Mehr Sicherheit durch Zwei-Faktor-Authentifizierung

Heute schon im Web angemeldet? Sicherlich. Mit Sicherheit? Ein sicheres Kennwort ist nur ein Schritt zu mehr Sicherheit. Die Zwei-Faktor-Authentifizierung legt noch eine Ebene darauf.

Mehr Dienste, mehr Kennwörter

Die Internetnutzung führt zwangsläufig zu immer mehr Anmeldungen bei Diensten und Anbietern. Die goldene Regel, für jeden Service ein unterschiedliches Kennwort zu nutzen, lässt die Flut an Passwörtern bald überquellen. Hier hilft nur ein geeigneter Kennwortmanager wie Keepass oder Lastpass. Dies erleichtert nicht nur die Verwaltung, sondern auch die Generierung komplexer Kennwörter, ohne sich diese merken zu müssen.

Mehr Dienste, mehr Hacks

Viele Dienstleister gehen fahrlässig mit der Kennwortdatenbank der Nutzer um. Aber auch ein verantwortungsvoller Umgang der Anbieter mit den Kundendaten bietet keine Garantie der Vertraulichkeit. Zu gut sind heute die Techniken der Angreifer, zu anfällig die eingesetzte Software. Immer mehr Zero-Day-Exploits machen die Dienstanbieter sogar machtlos gegenüber einem mittlerweile professionell organisierten Schwachstellenhandel.

Was nutzt folglich das komplexeste Kennwort des Nutzers, wenn dieses aufgrund einer Schwachstelle im Webserver einfach entwendet werden kann? Derartige Vorfälle sind in letzter Zeit eher die Regel als die Ausnahme. Der jüngste Fall von Adobe zeigt die Dringlichkeit zum Handeln.

Was ist die Zwei-Faktor-Authentifizierung?

Der Begriff klingt etwas holprig. Das System ist aber simpel. Fußt das „normale“ Anmeldeverfahren nur über die beiden Komponenten Username und Kennwort, so wird dies durch den Einsatz der ZFA durch eine dritte Variable ergänzt. In der Praxis ist es meist ja nur das Kennwort, welches den Zugang legitimiert – der Username ist meist gleich der Mailadresse.

Zwei-Faktor-Authentifizierung

Mehr Sicherheit durch Zwei-Faktor-Authentifizierung

„Etwas, das Sie wissen und etwas, das Sie haben“, so könnte man die Anwendung des Verfahrens beschreiben. Was Sie oder Ihr Kennwortmanager wissen, ist das Passwort. Was Sie haben, ist ein zweites Gerät – in diesem Fall meist ein SmartPhone.

Wie funktioniert die Zwei-Faktor-Authentifizierung?

Obwohl es nicht unbedingt das eigene Handy sein muss – in der Praxis ist das funktionsreiche Telefon die ideale Lösung: es ist „intelligent“ und immer mit dabei. Oder anders ausgedrückt: mit nur wenigen Fingerklicks steht jederzeit ein Codegenerator zur Verfügung.

Wie (kompliziert) sieht aber nun die Praxis aus? Ist die ZFA für einen Dienst aktiviert, so reichen die beiden Zeichenfolgen – Username und Kennwort – nicht mehr aus, um erfolgreich als zugangsberechtigt bestätigt zu werden. Es erfolgt noch die Abfrage eines Codes. Dieser wird (z.B.) auf dem SmartPhone mithilfe einer speziellen App erzeugt und wird zusätzlich eingegeben. Erst wenn diese Eingabe ebenfalls stimmt, kann der Dienst genutzt werden.

 Der Codegenerator

Auch ein Gerät zur Generierung von Einmal-Kennwörtern ist nichts Neues. Die Technik wird seit langer Zeit bei kritischen Zugängen (Börsentransaktionen, etc.) genutzt. Der Unterschied besteht in unserem Fall nur darin, dass dafür eine „App“ auf dem Smartphone anstatt eigener Hardware dazu genutzt wird. „Immer dabei“ ist die entscheidende Devise.

Der Google-Authenticator

Zwei-Faktor-Authentifizierunng mit dem Google-Authenticator

Das Minutenkennwort

Nach der Eingabe von Username und Kennwort zur Anmeldung erfolgt also ein zusätzlicher Authentifizierungsschritt: die Abfrage des Codes. Ein Starten der passenden App auf dem mobilen Begleiter bringt sofort einen Zahlencode. Dieser gilt nur für diesen (Web-)Service und auch nur für eine sehr begrenzte Zeit. Bereits eine Minute später ist dieser ungültig und ein neuer wird generiert.

 Die Einrichtung

Vor der Nutzung der Zwei-Faktor-Authentifizierung sind zwei Schritte notwendig: 1) die Aktivierung dieser erweiterten Zugangsmethode im jeweiligen Dienst und 2) die Erzeugung eines nur für diesen Service passenden Eintrags in der SmartPhone-App.

Die Praxis: Rufen Sie in der gewünschten Applikation die Verwaltung Ihrer Zugangsdaten auf und aktivieren Sie dort die ZFA. Danach erhalten Sie meist einen QR-Code angezeigt. Diesen können Sie mit der ZFA-App auf Ihrem SmartPhone einfach „abfotografieren“, um einen neuen Eintrag zu erzeugen. Wie gesagt: für jeden Anbieter bzw. jede Webanwendung ist ein eigener Eintrag in der Authentifizierungs-App erforderlich.

Ist dieser Eintrag einmal angelegt, so genügt zukünftig ein Starten der Handy-App, um den Code anzuzeigen. Dieser wird jetzt in die Abfrage der Webanwendung eingegeben und der Zugang ist erteilt.

Immer wieder tippen?

Die Vermutung, dass zukünftig die Eingabe dadurch noch schwieriger und zeitaufwendiger wird (Kennwort aus dem Passwort-Tresor abfragen, ZFA-Code aus der App), stimmt nur bedingt. Die Verpflichtung, bei jedem Aufruf einer Anwendung diesen Code eingeben zu müssen, kann für bestimmte vertrauenswürdige Geräte deaktiviert werden. Dies sollte mit Bedacht genutzt werden. Vor allem bei mobilen Geräten kann diese „Vereinfachung“ schnell die zusätzliche Sicherheit aushebeln.

Der eigene PC zuhause oder der Firmenrechner könnten aber gute Kandidaten für eine solche Vertrauensstellung sein. Wird auf einem einmal als vertrauenswürdig erklärten Gerät die Webanwendung gestartet, so sind Username und Kennwort ausreichend – der ZFA-Code entfällt.

SmartPhone vergessen? Was nun?

Was aber tun, wenn die allesentscheidende App auf dem SmartPhone den Dienst verweigert? Was, wenn das intelligente Telefon zuhause auf dem Schreibtisch liegt und ausgerechnet jetzt der Zugang unterwegs so wichtig ist? Die Antwort: dies hängt vom jeweilig genutzten Dienst ab. Manche bieten die Möglichkeit auch per SMS jenen kurzlebigen Code zu erhalten. Andere wiederum versorgen den Anwender mit „Offline-Codes“, also eine Liste vorab definierter Zahlen, die z.B. in einem geschützten Passwort-Tresor abgelegt werden können (ähnlich der bekannten TANs einer Bank). Hier geht es nicht ohne ein Studium der jeweiligen Hilfe der genutzten Anwendung.

Vertrautes Gerät verloren? Was nun?

Wenn Sie einen Dienst ständig auf Ihrem SmartPhone oder Tablet nutzen, werden Sie wahrscheinlich dieses als vertrauenswürdig einstufen. Dies bedeutet aber auch, dass ein Dieb diese zusätzliche Sicherheitsstufe gar nicht benötigt. Abhilfe schaffen hier nur die Kontoeinstellungen der jeweiligen Anwendung. In der Verwaltung der Zwei-Faktor-Authentifizierung finden Sie auch eine Liste der als vertrauenswürdig eingestuften Geräte. Hier wird einfach der Eintrag für das verlorene Gerät gelöscht. Schon ist die Sicherheitsstufe wieder aktiv. Nur nicht vergessen…

Der zusätzliche Schutz für Lastpass

Nirgendwo ist mehr Sicherheit gefragt als bei der Nutzung eines Passwort-Safes. Schließlich enthält jener verschlüsselte Tresor all Ihre mühsam gepflegten (komplexen) Kennwörter! Sollten Sie also einen Service wie Lastpass nutzen, so ist der Einsatz einer Zwei-Faktor-Authentifizierung dafür fast schon Pflicht. Auf diese Weise kann der doch so einfach und flexibel zu nutzende Sicherheitsdienst mit einem entscheidenden Quantum Sicherheit verstärkt werden.

Probleme in der Praxis

Obwohl die Nutzung der ZFA schon bei vielen Diensten (Dropbox, Evernote, Google, Facebook, PayPal, Microsoft, etc.) Einzug gehalten hat, ist der „Betrieb“ nicht ohne Hürden. Einen grundlegenden Stolperstein für den Anwender stellt sich beim Wechsel des SmartPhones. Hier reicht es nicht, die jeweilige „App“ wieder zu installieren, da dann alle ZFA-Einträge verloren sind. Einfach haben es hier die Anwender von Apples iOS: ein Backup und Recovery über iTunes – wie bei jedem Gerätewechsel – stellt auch die ZFA-Einträge auf dem neuen Gerät wieder her. Vorausgesetzt das Backup erfolgte verschlüsselt (iTunes-Einstellungen) – nur dann werden auch der „Schlüsselbund“ und andere Kennwörter übertragen. Im Fall von Android-Telefonen empfiehlt sich ein Blick vorab in die Hilfe („Move to a different Phone„).

Damit aber nicht genug der Probleme. Im Fall von Microsoft-Diensten stellen verknüpfte Accounts bis dato eine Hürde, die so manchen Anwender verzweifeln ließen. Nutzer von vielen MS-Services (Skype, SkyDrive, XBox, Outlook.com, etc.) sollten folglich alle (!) genutzten Dienste prüfen, bevor die zusätzliche Authentifizierung aktiviert wird.

Vorsicht ist auch für Anwender geboten, die spezielle Apps eines Dienstes nutzen, die keinen Code unterstützen. Letztlich muss aber gesagt werden, dass „einfache“ Dienste problemlos handzuhaben sind. Im Notfall kann die ZFA ja auch wieder deaktiviert werden.

App, welche App?

Zuletzt noch zum Herzstück Ihrer zukünftigen Zusatzsicherheit: der SmartPhone-Anwendung. Zum Glück gibt es auf diesem Gebiet einen Ansatz von Kompatibilität. Wenn auch sonst jeder Hersteller nach wie vor es vorzieht, sein eigenes Süppchen zu kochen, gibt es in puncto Zwei-Faktor-Authentifizierung Entwarnung: Sowohl die Anwendung von Google (Google Authenticator, erhältlich für Android und iOS) wie auch der MS Authenticator für Windows Phone generieren kompatible Codes zur verstärkten Anmeldung. Weitere Anregungen sowie Anleitungen zur Konfiguration einzelner Anwendungen finden Sie in Vielzahl im Blog von Caschy sowie hier.

Wozu der Mehraufwand?

Viele Anwender hinterfragen nach wie vor den Sinn einer zusätzlichen Sicherheit für ihre Accounts. Frei nach dem Motto: Ich nutze nur Webmail und Facebook – was will ein Hacker mit meinem Zugang?

Letztendlich bleibt es jedem selbst überlassen, ob und wie er/sie seine Daten und genutzten Dienste schützt. Ich möchte an dieser Stelle nur um eine erweiterte Absicherung der eigenen Persönlichkeit im Netz werben. Denken Sie dabei auch an die Empfänger Ihrer Einträge. Ganz abgesehen von einer missbräuchlichen Verwendung Ihrer Daten (Kreditkarte, etc.): Ihre Freunde im Web halten Ihre Nachrichten für vertrauenswürdig. Was aber, wenn die Mitteilungen von einem gekaperten Account kommen? Sicherheit im Internet bleibt auch mit der Zwei-Faktor-Authentifizierung ein Wunschtraum. Ein Schritt mehr in diese Richtung sollte der Aufwand aber Wert sein.

 


Teile diesen Artikel

Das könnte dich auch interessieren …

2 Antworten

  1. 29. Oktober 2016

    […] Zwei-Faktor-Authentifizierung bietet unbestreitbar einen Sicherheitsgewinn im Rahmen der vielfachen Anmeldung bei Diensten mit […]

  2. 6. März 2017

    […] Zwei-Faktor-Authentifizierung wird mit Windows 10 auch all deren Geräte erreichen. Das Handling in der Praxis bleibt abzuwarten. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*