Denken Sie daran, dass selbst die hochtechnologischsten und arbeitsintensivsten Diebstahlmethoden (SS7-Exploit) bereits in der Praxis verwendet wurden. Alles andere geh\u00f6rt zur t\u00e4glichen Routine der Kriminellen.<\/p>\n
Im Gro\u00dfen und Ganzen k\u00f6nnen wir also sagen, dass SMS-Passw\u00f6rter nicht besonders sicher und in manchen F\u00e4llen sogar sehr<\/em> unsicher sind. Es ist also sinnvoll, stets nach 2FA-Alternativen Ausschau zu halten!<\/p>\n Die einfachste Methode, SMS-basierte Einmalpassw\u00f6rter zu ersetzen, ist \u2013 ja, auch wenn das jetzt verwirrend klingen mag \u2013 die Verwendung von bereits im Voraus vorbereiteten Einmalpassw\u00f6rtern. Tats\u00e4chlich handelt es sich hierbei nicht um die schlechteste Option, insbesondere dann, wenn es um Dienste geht, bei denen Sie sich nur selten bis gar nicht anmelden. Selbst f\u00fcr Facebook kann diese Methode sehr hilfreich sein, besonders als Backup-Plan.<\/p>\n Das Ganze funktioniert folgenderma\u00dfen: Auf Anfrage generiert und zeigt der Dienst rund ein Dutzend Einmalcodes an, die dann sp\u00e4ter zur Authentifizierung einer Anmeldung verwendet werden k\u00f6nnen. Diese Codes k\u00f6nnen ausgedruckt oder aufgeschrieben und in einem Safe verwahrt werden. Oder, noch einfacher: Sie k\u00f6nnen in verschl\u00fcsselten Notizen in einem Passwortmanager <\/a> gespeichert werden.<\/p>\n Es ist nicht so wichtig, ob die Codes in physischem oder digitalem Format aufbewahrt werden \u2013 wichtig ist, dass sie erstens nicht verloren gehen und zweitens nicht gestohlen werden k\u00f6nnen.<\/p>\n Ein einmalig generiertes Einmalcode-Set hat allerdings einen gro\u00dfen Nachteil: Fr\u00fcher oder sp\u00e4ter werden Sie alle Codes verwendet haben und das k\u00f6nnte leider im unpassendsten aller Momente passieren. Zum Gl\u00fcck gibt es daf\u00fcr eine deutlich bessere L\u00f6sung: Einmalcodes k\u00f6nnen im Handumdrehen mit einer kleinen und f\u00fcr gew\u00f6hnlich sehr einfach strukturierten Authenticator-App generiert werden.<\/p>\n Der Gebrauch der 2FA-Apps ist kinderleicht:<\/p>\n Es gibt eine \u00e4hnliche Alternative, die unter dem Namen OATH HOTP (HMAC-based One-time Password) bekannt ist. Anstelle der aktuellen Zeit verwendet dieser Algorithmus jedoch einen Z\u00e4hler, der bei jeder Authentifizierung auf beiden Seiten, sowohl beim Sender als auch beim Empf\u00e4nger, inkrementiert wird. Normalerweise wird diese Methode jedoch eher selten verwendet, da sie die synchrone Generierung der Codes auf beiden Seiten, App und Dienst, erschwert. Einfach ausgedr\u00fcckt bedeutet das, dass ein nicht unerhebliches Risiko besteht, dass der Z\u00e4hler zur falschen Zeit verr\u00fcckt spielt und Ihr Einmalpasswort nicht mehr funktioniert.<\/p>\n OATH TOTP kann also als De-facto-Standard angesehen werden (obwohl es offiziell nicht einmal ein Standard<\/em> ist, da die Ersteller darauf beharren, dass es sich um eine Spezifikation<\/a><\/em> handelt.)<\/p>\n Ein Gro\u00dfteil der 2FA-Apps verwendet ein und denselben Algorithmus, sodass beliebige Apps f\u00fcr Dienste, die Authenticatoren unterst\u00fctzen, verwendet werden k\u00f6nnen. Treffen Sie also Ihre ganz pers\u00f6nliche Wahl.<\/p>\n Nat\u00fcrlich gibt es auch hier Ausnahmen. Aus unerkl\u00e4rlichen Gr\u00fcnden bevorzugen es einige Dienste, ihre eigenen 2FA-Apps zu entwickeln, die nur f\u00fcr ihren eigenen Dienst funktionieren und nicht mit anderen Apps kompatibel sind.<\/p>\n Dies ist besonders bei bekannten Videospiel-Publishern \u00fcblich: So sind beispielsweise Blizzard Authenticator, Steam Mobile mit integriertem Steam Guard, Wargaming Auth und andere nicht kompatibel mit Apps und Diensten von Drittanbietern. Das bedeutet, dass ausschlie\u00dflich die zuvor genannten, zweckm\u00e4\u00dfig entwickelten Apps mit den relevanten Gaming-Plattformen verwendet werden k\u00f6nnen.<\/p>\n Diesen kuriosen Weg schlug auch das Unternehmen Adobe mit seinem Adobe Authenticator ein, der ausschlie\u00dflich in Verbindung mit AdobeID-Konten funktioniert. Es k\u00f6nnen allerdings auch andere Authenticatoren f\u00fcr die Authentifizierung in AdobeID verwendet werden. Daher ist bislang nicht klar, warum eine separate App entwickelt wurde.<\/p>\n In jedem Fall schr\u00e4nken die meisten normalen IT-Unternehmen die Benutzer nicht bei der Auswahl ihrer 2FA-Apps ein. Und selbst wenn ein Unternehmen sich pl\u00f6tzlich dazu entschlie\u00dft, eine eigene App zu entwickeln, kann sie in den meisten F\u00e4llen nicht nur zum Schutz der eigenen Dienstkonten, sondern auch zum Schutz der Accounts anderer Dienste verwendet werden.<\/p>\n W\u00e4hlen Sie einfach die Authenticator-App, die in Ihren Augen f\u00fcr Sie am besten funktioniert \u2013 f\u00fcr gew\u00f6hnlich d\u00fcrfte es keine Probleme mit Diensten geben, die 2FA-Apps generell unterst\u00fctzen.<\/p>\n Die Auswahl an 2FA-Apps ist \u00fcberraschend gro\u00df. Wenn Sie bei Google Play oder im App Store nach \u201eauthenticator\u201c suchen, werden Sie sehen, dass Ihnen unz\u00e4hlige Optionen zur Auswahl stehen. Wir empfehlen Ihnen allerdings nicht die erste App zu installieren, die Sie sehen, da sie in Sachen Sicherheit eventuell nicht an erster Stelle steht. Denken Sie daran, dass Sie der App die Schl\u00fcssel zu Ihren Konten anvertrauen. Generell lohnt es sich immer, sich f\u00fcr eine App eines bekannten und vertrauensw\u00fcrdigen Entwickler zu entscheiden.<\/p>\n Obwohl die grundlegende Funktion all dieser Apps die gleiche ist \u2013 die Erstellung von Einmalcodes mit ein und demselben Algorithmus \u2013 verf\u00fcgen einige Authenticatoren \u00fcber zus\u00e4tzliche Funktionen oder Interface-Features, die Sie eventuell ansprechen k\u00f6nnten. Wir haben einige der interessantesten Optionen f\u00fcr Sie zusammengefasst:<\/p>\n Unterst\u00fctzte Plattformen:<\/strong><\/b> Android<\/a>, iOS<\/a><\/p>\n Wie von allen technischen Medien betont, ist Google Authenticator unter den zahlreichen 2FA-Apps in der Anwendung am einfachsten und verf\u00fcgt \u00fcber keinerlei Einstellungen. Alles, was Sie tun k\u00f6nnen, ist einen neuen Token (der Name, der dem Code-Generator f\u00fcr ein individuelles Konto zugeordnet wird) hinzuf\u00fcgen oder einen bereits existierenden l\u00f6schen. Zum Kopieren eines Codes m\u00fcssen Sie lediglich auf ihn tippen. Das ist alles!<\/p>\n Zu viel Bescheidenheit hat nat\u00fcrlich auch hier einige Nachteile: Wenn Ihnen beispielsweise das Interface nicht gef\u00e4llt oder Sie auf der Suche nach erweiterten Features sind, m\u00fcssen Sie sich f\u00fcr eine andere Authenticator-App entscheiden.<\/p>\n + <\/span>Sehr einfach in der Anwendung.<\/p>\n Unterst\u00fctzte Plattformen:<\/strong><\/b> Android<\/a>, iOS<\/a><\/p>\n Auch Duo Mobile ist \u00e4u\u00dferst benutzerfreundlich, minimalistisch und frei von zus\u00e4tzlichen Einstellungen. Dar\u00fcber hinaus hat die App einen Vorteil gegen\u00fcber Google Authenticator: sie verbirgt Codes standardm\u00e4\u00dfig \u2013 um den jeweiligen Code zu sehen, muss der Benutzer erst auf den spezifischen Token tippen. Wenn Sie, wie ich, kein gro\u00dfer Fan von \u00f6ffentlich angezeigten Codes sind, dann ist diese Feature von Duo Mobile ideal f\u00fcr Sie.<\/p>\n + <\/span>Codes werden standardm\u00e4\u00dfig verborgen.<\/p>\n Unterst\u00fctzte Plattformen:<\/strong><\/b> Android<\/a>, iOS<\/a><\/p>\n Auch Microsoft hat sich mit seinem minimalistischen Authenticator f\u00fcr einen simplen Ansatz ohne viel Schnickschnack entschieden. Trotzdem ist der Microsoft Authenticator deutlich funktionsreicher als Googles Variante. Obwohl alle Codes standardm\u00e4\u00dfig angezeigt werden, kann jeder Token separat so konfiguriert werden, dass er auf Wunsch auch ausgeblendet werden kann.<\/p>\n Dar\u00fcber hinaus vereinfacht Microsoft Authenticator die Anmeldung f\u00fcr Microsoft-Konten. Nachdem Sie Ihr Passwort eingegeben haben, m\u00fcssen Sie lediglich auf die Schaltfl\u00e4che in der App tippen, um die Anmeldung zu best\u00e4tigen, ohne einen Einmalcode einzugeben.<\/p>\n + <\/span>Codes k\u00f6nnen auf Wunsch verborgen werden.<\/p>\n + <\/span>Extra-Features f\u00fcr die Anmeldung bei Microsoft-Konten.<\/p>\n Unterst\u00fctzte Plattformen:<\/strong><\/b> Android<\/a>, iOS<\/a><\/p>\n Es gibt vier gute Gr\u00fcnde, warum Sie sich f\u00fcr dieses Schmuckst\u00fcck von Red Hat entscheiden sollten. Erstens ist die Software Open Source. Zweitens ist es die leichteste App, die Sie in unserer Liste finden werden \u2013 die iOS-Version wiegt lediglich 750KB. (Im Vergleich dazu nimmt der minimalistische Google Authenticator fast 14 MB, und die Authy-App, auf die wir weiter unten zu sprechen kommen, satte 44 MB ein.)<\/p>\n Dar\u00fcber hinaus werden alles Codes standardm\u00e4\u00dfig von der App verborgen und erst dann angezeigt, wenn auf den Token getippt wird. Und Last but not Least: mit FreeOTP k\u00f6nnen Sie Token flexibel und manuell konfigurieren, wenn Sie m\u00f6chten. Selbstverst\u00e4ndlich wird auch die \u00fcbliche Token-Erstellungsmethode via Scanning eines QR-Codes unterst\u00fctzt.<\/p>\n + <\/span>Codes werden standardm\u00e4\u00dfig verborgen.<\/p>\n + <\/span>Nimmt lediglich 750KB ein.<\/p>\n + <\/span>Open Source.<\/p>\n + <\/span>Maximale Einstellungen bei der manuellen Erstellung von Token.<\/p>\n Unterst\u00fctzte Plattformen:<\/strong><\/b> Android<\/a>, iOS<\/a>, Windows<\/a>, macOS<\/a>, Chrome<\/a><\/p>\n Authy ist die extravaganteste der 2FA-Apps, mit dem Hauptvorteil, dass alle Token in der Cloud gespeichert werden. Dies erm\u00f6glicht den Zugriff auf alle Token von jedem Ihrer Ger\u00e4te. Gleichzeitig wird so auch die Migration auf neue Ger\u00e4te vereinfacht. Es ist nicht notwendig, die 2FA in jedem Dienst neu zu aktivieren, sodass Sie vorhandene Token weiter verwenden k\u00f6nnen.<\/p>\n Token in der Cloud werden mit einem Schl\u00fcssel verschl\u00fcsselt, der auf einem benutzerdefinierten Passwort basiert. Das bedeutet, dass Daten sicher gespeichert werden und nur schwer zu entwenden sind. Dar\u00fcber hinaus k\u00f6nnen Sie auch eine Login-PIN f\u00fcr die App festlegen oder sie mit einem Fingerabdruck sch\u00fctzen, wenn Ihr Smartphone mit dem richtigen Scanner ausgestattet ist.<\/p>\n Der gr\u00f6\u00dfte Nachteil von Authy besteht darin, dass Sie ein Konto einrichten m\u00fcssen, das mit einer Mobiltelefonnummer verkn\u00fcpft ist \u2013 sonst funktioniert die App nicht.<\/p>\n + <\/span>Token werden in der Cloud gespeichert und k\u00f6nnen so auf all Ihren Ger\u00e4ten verwendet werden.<\/p>\n + <\/span>Aus diesem Grund ist die Migration auf andere Ger\u00e4te besonders einfach. <\/span><\/p>\n + <\/span>App-Login wird durch PIN oder Fingerabdruck gesch\u00fctzt.<\/p>\n + <\/span>Lediglich der Code, f\u00fcr den zuletzt verwendeten Token wird auf dem Bildschirm angezeigt.<\/p>\n + <\/span>Im Gegensatz zu anderen Apps unterst\u00fctzt Authy nicht nur Android und iOS, sondern auch Windows, macOS und Chrome.<\/p>\n \u2212 <\/span>Funktioniert nicht ohne einen Authy-Account, der mit einer Handynummer verkn\u00fcpft ist.<\/p>\n Unterst\u00fctzte Plattformen:<\/strong><\/b> Android<\/a>, iOS<\/a><\/p>\n Meiner Meinung nach macht das Konzept, das hinter Yandex.Key steckt, die App zur besten 2FA-App in unserer Liste. Erstens erfordert sie keine sofortige Registrierung und kann genauso einfach wie Google Authenticator verwendet werden und zweitens bietet die App einige zus\u00e4tzliche Features f\u00fcr diejenigen, die Ausschau nach erweiterten Funktionen halten.<\/p>\n Zum einen kann Yandex.Key per PIN oder Fingerabdruck gesperrt werden. Zum anderen gibt Ihnen die App die M\u00f6glichkeit, eine passwortgesch\u00fctzte Backup-Kopie von Token in der Yandex-Cloud zu erstellen (f\u00fcr diese Stufe ist eine Telefonnummer erforderlich), die dann auf jedem Ihrer Ger\u00e4te wiederhergestellt werden kann. Dar\u00fcber hinaus ist es m\u00f6glich, Token im Falle einer Migration auf ein neues Ger\u00e4t zu \u00fcbertragen.<\/p>\n Im Grunde genommen kombiniert Yandex.Key die Einfachheit von Google Authenticator mit der erweiterten Funktionalit\u00e4t von Authy, je nachdem, was Sie bevorzugen. Der einzige Nachteil der App ist, dass die Schnittstelle mit einer gro\u00dfen Anzahl von Token nicht ganz einfach zu verwenden ist.<\/p>\n + <\/span>Anf\u00e4nglicher Minimalismus, der durch verf\u00fcgbare Einstellungen erweitert werden kann.<\/p>\n + <\/span>Backup-Kopien von Token k\u00f6nnen in der Cloud f\u00fcr die Verwendung auf mehreren Ger\u00e4ten und f\u00fcr die Migration auf neue Ger\u00e4te erstellt werden.<\/p>\n + <\/span>Der App-Login ist durch PIN oder Fingerabdruck gesch\u00fctzt.<\/p>\n + <\/span>Nur der Code f\u00fcr den zuletzt verwendeten Token wird auf dem Bildschirm angezeigt.<\/p>\n + <\/span>Ersetzt das permanente Passwort Ihres Yandex-Accounts.<\/p>\n \u2212 <\/span>Viele Token erschweren die Suche.<\/p>\n Wenn Ihnen eine App, die Einmalcodes generiert, zu un\u00fcbersichtlich und ungreifbar f\u00fcr den Schutz Ihrer Konten erscheint, und Sie auf der Suche nach einer soliden und zuverl\u00e4ssigen L\u00f6sung sind, die Ihr Konto mit einem Schl\u00fcssel versieht, der buchst\u00e4blich Platz in Ihrer Tasche findet, dann sollten Sie einen Blick auf Hardware-Token basierend auf dem U2F-Standard (Universal 2nd Factor) der FIDO-Allianz werfen.<\/p>\n U2F-Hardware-Token sind der Liebling von Sicherheitsspezialisten, vor allem weil sie aus Sicht der Benutzer sehr einfach funktionieren. Sie m\u00fcssen lediglich den U2F-Token an Ihr Ger\u00e4t anschlie\u00dfen und mit einem kompatiblen Dienst registrieren. Der ganze Prozess nimmt nur wenige Klicks in Anspruch.<\/p>\n Um die Anmeldung zu best\u00e4tigen, m\u00fcssen Sie den U2F-Token mit dem Ger\u00e4t, das Sie zur Anmeldung verwenden, verbinden, und auf die Token-Schaltfl\u00e4che tippen (einige Ger\u00e4te erfordern die Eingabe einer PIN oder den Scan Ihres Fingerabdrucks, wobei es sich hierbei um ein Extra-Feature handelt). Das ist alles \u2013 keine komplexen Einstellungen, die Eingabe langer Zeichensequenzen oder anderer Hokuspokus, der oft mit dem Wort Kryptographie<\/em> verbunden ist.<\/p>\n Geben Sie den Schl\u00fcssel ein und tippen Sie auf die Schaltfl\u00e4che \u2013 das ist alles.<\/p>\n<\/div>\n Bei der Registrierung eines Tokens werden zwei kryptografische Schl\u00fcssel erstellt \u2013 ein privater und ein \u00f6ffentlicher. Der \u00f6ffentliche Schl\u00fcssel wird auf dem Server gespeichert, der private Schl\u00fcssel auf einem Secure-Element<\/a>-Chip, der das Herzst\u00fcck des U2F-Tokens bildet und das Ger\u00e4t nie verl\u00e4sst.<\/p>\n Der private Schl\u00fcssel wird verwendet, um die Anmeldebest\u00e4tigung zu verschl\u00fcsseln, die an den Server \u00fcbermittelt wird und mit dem \u00f6ffentlichen Schl\u00fcssel entschl\u00fcsselt werden kann. Wenn jemand, der vorgibt, Sie zu sein, versucht, eine Anmeldebest\u00e4tigung zu \u00fcbertragen, die mit dem falschen privaten Schl\u00fcssel verschl\u00fcsselt wurde, entsteht bei der Entschl\u00fcsselung mit dem \u00f6ffentlichen Schl\u00fcssel ein riesiges Kauderwelsch, und der Dienst verweigert den Zugriff auf das Konto.<\/p>\n Das ber\u00fchmteste und h\u00e4ufigste Beispiel f\u00fcr U2F ist YubiKey, made by<\/em> Yubico. Das Unternehmen hat sich f\u00fcr die Entwicklung dieses offenen Standards entschieden, der Ihre Wahl in keinster Weise einschr\u00e4nkt: U2F-kompatible Ger\u00e4te werden von verschiedenen Unternehmen hergestellt und verkauft und auch Online-Shops bieten eine Reihe verschiedener Modelle an.<\/p>\n![\"F\u00fcr](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/10\/16090209\/2fa-practical-guide-featured.jpg\")
<\/a><\/p>\nWo und wie sollten Einmalcodes aufbewahrt werden?<\/h2>\n
F\u00fcr alles eine L\u00f6sung: Authenticator-Apps<\/h2>\n
So funktionieren Authenticator-Apps<\/h3>\n
\n
![\"So](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2018\/10\/17120056\/2fa-practical-guide-app-registration-DE.png\")
Die Codes werden auf der Grundlage eines Schl\u00fcssels (der nur Ihnen und dem Server bekannt ist) und der aktuellen Zeit, gerundet auf 30 Sekunden, erstellt. Beide Komponenten sind sowohl f\u00fcr Sie als auch f\u00fcr den Dienst identisch, sodass alle Codes synchron generiert werden. Dieser Algorithmus wird OATH TOTP (Time-based One-Time Password) genannt und wird mit Abstand am h\u00e4ufigsten verwendet.<\/p>\n2FA-Apps und Dienstkompatibilit\u00e4t<\/h3>\n
Die besten 2FA-Apps<\/h3>\n
1. Google Authenticator<\/strong><\/h4>\n
![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/10\/16090218\/2fa-practical-guide-google-icon.png\"){kind=icon}
<\/a><\/p>\n2. Duo Mobile<\/strong><\/h4>\n
![\"Duo](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/10\/16090159\/2fa-practical-guide-duo-icon.png\"){kind=icon}
<\/a><\/p>\n3. Microsoft Authenticator<\/strong><\/h4>\n
![\"Microsoft](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/10\/16090223\/2fa-practical-guide-microsoft-icon.png\"){kind=icon}
<\/a><\/p>\n4. FreeOTP<\/strong><\/h4>\n
![\"FreeOTP](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/10\/16090214\/2fa-practical-guide-freeotp-icon.png\"){kind=icon}
<\/a><\/p>\n5. Authy<\/strong><\/h4>\n
![\"Twilio](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/10\/16090155\/2fa-practical-guide-authy-icon.png\"){kind=icon}
<\/a><\/p>\n6. Yandex.Key<\/strong><\/h4>\n
![\"Yandex.Key](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/10\/16090236\/2fa-practical-guide-yandex-icon.png\"){kind=icon}
<\/a><\/p>\nFIDO U2F Hardware-Authenticatoren: YubiKey und andere<\/h2>\n
So funktionieren FIDO U2F-Token<\/h3>\n
![\"Facebook-Authentifizierung](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2018\/10\/17120104\/2fa-practical-guide-U2F-DE.jpg\")
<\/p>\nDiese U2F-Ger\u00e4te gibt es<\/h3>\n
![\"Yubico](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/10\/16090246\/2fa-practical-guide-yubikey.jpg\")
<\/a>YubiKey \u2013 der wahrscheinlich bekannteste U2F-Token<\/p>\n<\/div>\n