Sicherer als jedes Passwort: die Zwei-Schritt-Authentifizierung

 

Die Meldung schreckte ganz Deutschland auf: angeblich 16 Millionen E-Mail-Passwörter wurden im Herbst 2013 gestohlen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) setzte eigens eine Webseite auf, auf der man seine Mailadresse eingeben konnte, um herauszufinden, ob man selbst betroffen war.

Wie immer, wenn groß angelegt Hacks bekannt werden, wurde auch diesmal viel darüber gesprochen, wie sichere Passwörter aussehen. Alles keine neuen Informationen. (Hier die Top Ten der unsicheren Passwörter – von 123456 bis abc123).

Selten wurde dabei allerdings eine Sicherheitsmaßnahme erwähnt, die bereits jetzt verfügbar ist und die das Hacken von Online-Konten in Zukunft deutlich erschweren dürfte: die sogenannte Zwei-Schritt-Authentifizierung (auch: Zwei-Faktor- oder Zwei-Stufen-Authentifizierung). Das Prinzip ist einfach: jeder Zugriff (meist auch nur: jeder Zugriff von einem neuen Gerät) muss mit einem zweiten, einmalig für diese Gelegenheit generierten Schlüssel freigegeben werden – eine 6-8stellige PIN, die in der Regel per sms zugestellt wird. Man braucht also etwas, das man weiß (das Passwort) und etwas, das man hat (das Handy). Ein verlorenes – oder gehacktes – Passwort allein führt dann nicht mehr dazu, dass die Tür zum betroffenen Online-Konto offen steht. Natürlich sollte man weiterhin starke Passwörter verwenden und gut auf sie aufpassen!

Einige Dienste, die ich regelmäßig nutze, bieten diesen zusätzlichen Sicherheitsmechanismus schon jetzt an, unter anderem:

  • PayPal
  • google
  • Evernote
  • WordPress
  • facebook
  • dropbox

Update Juli 2018: Da SMS-Nachrichten unverschlüsselt verschickt werden (erfahre mehr), ist für den 2. Faktor das so genannte TOTP-Verfahren vorzuziehen (erfahre mehr). Klingt kompliziert, ist aber ganz einfach. Man muss nur eine geeignete App installieren (z. B. Google Authenticator oder FreeOTP) und diese einmalig mit dem zu sichernden Konto verknüpfen (Konfigurationsanleitungen stellen die jeweiligen Anbieter bereit). Der 2. Faktor wird dann zeitabhängig in dieser App erzeugt und nicht mehr übertragen.

Ich nutze unter Android für meine Konten bei Amazon und bei Posteo die App FreeOTP, für mein Google-Konto sowie für verschiedene Börsen, bei denen Kryptowährungen gehandelt werden, die App Google Authenticator.

Wie bei jeder 2-Faktor-Authentifizierung muss man unbedingt auf den Verlust des Geräts, das den 2. Faktor erzeugt, vorbereitet sein. In der Regel werden hierfür bei der Einrichtung Einmal-Codes angezeigt, die man ausdrucken und wegschließen oder anderweitig sicher aufbewahren sollte.

Unabhängig davon bleibt aber auch die 2-Faktor-Authentifizierung per SMS ein deutlicher Zugewinn an Online-Sicherheit im Vergleich zu lediglich einem Passwort.

Wie schützt Du Deine online-Konten?

Bildnachweis: The Double Locked Door by momentcaptured1 on flickr.com (creative commons-Lizenz, bestimmte Rechte vorbehalten: CC BY 2.0)

9 Gedanken zu “Sicherer als jedes Passwort: die Zwei-Schritt-Authentifizierung

  1. Pingback: Don’t be evil |

Die Kommentarfunktion ist geschlossen.