „Neues Einmalpasswort hinzufügen“. Es wird ein neues Feld generiert.
- Klicken Sie rechts neben dem Feld „Einmal-Passwort“ auf das QR-Code-Symbol.
- Es startet die Kamera am SmartPhone und Sie können nun den auf der Webseite dargestellten QR-Code „abfotografieren“.
- Alle notwendigen Daten werden automatisch abgelegt. Speichern Sie den Eintrag in 1Password.
QR-Code in 1Password scannen
Wenn Sie zukünftig eine Kennwort oder andere verschlüsselte Angaben zu einem Dienst in 1Password abrufen, wird Ihnen automatisch der passende 2FA-Code für diese Site angezeigt – unabhängig ob Sie die App am SmartPhone oder am PC / Mac nutzen. Auch die „Backup-Codes“ der 2FA – einmalige Codes, die den Zugang ohne App-Generierung ermöglichen – können in 1Password sicher gespeichert werden.
2FA-Code auf der Apple Watch abrufen
2FA und die Apple Watch
Besitzer einer Apple Watch können den Abruf der 2FA-Codes noch einfacher haben. Einfach den gewünschten 1Password-Eintrag auf dem iPhone für die Nutzung auf der SmartWatch auswählen (am besten alle Einträge, die mit „2FA“ getagged sind) und schön kann auf der Apple Watch der zeitlich begrenzte Code für den Zugang jederzeit abgerufen werden. Das iPhone kann ich der Tasche bleiben.
2FA und die vielen Cloud-Dienste
Den Einsatz der Zwei-Faktor-Authentifizierung sollten Sie für jeden Cloud-Dienst in Erwägung ziehen. Die Integration in die eigene App – egal, ob Google Authenticator, 1Password oder eine andere Lösung – ist eine Sache von wenigen Sekunden. Viel aufwendiger ist die Antwort auf die Frage, ob der Dienst XY den Einsatz von 2FA unterstützt und an welcher Stelle sich die Aktivierung in den Optionen befindet. Anlaufstelle sollte hier die „Two Factor Auth List“ sein. Hier finden Sie eine Menge an Anbietern, sauber sortiert nach Kategorien, und deren unterstützte 2FA-Methoden – inklusive Links zu deren Hilfeseiten zum Thema 2FA.
Ist das sicher?
Die sicherlich berechtigte Frage nach der sicheren Nutzung von Kennwörtern stellt sich auch an dieser Stelle. Jegliche Art der Synchronisation von – noch so gut verschlüsselten – Kennwortspeichern über Drittanbieter und die Cloud (siehe diesen Blogbeitrag) stellt immer eine Gefahr dar. Gleiches gilt für die Aufbewahrung von Kennwörtern und der 2FA-Codes in ein und derselben Anwendung. Letztlich muss jeder für sich dieses „Restrisiko“ einschätzen. Mehr Sicherheit als die Ablage in unverschlüsselten Notizen bietet es allemal.
Eine Antwort
[…] Löschen schon einmal mehr Probleme als bedacht verursachen. Auch hier der übliche Rat zu einem Kennwort-Manager. Gerade im Fall der Office-Anwendungen hilft aber manchmal nur ein Entfernen aller […]