Zwei-Faktor-Authentifizierung

Logo ZEBRA

Immer wieder gibt es Meldungen in den Medien, dass Millionen von Passwörtern von E-Mail-Clients, oder beispielsweise ebay und Adobe geklaut worden sind. Um so wichtiger ist es, dass immer mehr Internetanwendungen Möglichkeiten schaffen, einen kompletten Profilzugriff durch einen einfachen Passwortklau zu verhindern.

Die einfache Lösung hierfür lautet Zwei-Faktor-Authentifizierung (engl. two-factor authentication), kurz: 2FA.

Was ist Zwei-Faktor-Authentifizierung?

Bei der 2FA authentifiziert man sich mittels zweier verschiedener, unabhängiger Komponenten. Ein gutes Beispiel hierfür ist die Authentifizierung beim Geld abheben. Der Bankautomat braucht zum einen die EC-Karte, zum anderen den dazugehörigen PIN. Passen die beiden Komponenten nicht zusammen, kann man nicht auf sein Bankkonto zugreifen.

Bei vielen älteren Diensten im Internet ist das Anmelden nur mit E-Mail-Adresse und Passwort möglich, ich gebe hier zwar auch zwei Dinge an, eine zweite, komplett unabhängige Komponente fehlt hier. Die E-Mail-Adresse kann in diesem Zusammenhang eher wie die Kontonummer angesehen werden. Werden diese Daten dann aus einer Datenbank gestohlen, können Unbefugte auf die gesamten Daten des zugehörigen Profils zugreifen.

Um die Zwei-Faktor-Authentifizierung zu gewährleisten, arbeiten viele Anbieter mit Einmalpasswörtern, den sogenannten TOTPs („Time-based one-time password“), die einem entweder auf eine hinterlegte Handynummer per SMS zugesandt werden oder in einer App generiert und abgefragt werden können. Login-Name und Passwort sind für Kriminelle damit nutzlos, da sie ohne die TOTPs trotzdem nicht in den Account gelangen können.

Wozu ein „time-based one-time password“?

Ein Einmalpasswort (engl. One-time Password), OTP, ist ein Kennwort, das nur einmal verwendet werden kann und somit gegen passive Angriffe, wie Mithören, oder auch Replay-Attacken sicher ist. Ein TOTP ist zusätzlich zu der einmaligen Verwendung, nur eine bestimmte Zeit lang gültig. Die „Haltbarkeit“ eines Passwortes liegt dabei bei maximal 15 Minuten, in den meisten Fällen sogar bei unter einer Minute. Damit ist ein „zufälliges“ Hacken des Passwortes nahezu ausgeschlossen.

Wie genau funktioniert das genau?

Die meisten Anbieter bieten in den Sicherheits-Einstellungen die Möglichkeit, auf eine „Zweistufige Überprüfung“ (siehe Dropbox), eine „Anmeldebestätigung per Telefon“ oder einen „Codegenerator“ (siehe Facebook) umzusteigen.

Authentifizierung über die Handynummer

Für eine Authentifizierung über die Handynummer kann man beispielsweise in den Facebook-Einstellungen die „Anmeldebestätigung per Telefon“ auswählen. Um die Aktivierung abzuschließen muss nun noch die Mobilnummer angegeben werden. Nutzt man nun den Dienst, bekommt man von Facebook eine SMS mit einem Einmalpasswort, um das benutzte Gerät für die Nutzung mit dem gewählten Account zu verknüpfen. Bei jedem weiteren neuen bzw. „fremden“ Gerät folgt das gleiche Prozedere.

Authentifizierung mit Hilfe einer App

Möchte man für eine doppelte Authentifizierung nicht zwingend seine Handynummer angeben, gibt es auch die Möglichkeit auf Authenticator-Apps (siehe Liste weiter unten) zurückzugreifen. Bei Facebook wählt man dazu die Einstellung „Codegenerator“. Als nächstes öffnet sich ein Dialog mit einem QR-Code, den man mit den entsprechenden Apps scannen kann, um die App mit dem jeweiligen Konto zu verbinden. Die App erzeugt nun alle 30 Sekunden ein Einmalpasswort, mit denen man wie bei der Authentifizierung per Telefon seine Geräte authentifizieren kann. Um das mehrmalige Authentifizieren des gleichen Gerätes zu verhindern, gibt es die Möglichkeit Geräte zu einer vertrauten Liste hinzuzufügen.

Hier haben wir noch eine kleine Auswahl an Apps, die für eine Authentifizierung geeignet sind:

Fazit

Die wichtigsten und meist genutzten Internetdienste bieten inzwischen eine Zwei-Faktor-Authentifizierung an. Wer weiterhin datensparsam leben möchte und seine Mobilnummer nicht jedem x-beliebigen Dienst geben möchte, kann in den meisten Fällen auf eine Authentication-App zurückgreifen.

In der Häufigkeit, in der wir in der heutigen Zeit mit Passwortdiebstählen konfrontiert werden, ist die Umstellung seiner Konten auf eine doppelte Authentifizierung mehr als nur zu empfehlen. Auch wenn komplexe Angriffe auf ein bestimmtes System, z. B. mit der Man-in-the-Middle-Methode, dadurch nicht aufgehalten werden können, sind die Folgen eines einfachen Passwortklaus bei weitem nicht mehr so groß, da den Dieben die zweite Komponente zum Zugriff auf die Daten fehlt.

Weitere Blogeinträge

Unsere Website verwendet technisch notwendige Cookies. Weitere Informationen finden Sie in unserer Datenschutzerklärung.