Informationssicherheitsexperten sind sich schon lange einig, dass die zuverl\u00e4ssigste Form der Zwei-Faktor-Authentifizierung per Einmalcode eine Authentifizierungs-App ist. Die Mehrzahl der Dienste bietet diese Methode als zus\u00e4tzliche Stufe des Kontoschutzes an, w\u00e4hrend in einigen F\u00e4llen die Zwei-Faktor-Authentifizierung mit einem Code aus einer App die einzig verf\u00fcgbare Option ist.<\/p>\n
Aber die Gr\u00fcnde, warum Einmalcodes als so sicher gelten, werden nur selten diskutiert, sodass berechtigterweise Fragen auftauchen, wie zuverl\u00e4ssig sie wirklich sind, welche Gefahren zu ber\u00fccksichtigen sind und was Sie bei der Verwendung dieser Zwei-Faktor-Authentifizierungsmethode beachten m\u00fcssen. In diesem Beitrag geht es haupts\u00e4chlich darum, diese Fragen zu beantworten.<\/p>\n
In der Regel funktionieren solche Apps wie folgt: Der Dienst, f\u00fcr den Sie sich authentifizieren, und der Authenticator selbst teilen sich eine Zahl \u2013 einen geheimen Schl\u00fcssel (der in einem QR-Code enthalten ist, den Sie verwenden, um die Authentifizierung f\u00fcr diesen Dienst in der App zu aktivieren). Der Authenticator und der Dienst nutzen zeitgleich denselben Algorithmus, um einen Code auf der Grundlage dieses Schl\u00fcssels und der aktuellen Uhrzeit zu erzeugen.<\/p>\n
Sobald Sie den von Ihrer App generierten Code eingeben, vergleicht der Dienst diesen mit dem von ihm selbst generierten Code. Stimmen beide Codes \u00fcberein, ist alles in Ordnung und Sie k\u00f6nnen auf das Konto zugreifen (wenn nicht, dann nicht). Wenn Sie die Authentifizierungs-App \u00fcber einen QR-Code verkn\u00fcpfen, werden neben dem geheimen Schl\u00fcssel auch eine Menge Informationen \u00fcbertragen. Unter anderem die Verfallszeit des Einmalcodes (normalerweise 30 Sekunden).<\/p>\n
Die wichtigste Information \u2013 der Geheimschl\u00fcssel \u2013 wird nur ein einziges Mal \u00fcbertragen, n\u00e4mlich dann, wenn sich der Dienst mit dem Authenticator koppelt \u2013 beide Parteien merken ihn sich dann. Bei jeder neuen Kontoanmeldung werden also keine Informationen mehr vom Dienst an den Authenticator \u00fcbertragen, sodass es nichts abzufangen gibt. Tats\u00e4chlich ben\u00f6tigen Authenticator-Apps nicht einmal Internetzugang, um ihre Hauptaufgabe zu erf\u00fcllen. Alles, was ein Hacker theoretisch abfangen kann, ist der Einmalcode, den das System generiert und den Sie dann eingeben m\u00fcssen. Und dieser Code ist nur etwa eine halbe Minute lang g\u00fcltig.<\/p>\n
Wir haben bereits in einem separaten Beitrag<\/a> ausf\u00fchrlicher beschrieben, wie Authentifizierungs-Apps funktionieren. Dort erfahren Sie mehr \u00fcber Authentifizierungsstandards, die in QR-Codes enthaltenen Informationen zur Verkn\u00fcpfung dieser Apps und \u00fcber Dienste, die mit den g\u00e4ngigsten Authentifizierungsanwendungen nicht kompatibel sind.<\/p>\n Fassen wir die wichtigsten Vorteile der Authentifizierung per Einmalcode \u00fcber eine App zusammen:<\/p>\n Sie sehen, das System ist gut durchdacht. Die Entwickler haben alles Erdenkliche getan, um es m\u00f6glichst sicher zu gestalten. Aber keine L\u00f6sung ist 100 % sicher. Auch bei der Authentifizierung per Code \u00fcber eine App gibt es einige Risiken zu beachten und Vorkehrungen zu treffen. Darauf werden wir als N\u00e4chstes zu sprechen kommen.<\/p>\n\n Ich habe oben bereits erw\u00e4hnt, dass die Authentifizierung mittels Einmalcodes durch eine App ein hervorragender Schutz gegen den Verlust von Passw\u00f6rtern ist. Und in einer perfekten Welt w\u00e4re das auch so. Leider bleibt es aber nicht dabei. Es gibt einen entscheidenden Punkt, der sich aus dem Umstand ergibt, dass Anbieter ihre Nutzer in der Regel nicht wegen eines so kleinen, \u00e4rgerlichen Details wie dem Verlust des Authenticators (was jedem passieren kann) verlieren wollen. Daher stellen sie in der Regel eine alternative M\u00f6glichkeit zur Kontoanmeldung bereit: das Senden eines Einmalcodes oder eines Best\u00e4tigungslinks an eine verkn\u00fcpfte E-Mail-Adresse.<\/p>\n Wenn also ein Datenleck auftritt und Angreifer sowohl das Kennwort als auch die damit verkn\u00fcpfte E-Mail-Adresse kennen, k\u00f6nnen sie versuchen, sich mit dieser alternativen Methode bei einem Konto anzumelden. Und wenn Ihre E-Mail-Adresse schlecht gesch\u00fctzt ist, ist es sehr wahrscheinlich, dass Hacker die Eingabe eines Einmalcodes aus einer App umgehen k\u00f6nnen.<\/p>\n So kann man Abhilfe schaffen:<\/p>\n Jemand k\u00f6nnte Ihnen \u00fcber die Schulter schauen, wenn Sie eine Authentifizierungs-App verwenden, und den Einmalcode dabei sehen. Und nicht nur einen einzigen Code, denn Authentifikatoren zeigen oft mehrere Codes hintereinander an. Ein Eindringling k\u00f6nnte sich also bei jedem dieser Konten anmelden, sofern er den Code zu Gesicht bekommt. Selbstverst\u00e4ndlich bliebe den Hackern nicht viel Zeit, um daraus einen konkreten Nutzen zu ziehen. Aber man sollte kein Risiko eingehen \u2013 30 Sekunden k\u00f6nnten f\u00fcr einen Cyberkriminellen mit geschickten Fingern ausreichen\u2026<\/p>\n Noch gef\u00e4hrlicher wird die Situation, wenn es jemandem gelingt, ein entsperrtes Smartphone mit einem Authenticator in die H\u00e4nde zu bekommen. In diesem Fall k\u00f6nnte diese Person die Gelegenheit nutzen, um sich ohne viel Aufwand bei ihren Konten anzumelden.<\/p>\n So minimieren Sie solche Risiken:<\/p>\n Die meisten Phishing-Seiten, die f\u00fcr Massenangriffe entwickelt wurden, sind recht primitiv. Ihre Ersteller beschr\u00e4nken sich in der Regel auf den Diebstahl von Anmeldedaten und Passw\u00f6rtern, die sie dann irgendwo im Dark Web zu Spottpreisen weiterverkaufen. Nat\u00fcrlich ist die Zwei-Faktor-Authentifizierung ein perfekter Schutz vor solchen Hackern: Selbst wenn jemand Ihre Anmeldedaten in die H\u00e4nde bekommt, sind sie ohne einen Einmalcode von einer App v\u00f6llig nutzlos.<\/p>\n Auf sorgf\u00e4ltiger und glaubw\u00fcrdiger gestalteten Phishing-Seiten, insbesondere solchen, die f\u00fcr zielgerichtete Angriffe ausgelegt sind, k\u00f6nnen Phisher jedoch auch den \u00dcberpr\u00fcfungsmechanismus der Zwei-Faktor-Authentifizierung imitieren. In diesem Fall fangen sie nicht nur den Benutzernamen und das Passwort ab, sondern auch den Einmalcode. Danach loggen sich die Angreifer schnell in das echte Konto des Opfers ein, w\u00e4hrend die Phishing-Website m\u00f6glicherweise eine Fehlermeldung ausgibt und einen weiteren Anmeldeversuch vorschl\u00e4gt.<\/p>\n Leider ist Phishing trotz der scheinbaren Simplizit\u00e4t ein \u00e4u\u00dferst wirksamer Trick f\u00fcr Kriminelle, und es kann schwierig sein, sich gegen raffinierte Betrugsversuche zu sch\u00fctzen. Die allgemeinen Ratschl\u00e4ge lauten hier wie folgt:<\/p>\n Um es gelinde auszudr\u00fccken: Die meisten Menschen m\u00f6gen es nicht, den gesamten Authentifizierungsprozess durchlaufen zu m\u00fcssen. Deshalb versuchen Dienste, ihre Nutzer nicht unn\u00f6tig zu bel\u00e4stigen. In Wirklichkeit m\u00fcssen Sie in den meisten F\u00e4llen nur dann mit einem Passwort und einem Best\u00e4tigungscode vollst\u00e4ndig authentifiziert werden, wenn sie sich auf einem Ger\u00e4t zum ersten Mal bei Ihrem Konto anmelden. Oder eventuell ein weiteres Mal, wenn Sie versehentlich die Cookies in Ihrem Browser gel\u00f6scht haben.<\/p>\n Nach der erfolgreichen Anmeldung speichert der Dienst ein kleines Cookie<\/a> auf Ihrem Computer, das eine lange Geheimnummer enth\u00e4lt. Diese Nummer wird Ihr Browser dem Dienst von nun an zur Authentifizierung vorlegen. Falls es also jemandem gelingt, diese Datei zu entwenden, kann er sie verwenden, um sich bei Ihrem Konto anzumelden. Ein Passwort oder ein Einmalcode sind daf\u00fcr \u00fcberhaupt nicht erforderlich.<\/p>\n Solche Dateien (zusammen mit einer Reihe anderer Informationen wie im Browser gespeicherte Passw\u00f6rter, Schl\u00fcssel f\u00fcr Krypto-Wallets und andere \u00e4hnliche Dinge) k\u00f6nnen von Stealer-Trojanern<\/a> gestohlen werden. Wenn Sie das Pech haben, einen Stealer auf Ihren Computer zu schleusen, besteht eine sehr gute Wahrscheinlichkeit, dass Ihre Konten trotz aller anderen Vorsichtsma\u00dfnahmen gehijackt werden.<\/p>\n Um dies zu verhindern:<\/p>\n Der Zugang zu Ihren Konten kann auch durch einen zu starken Schutz verloren gehen. Zum Beispiel, wenn, nachdem Sie den Zugang zu Ihren Konten ohne einen Code aus einer App verboten haben, der Authenticator irgendwie abhandenkommt. In diesem Fall k\u00f6nnten Sie Ihre Konten und die darin gespeicherten Informationen f\u00fcr immer verlieren. Immerhin sind Ihnen ein paar spa\u00dfige Tage mit tr\u00e4nenreichen Korrespondenzen mit dem Kundendienst zur Wiederherstellung des Zugangs sicher<\/a>.<\/p>\n Es gibt tats\u00e4chlich etliche Umst\u00e4nde, unter denen Sie Ihren Authenticator verlieren k\u00f6nnen:<\/p>\n All diese Ereignisse sind unvorhersehbar, daher ist es besser, sich im Voraus zu sch\u00fctzen, um unangenehme Folgen zu vermeiden:<\/p>\n Fassen wir noch einmal zusammen. Die Zwei-Faktor-Authentifizierung selbst reduziert das Risiko, dass Ihre Konten in die falschen H\u00e4nde geraten, aber sie garantiert keine absolute Sicherheit. Es lohnt sich daher, zus\u00e4tzliche Vorsichtsma\u00dfnahmen zu ergreifen:<\/p>\n Wir erkl\u00e4ren, wie die Zwei-Faktor-Authentifizierung mit Einmalcodes funktioniert, welche Vorteile und Risiken sie bietet und was Sie sonst noch tun k\u00f6nnen, um Ihre Konten besser zu sch\u00fctzen.<\/p>\n","protected":false},"author":2726,"featured_media":29891,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2287,10],"tags":[1617,4030,1525,1528,125,53,3353,1990],"class_list":{"0":"post-29890","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"category-tips","9":"tag-2fa","10":"tag-authentifikatoren","11":"tag-datenlecks","12":"tag-kaspersky-password-manager","13":"tag-passworter","14":"tag-phishing","15":"tag-stealer","16":"tag-zwei-faktor-authentifizierung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/authenticator-apps-and-security\/29890\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/authenticator-apps-and-security\/25345\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/authenticator-apps-and-security\/20786\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/authenticator-apps-and-security\/27957\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/authenticator-apps-and-security\/25638\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/authenticator-apps-and-security\/26070\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/authenticator-apps-and-security\/28521\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/authenticator-apps-and-security\/34781\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/authenticator-apps-and-security\/47426\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/authenticator-apps-and-security\/20291\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/authenticator-apps-and-security\/20916\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/authenticator-apps-and-security\/25948\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/authenticator-apps-and-security\/31660\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/authenticator-apps-and-security\/31367\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29890"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29890\/revisions"}],"predecessor-version":[{"id":32300,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29890\/revisions\/32300"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29891"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wie sicher ist 2FA mit Einmalcode?<\/h2>\n
\n
Datenlecks, E-Mail-Hacking und m\u00f6gliche L\u00f6sungen<\/h2>\n
\n
Physischer Zugang und neugierige Blicke<\/h2>\n
\n
Phishing-Seiten<\/h2>\n
\n
Stealer-Malware<\/h2>\n
\n
Fehlende Authenticator-Backups<\/h2>\n
\n
\n
So sch\u00fctzen Sie sich<\/h2>\n
\n