Evernote
Ein neuer Tag, ein neuer Online-Service, der nun auch Zwei-Faktoren-Authentifizierung bietet. Diesmal ist es Evernote, der Cloud-basierte Notiz-Dienst, den Hacker im März zweimal kompromittieren konnten und als Command-and-Control-Server nutzten.
Zwei-Faktoren-Authentifizierung ist „in“, so dass bereits während ich diese Zeilen schrieb (in denen es um Evernote gehen sollte), auch LinkedIn eine eigene Zwei-Faktoren-Authentifizierung einführte. Darüber schreibe ich dann einfach auch gleich.
Man muss natürlich sagen, dass Zwei-Faktoren-Authentifizierung mittlerweile schon fast nichts Besonderes mehr ist. Gmail hat sie bereits im September 2010 eingeführt. Schon vor vier Jahren haben wir über die Zwei-Faktoren-Authentifizierung geschrieben, als die ersten Security-Experten das Konzept des Logins mit mehreren Schritten lobten. Wenn möglich, sollten Sie die Zwei-Faktoren-Authentifizierung immer nutzen, aber sie ist im Grunde nur eine weitere Hürde für Hacker, und nicht das Allheilmittel gegen illegale Konto-Übernahmen.
Es scheint aber, als hätte die verspätete Entscheidung von Apple und Twitter, eigene Zwei-Faktoren-Authentifizierungen einzuführen, die neue Welle der Multi-Logins ausgelöst. Und das ist auch gut so. Es gibt wenig Gründe dafür, die Zwei-Faktoren-Option nicht anzubieten.
Die Einführung bei Evernote ist etwas Besonderes, denn sie läuft in mehreren Wellen. Zunächst können zahlende Premium-Kunden die Funktion nutzen, dann alle anderen. Darüber hinaus, sind die Zwei-Faktoren-Systeme von LinkedIn und Evernote fast identisch mit denen, die Ihre Bank oder Google schon seit drei Jahren nutzen: Wenn sie genutzt werden, müssen die Anwender beim Einloggen einen zweiten Bestätigungscode eingeben (zusätzlich zum Benutzernamen und dem Passwort). Meistens schicken diese Systeme den Bestätigungscode per SMS oder einer mobilen Codegenerator-App wie dem Google Authenticator oder den Codegenerator der mobilen Facebook-App.
Leider umgehen Hacker SMS-PINs schon seit einiger Zeit, vor allem durch Man-in-the-Middle-Attacken auf mobilen Geräten.
Die Zwei-Faktoren-Authentifizierung ist derzeit die beste Schutzmaßnahme bei vielen populären Online-Services. Allerdings forschen mittlerweile viele ernsthaft an einem Ersatz für Passwörter, von Google bis zum amerikanischen Vertreidigungsministerium. Und es ist nur eine Frage der Zeit, bis wir alle Authentifizierungs-Tätowierungen bekommen, oder Pillen schlucken, um auf unser E-Mail-Konto zuzugreifen.
In der Zwischenzeit sollten Sie für jedes Online-Konto, das Ihnen wichtig ist, die Zwei-Faktoren-Authentifizierung nutzen. Mit Zwei-Faktoren-Authentifizierung und starken Passwörtern können Sie ziemlich sicher sein, dass Sie nicht zu den langsamsten Gazellen auf der Savanne gehören, die gerne von Cyberkriminellen als einfachste Beute angegriffen werden.
Tipps