Anzeige

Google authenticator

Quelle: BigTunaOnline / Shutterstock.com

Wie sinnvoll eine Zwei-Faktor-Authentifizierung (2FA) ist, zeigt sich mittlerweile regelmäßig. Immer, wenn wieder einmal massenhaft Nutzerdaten im Netz auftauchen, können all jene aufatmen, die ihre Online-Konten bereits mit einem zweiten Faktor abgesichert haben.

Eine einfache Möglichkeit dafür bieten Authentifizierungs-Apps, die zusätzlich zu Passwort und Nutzernamen für jedes Einloggen einen einmaligen, nur kurz gültigen Code generieren. SpardaSurfSafe, eine Initiative der Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, zeigt, wie das funktioniert und worauf man achten sollte.

Es gehört heute leider zum Alltag, dass in regelmäßigen Abständen große Pakete mit Nutzerdaten von Diensten wie Facebook, Netflix, LinkedIn oder anderen Webseiten im Internet auftauchen. Wohl dem, der für jedes Konto ein eigenes Passwort nutzt, denn so können Cyberkriminelle zumindest nicht mehrere Konten mit einem einzelnen gestohlenen Datensatz übernehmen. Dass diese Schutzmaßnahme Sinn macht, hat sich mittlerweile herumgesprochen.

Doch es gibt noch eine weitere Möglichkeit, seine Konten vor unbefugtem Zugriff zu schützen: Die Zwei-Faktor-Authentifizierung, kurz 2FA. Diese kennen die meisten bereits vom Onlinebanking, wo man sich mit seinen Nutzerdaten einloggt und für alle weiteren Aktionen eine TAN benötigt. Diese erhält man beispielsweise über die SpardaSecure-App. Doch nicht nur für Bankgeschäfte ist eine 2FA im Zuge der Sicherheit sinnvoll, auch Profile in sozialen Medien, Nutzerkonten bei Online-Shops oder Profile in Foren oder Blogs sollten mit einer 2FA geschützt werden, da Unbefugte so allein mit Nutzername und Passwort das Konto nicht übernehmen können.

Zwei-Faktor-Authentifizierung per SMS ist keine optimale Lösung

„Man sollte überall wo es möglich ist, auf eine 2FA zurückzugreifen. Die bekannte Methode mit einem Code per SMS ist jedoch nicht unbedingt die beste Wahl“, erklärt Götz Schartner vom Verein Sicherheit im Internet e. V., einem der Mitveranstalter von SpardaSurfSafe. „Zum einen tauchen SMS bei vielen Nutzern als Benachrichtigung auf dem Sperrbildschirm auf. Hier könnten Unbefugte mitlesen. Manche Kriminelle kopieren oder stehlen auch SIM-Karten, um an die Codes zu kommen, oder schleusen Trojaner ein, die SMS-Nachrichten abfangen können“, führt der Experte aus. Daher bietet beispielsweise Instagram eine 2FA mit SMS gar nicht erst an.

Die bessere Wahl: Authentifizierungs-Apps

Eine sicherere Methode ist die Nutzung sogenannter Authentifizierungs-Apps. Sie funktionieren fast alle nach dem gleichen Prinzip und sind daher weitgehend universell bei verschiedenen Diensten einsetzbar. Grundlage ist ein Algorithmus, der auf Grundlage eines Schlüssels und der aktuellen Zeit einen Einmalcode erzeugt. Der Schlüssel ist dabei nur lokal und auf dem Server bekannt. Der Code, der nur kurze Zeit gültig ist, wird dann beim Login als zweiter Faktor, zusätzlich zu den Nutzerdaten, eingegeben.

Die Einrichtung der Authentifizierungs-Apps läuft fast immer gleich ab. Nach der Installation aktiviert man in den Sicherheitseinstellungen des Dienstes, für den man die App verwenden möchte, die 2FA. Darauf erscheint auf der Webseite ein QR-Code, den man wiederum mit der App einscannt. „Das war es dann auch schon. Nach dem Scannen beginnt die App damit, alle 30 Sekunden einen neuen Code zu generieren, mit dem man sich einloggen kann“, erklärt Schartner.

„Den Vorgang muss man einmalig bei allen genutzten Diensten wiederholen, dann hat man seine Konten abgesichert.“ Nur bei wenigen Anbietern ist die Nutzung einer speziellen App für die 2FA notwendig, so beispielsweise bei Adobe mit dem Adobe Authenticator. In der Regel lassen die Entwickler ihren Nutzern jedoch die Wahl. Wer eine Authentifizierungs-App nutzt, sollte unbedingt wie im Installationsverlauf empfohlen Back-up-Codes generieren und diese dann sicher verwahren für den Fall, dass man keinen Zugriff mehr auf die App hat.

Welche App ist nun die Beste?

Wer seine Konten über eine 2FA-App absichern will, hat die Qual der Wahl, denn sowohl für Android als auch für iOS stehen eine ganze Reihe an Anwendungen zur Verfügung. Wer es schnell und einfach will, kann sich für den Google Authenticator entscheiden. „Er tut genau das was er soll, nicht mehr und nicht weniger. Einziger Nachteil: Die Codes werden direkt angezeigt, ein unbefugter Mitleser könnte sie also ebenfalls sehen. Das macht z. B. Duo Mobile besser, hier muss man den Code für den jeweiligen Dienst erst antippen, damit er sichtbar wird“, erklärt Götz Schartner.

Ebenfalls relativ leicht zu nutzen ist der Microsoft Authenticator. Hier kann der Nutzer selbst konfigurieren, ob der Code verborgen oder direkt angezeigt wird. „Natürlich gibt es neben diesen Authentifizierungs-Apps noch viele weitere Optionen für die jeweiligen Betriebssysteme. Man sollte jedoch darauf achten, dass es sich um einen vertrauenswürdigen Anbieter handelt“, fasst Götz Schartner zusammen. „Außerdem ist es sinnvoll, eine App mit dem verbreiteten OATH-TOTP-Algorithmus zu wählen.“

Grundsätzlich empfiehlt der Experte, die 2FA überall dort zu aktivieren, wo es möglich ist, um Kriminellen den Zugang zu Nutzerkonten und persönlichen Daten so schwer wie möglich machen. Authentifizierungs-Apps sind eine einfache und sichere Möglichkeit, genau das zu gewährleisten. Natürlich existieren auch andere Möglichkeiten wie der Versand der Einmalcodes per SMS oder die Nutzung von Hardware-Token, doch erstere sind weniger sicher und letztere zwar sicherer, aber auch teurer und weniger praktisch in der Anwendung.

www.8com.de
 


Weitere Artikel

Bildquelle: Fascinadora / Shutterstock.com

Kostenlose Do-it-yourself-Spionage über den Google Play Store

Pieter Arntz musste nämlich feststellen, dass er den Aufenthaltsort seiner Frau ausspionieren konnte – ohne Spionagetool, völlig kostenlos. Übeltäter war hier der Google Account.
Telefonbetrug

Betrug am Telefon: Mehr als nur der Enkeltrick

Wenn man an Betrugsversuche am Telefon denkt, fällt einem als erstes vermutlich der sogenannte Enkeltrick ein, mit dem hilfsbereite Senioren um ihr Geld gebracht werden sollen.
Router Security

Sicherheitsrisiko Router: Drittanbieter-Programmcode in Consumer-Hardware

Im Frühjahr 2021 identifizierte Tenable mehrere Sicherheitslücken in verschiedenen Heimnetzwerk-Routern des Herstellers Buffalo, die in Japan in Umlauf kamen. Wenn Hacker einige dieser Sicherheitslücken ausnutzen, wäre mitunter auch eine Kompromittierung der…
Bundestagswahl

Wahlkampf-Apps im Datenschutz-Test

Die Bundestagswahl 2021 steht vor der Tür und viele Parteien nutzen im Wahlkampf partei-eigene Apps, um ihre Wähler:innen gezielter zu mobilisieren. In den Apps können Informationen vermerkt werden wie Tür geöffnet? Kandidat:in bekannt? Wahlabsicht vorhanden?
Mobile Security

4 Tipps, wie Sie Tablets und Smartphones im Familienurlaub schützen

Am Flughafen noch schnell die letzten Nachrichten lesen, bevor es in den Urlaub geht. Das Kind vertreibt sich derweil die Wartezeit bis zum Boarding mit einem Spiel. Im Hotel angekommen, fragt das Personal nach einer Buchungsbestätigung, die per Mail gesendet…
Arbeiter

MDM plus C: Nutzer mobiler Geräte vor Gefahren durch Ablenkung schützen

Wir leben und arbeiten in bewegten Zeiten. Mobile Endgeräte sind heute nicht mehr wegzudenken – weder im privaten noch im beruflichen Alltag. Gleich in welcher Branche, Geschäftsprozesse werden digitalisiert, Workflows automatisiert und konsequent auf…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.