2FA: Zwei-Faktor-Authentifizierung – 2. Teil

Im ersten Teil haben wir uns mit Passwörtern befasst und wie man sie sichererer macht. Wem das schon aufwendig und mühsam vorkam, der wird den nächsten Teil lieben: die Zwei-Faktor-Authentifizierung.

Ein starkes Passwort ist kein schlechter Start. Um einen Account gut zu sichern, reicht es aber meistens nicht aus. Wenig komplexe Passwörter können durch Social Engineering erraten oder über Brute-Force-Attacken geknackt werden. Auch ist es relativ einfach über die «Passwort zurücksetzen»-Funktion eines Dienstes ein Passwort zu ändern, sollte man erst einmal an eine E-Mail-Adresse gekommen sein. Um eine zusätzliche Sicherheitsebene einzubauen wurde die Zwei-Faktor-Authentifikation eingeführt. Grob gesagt, bedeutet das, dass neben dem Passwort ein zweiter Faktor erfüllt werden muss. Meistens ist es eine 4- bis 6-stellige Bestätigungscode, der auf diversen Wegen zugestellt werden kann:

Per SMS

Eine der populärsten Methoden ist das Zustellen per SMS. Man hinterlegt seine Mobile-Nummer, bestätigt Sie und bekommt jedes Mal beim Einloggen einen Sicherheitscode zugeschickt. Stimmen Passwort und Code überein bekommt man Zugang. Aus sicherheitstechnischer Sicht ist das SMS denkbar die schlechteste Lösung, um sich den Code zukommen zu lassen. Telefonnetze sind unsicher und die Übermittlung des Codes kann grundsätzlich leicht abgefangen werden. Zwei-Faktor-Authentifizierung per SMS ist besser als gar nichts, sollte aber nach Möglichkeit nicht verwendet werden bzw. nur dort, wo keine hohe Sicherheit benötigt wird.

Per E-Mail

Mit dem Mail verhält es sich genauso wie mit dem SMS. Wenn man keine Zero-Knowledge-Verschlüsselung (End-to-End) verwende, ist die Übertragung offen wie ein Buch. Auch hier gilt: besser als nichts.

Per App

Vor allem Google bietet die Möglichkeit, ein Login in der Google Search App zu bestätigen. Man bekommt also keinen Code zugeschickt, sondern muss eine Anfrage in der App auf einem vorher definierten vertrauenswürdigen Gerät bestätigen. Diese Option ist besser als SMS birgt aber die Gefahr, dass ein Gerät verloren gehen oder gestohlen werden kann.

Per Authenticator-App

Eine der sichersten Methoden sind die sogenannten Authenticator-Apps. Dabei verlinkt man seinen Account mit der App, welches alle 30 Sekunden einen neuen Sicherheitscode den sogenannten Token generiert. Dieser Code gibt man zusammen mit dem Passwort beim Log-in an. Die App selber kann durch ein weiteres Passwort oder Face-ID gesichert werden. Authenticator werden von allen grossen Playern angeboten: Microsoft, Google, Sophos, LastPass und diverse andere. Mein persönlicher Favorit ist Twilio Authy. Authy lässt einen beinahe alle Accounts in einer App verwalten und bietet Zugriff von multiplen Geräten.

Die Zwei-Faktor-Authentifikation bietet eine zusätzliche Schutzebene, die es Angreifern massiv erschwert, in einen Account einzudringen. Noch sicherer sind physische Sicherheitsschlüssel. Dazu mehr in Teil 3.


Keine Beiträge verpassen?


War dieser Artikel hilfreich?
Please wait...
Fragen oder Anregungen?
Zu den Kommentaren ( 0 )
Passende Themen
Kommentare (0)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.