Anzeige

Google authenticator

Quelle: BigTunaOnline / Shutterstock.com

Wie sinnvoll eine Zwei-Faktor-Authentifizierung (2FA) ist, zeigt sich mittlerweile regelmäßig. Immer, wenn wieder einmal massenhaft Nutzerdaten im Netz auftauchen, können all jene aufatmen, die ihre Online-Konten bereits mit einem zweiten Faktor abgesichert haben.

Eine einfache Möglichkeit dafür bieten Authentifizierungs-Apps, die zusätzlich zu Passwort und Nutzernamen für jedes Einloggen einen einmaligen, nur kurz gültigen Code generieren. SpardaSurfSafe, eine Initiative der Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, zeigt, wie das funktioniert und worauf man achten sollte.

Es gehört heute leider zum Alltag, dass in regelmäßigen Abständen große Pakete mit Nutzerdaten von Diensten wie Facebook, Netflix, LinkedIn oder anderen Webseiten im Internet auftauchen. Wohl dem, der für jedes Konto ein eigenes Passwort nutzt, denn so können Cyberkriminelle zumindest nicht mehrere Konten mit einem einzelnen gestohlenen Datensatz übernehmen. Dass diese Schutzmaßnahme Sinn macht, hat sich mittlerweile herumgesprochen.

Doch es gibt noch eine weitere Möglichkeit, seine Konten vor unbefugtem Zugriff zu schützen: Die Zwei-Faktor-Authentifizierung, kurz 2FA. Diese kennen die meisten bereits vom Onlinebanking, wo man sich mit seinen Nutzerdaten einloggt und für alle weiteren Aktionen eine TAN benötigt. Diese erhält man beispielsweise über die SpardaSecure-App. Doch nicht nur für Bankgeschäfte ist eine 2FA im Zuge der Sicherheit sinnvoll, auch Profile in sozialen Medien, Nutzerkonten bei Online-Shops oder Profile in Foren oder Blogs sollten mit einer 2FA geschützt werden, da Unbefugte so allein mit Nutzername und Passwort das Konto nicht übernehmen können.

Zwei-Faktor-Authentifizierung per SMS ist keine optimale Lösung

„Man sollte überall wo es möglich ist, auf eine 2FA zurückzugreifen. Die bekannte Methode mit einem Code per SMS ist jedoch nicht unbedingt die beste Wahl“, erklärt Götz Schartner vom Verein Sicherheit im Internet e. V., einem der Mitveranstalter von SpardaSurfSafe. „Zum einen tauchen SMS bei vielen Nutzern als Benachrichtigung auf dem Sperrbildschirm auf. Hier könnten Unbefugte mitlesen. Manche Kriminelle kopieren oder stehlen auch SIM-Karten, um an die Codes zu kommen, oder schleusen Trojaner ein, die SMS-Nachrichten abfangen können“, führt der Experte aus. Daher bietet beispielsweise Instagram eine 2FA mit SMS gar nicht erst an.

Die bessere Wahl: Authentifizierungs-Apps

Eine sicherere Methode ist die Nutzung sogenannter Authentifizierungs-Apps. Sie funktionieren fast alle nach dem gleichen Prinzip und sind daher weitgehend universell bei verschiedenen Diensten einsetzbar. Grundlage ist ein Algorithmus, der auf Grundlage eines Schlüssels und der aktuellen Zeit einen Einmalcode erzeugt. Der Schlüssel ist dabei nur lokal und auf dem Server bekannt. Der Code, der nur kurze Zeit gültig ist, wird dann beim Login als zweiter Faktor, zusätzlich zu den Nutzerdaten, eingegeben.

Die Einrichtung der Authentifizierungs-Apps läuft fast immer gleich ab. Nach der Installation aktiviert man in den Sicherheitseinstellungen des Dienstes, für den man die App verwenden möchte, die 2FA. Darauf erscheint auf der Webseite ein QR-Code, den man wiederum mit der App einscannt. „Das war es dann auch schon. Nach dem Scannen beginnt die App damit, alle 30 Sekunden einen neuen Code zu generieren, mit dem man sich einloggen kann“, erklärt Schartner.

„Den Vorgang muss man einmalig bei allen genutzten Diensten wiederholen, dann hat man seine Konten abgesichert.“ Nur bei wenigen Anbietern ist die Nutzung einer speziellen App für die 2FA notwendig, so beispielsweise bei Adobe mit dem Adobe Authenticator. In der Regel lassen die Entwickler ihren Nutzern jedoch die Wahl. Wer eine Authentifizierungs-App nutzt, sollte unbedingt wie im Installationsverlauf empfohlen Back-up-Codes generieren und diese dann sicher verwahren für den Fall, dass man keinen Zugriff mehr auf die App hat.

Welche App ist nun die Beste?

Wer seine Konten über eine 2FA-App absichern will, hat die Qual der Wahl, denn sowohl für Android als auch für iOS stehen eine ganze Reihe an Anwendungen zur Verfügung. Wer es schnell und einfach will, kann sich für den Google Authenticator entscheiden. „Er tut genau das was er soll, nicht mehr und nicht weniger. Einziger Nachteil: Die Codes werden direkt angezeigt, ein unbefugter Mitleser könnte sie also ebenfalls sehen. Das macht z. B. Duo Mobile besser, hier muss man den Code für den jeweiligen Dienst erst antippen, damit er sichtbar wird“, erklärt Götz Schartner.

Ebenfalls relativ leicht zu nutzen ist der Microsoft Authenticator. Hier kann der Nutzer selbst konfigurieren, ob der Code verborgen oder direkt angezeigt wird. „Natürlich gibt es neben diesen Authentifizierungs-Apps noch viele weitere Optionen für die jeweiligen Betriebssysteme. Man sollte jedoch darauf achten, dass es sich um einen vertrauenswürdigen Anbieter handelt“, fasst Götz Schartner zusammen. „Außerdem ist es sinnvoll, eine App mit dem verbreiteten OATH-TOTP-Algorithmus zu wählen.“

Grundsätzlich empfiehlt der Experte, die 2FA überall dort zu aktivieren, wo es möglich ist, um Kriminellen den Zugang zu Nutzerkonten und persönlichen Daten so schwer wie möglich machen. Authentifizierungs-Apps sind eine einfache und sichere Möglichkeit, genau das zu gewährleisten. Natürlich existieren auch andere Möglichkeiten wie der Versand der Einmalcodes per SMS oder die Nutzung von Hardware-Token, doch erstere sind weniger sicher und letztere zwar sicherer, aber auch teurer und weniger praktisch in der Anwendung.

www.8com.de
 


Weitere Artikel

Apps

Was Apps wirklich über den Nutzer wissen!

Eine neue Studie von CasinoOnline.de hat 120 der beliebtesten kostenlosen Apps im App Store analysiert um herauszufinden, wie viele Informationen sie vom Benutzer verlangen, um auf ihren Dienst zuzugreifen.
MEWA Arena

1. FSV Mainz 05 - Zuverlässig in der Abwehr

Wenn in der Bundesliga der Ball rollt, konzentriert sich jeder Fan auf das Spiel seiner Mannschaft. Im Hintergrund läuft die IT-Abteilung auf Hochtouren, um „Eigentore“ zu vermeiden.
Smishing

Starker Anstieg bei Smishing-Angriffen

Security-Experten von Proofpoint haben weltweit einen massiven Anstieg von SMS-Phishing (Smishing) im Zusammenhang mit dem Black Friday und vorweihnachtlichem Onlineshopping festgestellt. Im Vergleich zum Vorjahr haben die Cyberkriminellen ihre Aktivitäten…
App Entwicklung

Vernachlässigung der IT-Sicherheit bei der App-Entwicklung

Zu Beginn des Cybersecurity Months erschien auf SPIEGEL Online eine Kolume von Sascha Lobo, die man als Abrechnung mit der digitalen Projektkultur in Deutschland verstehen kann. Der Autor greift drei der prominentesten App-Projekte (Nora, E-Rezept &…
Digitales Wallet

Digitales Wallet: Was tun, wenn das Smartphone verloren geht?

Wenn wir unseren Geldbeutel verlieren, wissen wir normalerweise, was zu tun ist: Ruhe bewahren und sämtliche EC- und Kreditkarten sperren lassen. Heutzutage dient allerdings auch das Smartphone als Geldbeutel - digitales Wallet - und enthält wichtige…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.