Was ist die Zwei-Faktor-Authentifizierung und wo sollten Sie diese nutzen?

9 Jun 2014

Wir haben schon Podcasts darüber aufgezeichnet. Wir haben in Videos darüber gesprochen (die Sie unten finden). Wir haben sie in zahllosen Artikeln erwähnt. Doch wir haben noch nie einen eigenen Artikel verfasst, in dem wir erklären, was eine Zwei-Faktoren-Authentifizierung ist, wie sie funktioniert und wo Sie diese anwenden sollten.

Zwei-Faktoren-Authentifizierung

Was ist eine Zwei-Faktoren-Authentifizierung?

Die Zwei-Faktoren-Authentifizierung ist eine Funktion, die von vielen Online-Diensten angeboten wird und eine zusätzliche Sicherheitsschicht beim Login-Prozess bietet, indem der Anwender zwei Authentifizierungsfaktoren bieten muss. Der erste ist – ganz generell – Ihr Passwort. Der zweite Faktor ist eine von mehreren Möglichkeiten. Der am meisten genutzte zweite Authentifizierungsfaktor ist heute ein Code, der per SMS oder E-Mail geschickt wird. Ganz einfach gesagt: Um sich einzuloggen müssen Sie etwas wissen und etwas besitzen. Um sich zum Beispiel in das VPN-Netzwerk Ihrer Firma einzuloggen, benötigen Sie ein Passwort und einen USB-Stick.

Zwei-Faktoren-Authentifizierung ist kein Allheilmittel gegen Hacker, aber eine erstklassige Schranke für jeden, der Ihr Konto übernehmen möchte.

Die Zwei-Faktoren-Authentifizierung ist kein Allheilmittel gegen Hacker, aber eine erstklassige Schranke für jeden, der Ihr Konto übernehmen möchte. Ich denke, es ist allgemein bekannt, dass Passwörter fehleranfällig sind: Schwache Passwörter kann man sich zwar leicht merken, sind aber auch leicht herauszufinden; starke Passwörter sind zwar nur schwer herauszufinden, dafür aber nicht leicht zu merken. Deshalb nutzen Menschen, die bereits schlechte Passwörter verwenden, die gleichen Passwörter für alle möglichen Online-Konten immer und immer wieder. Die Zwei-Faktoren-Authentifizierung zwingt Angreifer dazu, neben Ihrem Passwort auch Zugriff auf den zweiten Faktor zu haben, was meist bedeuten würde, dass der Angreifer Ihr Handy stehlen oder Ihr E-Mail-Konto kompromittieren müsste.

Und auch wenn derzeit ein Rennen um eine Alternative zu Passwörtern läuft, gibt es bisher keine. Deshalb ist ein System mit guter Zwei-Faktoren-Authentifizierung der beste Schutz, den Sie haben können. Der zweite Vorteil solcher Systeme – vor allem derjenigen, bei denen per E-Mail oder SMS ein Passcode empfangen wird – ist, dass Sie dadurch informiert werden, wenn jemand Ihr Passwort herausgefunden hat und versucht, sich einzuloggen. Wahrscheinlich habe ich das schon Tausende Male erklärt: Wenn Sie einen Passcode für eine Zwei-Faktoren-Authentifizierung auf Ihrem Handy oder per E-Mail erhalten, sich aber gerade nicht im entsprechenden Konto einloggen, ist das ein recht sicheres Zeichen dafür, dass jemand Ihr Passwort herausgefunden hat und gerade versucht, Ihr Konto zu übernehmen. Wenn das passiert, ist es Zeit, das Passwort zu ändern.

Bei welchen Online-Konten sollte man die Zwei-Faktoren-Authentifizierung einschalten?

Es gibt eine einfache Regel dafür, wann und wo Sie die Zwei-Faktoren-Authentifizierung einschalten sollten: Wenn der entsprechende Service sie bietet und das Konto für Sie wertvoll ist. Pinterest? Vielleicht. Wenn ich ein Pinterest-Konto hätte, würde ich es aber wahrscheinlich nicht wollen, jedesmal beim Einloggen die zwei Faktoren angeben zu müssen. Ihr Online-Banking-Konto, Ihre erste und zweite E-Mail-Adresse (vor allem, wenn Sie eine spezielle E-Mail-Adresse zum Zurücksetzen von Online-Konten haben), wichtige Soziale Netzwerke (wahrscheinlich Facebook und Twitter) und auf jeden Fall Ihre AppleID oder iCloud sowie jedes Konto, das ihr Android-Gerät kontrolliert, sollten mit einer Zwei-Faktoren-Authentifizierung geschützt werden.

In diesem Video sehen Sie, wie Sie eine Zwei-Faktoren-Authentifizierung für iCloud einrichten.

Natürlich sollten Sie den zweiten Faktor auch bei Ihren beruflichen Konten nutzen. Wenn Sie Webseiten verwalten, sollten Sie sich auch überlegen, Ihr Registrierungskonto abzusichern, egal ob es sich um WordPress, GoDaddy, NameCheap oder einen anderen Dienst handelt. Wir empfehlen auch, die Zwei-Faktoren-Authentifizierung für jedes Online-Konto einzuschalten, das Kreditkartendaten oder andere Zahlungsinformationen enthält: PayPal, eBay, eTrade usw. Auch hier sollte Ihre Entscheidung daran festgemacht werden, wie schlimm es für Sie wäre, den Zugriff auf die entsprechende Seite zu verlieren.

Dieses Video zeigt, wie Sie die Zwei-Faktoren-Authentifizierung bei Facebook einschalten.

Gibt es andere Arten der Zwei-Faktoren-Authentifizierung?

Bisher haben wir uns die Zwei-Faktoren-Authentifizierungen angesehen, bei der Ihnen ein Code per SMS oder E-Mail geschickt wird, beziehungsweise ein USB-Stick genutzt wird, um zum Beispiel auf ein VPN-Netzwerk zuzugreifen. Doch es gibt auch Schlüsselanhänger-Code-Generatoren, etwa SecureID von RSA, die oft in Firmen eingesetzt werden. Momentan sind das die vorherrschenden Formen der Zwei-Faktoren-Authentifizierung, wenn es auch sicher einige andere gibt.

Transaktionsauthentifizierungsnummern (TAN) sind eine etwas veraltete Form der Zwei-Faktoren-Authentifizierung, die Sie sicher auch noch kennen. Dabei erhielt der Bankkunde eine Liste mit TANs (auf Papier), und immer, wenn er eine Transaktion durchführen wollte, musste er eine dieser TANs zur Authentifizierung eingeben. Geldautomaten sind eine andere ältere Methode der Zwei-Faktoren-Authentifizierung: Der Faktor, den Sie wissen, ist die PIN; der Faktor, den Sie besitzen, ist Ihre Geldkarte.

Vom Papier in die Zukunft, gab es in den letzten Jahren viel Wirbel um biometrische Zwei-Faktoren-Authentifizierung. Manche Systeme verlangen ein Passwort plus Fingerabdruck, Iris-Scan, Herzschlag oder einen anderen biologischen Faktor.

Und auch so genannte Wearables werden immer beliebter: Manche Systeme verlangen, dass der Nutzer ein spezielles Armband oder ein anderes Accessoire mit eingebautem Funkchip trägt. Ich habe auch schon Forschungsarbeiten zu elektromagnetischen Tätowierungen gelesen, die man für eine Zwei-Faktoren-Authentifizierung nutzen könnte. Und sowohl Google, als auch Facebook haben Codegeneratoren als mobile Apps, mit denen die Anwender selbst ein einmaliges Passwort generieren können, statt den Code per SMS oder E-Mail zu bekommen.

In diesem Video sehen Sie, wie Sie die Zwei-Faktoren-Authentifizierung bei Gmail einrichten.