Skip to content
#
Magazin

Was ist 2 Faktor Authentifizierung und welche Arten von 2FA gibt es?

Account Security Tutorial

8 Geheimtipps von denen Sie sicher noch nicht gehört haben

Wir haben uns für Sie einmal die Sicherheit des beliebtesten Social Media Networks genauer angeschaut. Alle Sicherheitsfunktionen ausprobiert, analysiert und für Sie zusammengefasst.

Welche Möglichkeiten gibt es, sein Konto vor fremden Zugriffen zu schützen, welche zusätzlichen Sicherheitsmechanismen man verwenden kann und wie man alles am besten einstellt und konfiguriert.

In unserer Tutorial-Reihe zeigen wir Ihnen einfach, übersichtlich und portionsweise, wie man sein Konto sicher macht, ungeliebte Messenger-Viren beseitigt, Sichtbarkeiten verwaltet und vieles mehr.

Wie funktioniert 2 Faktor Authentifizierung?

Normalerweise benötigt man, um sich bei Online-Diensten oder dem eigenen PC anzumelden, ein Passwort. Also etwas, das nur der legitime Benutzer wissen sollte/wissen kann. 2-Faktor-Authentifizierung fügt dieser Konstellation noch einen weiteren Faktor hinzu, nämlich etwas, das man besitzt und auf das niemand anders Zugriff hat.

2-Faktor-Authentifizierung lässt sich mit einem 2-teiligen Schlüssel vergleichen. Um das Schloss zu öffnen, reicht es nicht aus, nur die eine Hälfte des Schlüssels zu besitzen. Man benötigt beide Teile, um das Schloss öffnen zu können. 2FA nutzt im Kern ein sehr ähnliches Verfahren, um die Sicherheit eines Online-Dienstes oder des Computers sicherzustellen.

Warum ist der Einsatz von 2 Faktor Authentifizierung bei online Accounts so wichtig?

Wir nutzen jeden Tag verschiedenste Dienste, für die ein Login benötigt wird. Und es werden von Tag zu Tag mehr. Jeder dieser Dienste speichert in der Regel einen Login-Namen, meist die E-Mail-Adresse oder den Nickname, und ein vom Benutzer gewähltes Passwort in einer Datenbank ab.

Eigentlich sollte man für jeden Dienst im Internet ein separates Passwort wählen, doch die Praxis zeigt, dass das nicht der Fall ist. Wir verzichten aus Gründen der Bequemlichkeit oft darauf, uns verschiedene Passwörter auszudenken bzw. zu merken. Stattdessen nutzen wir gerne ein und dasselbe Passwort bei mehreren Diensten.

Wird nun einer dieser Dienste gehackt, gelangen die gespeicherten Passwörter sehr schnell in die falschen Hände. Viele Dienste im Netz haben bereits gute Schutzmechanismen, um die gespeicherten Passwörter zu schützen. Oftmals werden diese Daten mit Hashfunktionen so abstrahiert, dass ein Angreifer im ersten Moment nicht viel mit den geklauten Daten anfangen kann. Leider nutzen nicht alle Online-Dienste ausreichende Sicherheitsvorkehrungen bei der Speicherung von Nutzerpasswörtern oder verwenden Sicherungsmaßnahmen, die mittlerweile veraltet sind. Ein Beispiel hierfür ist das MD5-Hashverfahren.

Gelangt nun ein Angreifer an diese unzureichend gesicherten Passwörter der Nutzer, kann er diese bei den unterschiedlichsten Diensten im Netz verwenden bzw. ausprobieren. Verwendet der Nutzer nun dasselbe Passwort bei mehr als nur einem Dienst, ist die Wahrscheinlichkeit sehr groß, dass der Angreifer mit dem erbeuteten Passwort und der hinterlegten E-Mail-Adresse auch auf andere Dienste zugreifen kann.

Einige Online-Dienste sind dagegen bereits sehr gut gerüstet. Spitzenreiter in diesem Bereich sind Anbieter von Krypto-Währungen und Börsen für digitale Währungen wie Bitcoins und Ethereum. Die Anbieter haben früh erkannt, dass der Schutz der Nutzerdaten und der im Konto verfügbaren Wertgegenstände besonders wichtig sind. Viele Krypto-Währungsbörsen und Marktplätze setzen bereits 2-Faktor-Authentifizierung bzw. teilweise sogar Multi-Faktor-Authentifizierung ein. Das bedeutet für einen erfolgreichen Login benötigt der Benutzer mehr als nur ein Passwort und einen Code aus seiner 2FA-App. Oft werden zusätzlich noch SMS oder E-Mails verschickt, die einen weiteren Code enthalten, den der Benutzer eingeben muss, um zu ‚beweisen‘, dass er der legitime Nutzer dieses Kontos ist.

Die 6 verschiedenen Arten von 2 Faktor Authentifizierungen im Überblick

Es gibt mittlerweile eine Vielzahl an Faktoren, die für eine Zweistufige Authentifizierung genutzt werden können. Einige davon möchten wir Ihnen an dieser Stelle kurz vorstellen:

Zwei Faktor Authentifizierungs Apps – Google Authenticator, Authy, LastPass Authenticator, Microsoft Authenticator und FreeOTP Authenticator

Derzeit ist wohl der Google Authenticator der am meisten verwendete Authenticator am Markt. Doch es gibt noch viele weitere Apps, die mehr oder weniger dieselbe Funktionalität bieten.

Alle diese Apps haben im Grunde dieselben Funktionen und werden gleich bedient.

Die entsprechende App wird auf das eigene Smartphone geladen und geöffnet. Anschließend hat man die Möglichkeit, einen neuen Dienst zur App hinzuzufügen. Meist durch den Klick auf ein ‚+‘-Symbol. Anschließend öffnet sich in der Regel die Kamera des Mobiltelefons und man kann einen QR-Code abfotografieren. Dieser Code wird bei Einrichten der 2-Faktor-Sicherung im Online-Dienst erzeugt und am Computer angezeigt. Nachdem man den Code gescannt hat, ist man eigentlich schon startklar. Oft muss man nach der Einrichtung im Smartphone einen generierten Code beim Online-Dienst zur Synchronisierung eintragen, damit sichergestellt ist, dass alles so funktioniert wie es soll. Anschließend kann der Dienst mit der App genutzt werden. Die 2FA-Codes werden in der Regel alle 60 Sekunden neu generiert.

Smartcards

Smartcards sind seit vielen Jahren im Enterprise-Bereich verbreitet. Es handelt sich dabei in der Regel um eine Plastikkarte von der Größe einer Kreditkarte. Sie besitzt ebenso wie eine Kreditkarte einen Security-Chip, der die Informationen des Nutzers schützen soll. Diese Smartcards können für den Login im Windows-Konto, einem Firmen-VPN oder auch für E-Mail-Signaturen oder einer Festplattenverschlüsselung genutzt werden. Meist geschützt durch einen PIN, bieten Smartcards einen guten Schutz vor Ausspähen von Passwörtern.

Um sich mit einer Smartcard an einem System oder dem Arbeitsrechner anzumelden, benötigt der Nutzer lediglich seine PIN, jedoch kein zusätzliches Passwort. Für viele Nutzer ist das praktisch, da sie sich nur eine numerische PIN, nicht jedoch ein komplexes Passwort merken müssen. Den Sicherheitszugewinn erreicht man bei Smartcards durch den physikalischen Faktor der Karte. Ohne die Smartcard an sich ist auch die sonst eher unsichere PIN nutzlos.

Der große Nachteil von Smartcards ist ihr Formfaktor. Smartcards können nur mit entsprechenden Lesegeräten, welche am Computer angesteckt werden müssen oder bereits in Tastaturen oder dem Laptop direkt verbaut sind, verwendet werden und erfordern in der Regel eine aufwendige und komplexe Public-Private-Key-Infrastruktur. Die Verwaltung von Zertifikaten, Schlüsseln und auch einer Backup-Lösung für vergessene PINs setzt eine EDV-Abteilung mit dem nötigen Know-How voraus.

Zweistufen Authentifizierung durch SMS oder Anruf

Das Smartphone wird immer mehr zum Mittelpunkt vieler Online-Dienste und Anwendungen. Die Verwendung als zweiter Faktor zur Sicherung von Online-Accounts ist daher immer gebräuchlicher geworden. Eine weitere Möglichkeit, seine Accounts zu schützen, ist daher die SMS bzw. der Anruf als Second Factor.

Um diese Art der Authentifizierung zu nutzen, muss man seine Handynummer beim zu sichernden Dienst hinterlegen. Möchte man sich nun anmelden, benötigt man zum gewählten Passwort noch einen Code, den der Anbieter per SMS oder Anruf versendet. Diese Möglichkeit ist besonders bei Benutzern, die viel unterwegs sind, besonders beliebt. Der zumeist 6-stellige Code, der verschickt wird, wird einfach beim Login eingegeben und soll sicherstellen, dass der Benutzer auch wirklich der ist, für den er sich ausgibt. Ein Angreifer kann zwar über geleakte Passwörter an das des Users gelangen, allerdings nur sehr schwer dessen Smartphone im gleichen Zug kontrollieren.

Aber auch hier ist Vorsicht geboten. Angreifer haben es mittlerweile geschafft, auch diese 2FA-Methode zu umgehen bzw. zu knacken. Angriffe mit Malware auf das besagte Smartphone sind gängige Mittel bei versierteren Angreifern. Auch das Beantragen einer Kopie der SIM-Karte des Users ist nicht so unmöglich, wie man denken möchte. Dabei kontaktieren die Angreifer den Telefonanbieter des Opfers und geben sich als der legitime Benutzer aus (Impersonation), um eine Kopie oder Ersatzkarte zu erlangen. Mit dieser Karte lässt sich anschließend die 2-Faktor-Authentifizierung mit Leichtigkeit umgehen, da die besagten SMS nicht nur an den legitimen Benutzer, sondern auch an den Angreifer gesendet werden.

E-Mail als Second Factor für den LogIn

Die wohl am weitesten verbreitete 2-Faktor-Authentifizierungsmethode ist die E-Mail. Hierbei wird Ihnen, nach korrekter Eingabe Ihres Benutzernamens und Passworts, ein mehrstelliger Code vom Online-Dienst zugesandt. Diese Methode ist bequem, einfach und erfordert keine zusätzliche Hard- oder Software.

Der Nachteil der 2FA-Methode per E-Mail liegt klar auf der Hand: Sie ist nicht besonders sicher. Gelingt es einem Angreifer, Zugriff auf Ihr E-Mail-Konto zu erhalten, kann er ohne weitere Anstrengungen den 2-Faktor-Code auslesen und verwenden. Da viele Nutzer ihre Mails sowohl am PC als auch am Smartphone empfangen, handelt es sich dabei eigentlich nicht mehr um einen echten Second Factor. Ist der Computer oder das Smartphone von Malware infiziert, kann der Angreifer in der Regel auch den ankommenden E-Mail-Verkehr mitlesen und so auch Zugriff auf den versendeten Code erlangen. Besonders ungünstig ist es, wenn der E-Mail-Anbieter keine 2-Faktor-Authentifizierung anbietet und Angreifer durch beispielsweise einen Datenleak über Ihr Passwort verfügen.

Die Sicherung von Online-Diensten mit der E-Mail-Adresse als zweitem Faktor ist die unsicherste Art, die hier vorgestellt wird. Es wird empfohlen, wenn möglich, einen anderen Faktor zu nutzen.

Backup-Codes in gedruckter Form

Eine weitere Methode, Ihren Account vor unbefugten Zugriffen Dritter zu schützen, sind Backup-Codes. Diese meist sehr langen Buchstaben- und Zahlenkombinationen können bei vielen Online-Diensten erstellt und ausgedruckt werden. Die 10 Codes werden einmal erzeugt und sind dann für eine unbestimmte Zeit gültig. Sie können mit der klassischen TAN-Liste einer Bank verglichen werden. Diese Backup-Codes sind besonders dann sinnvoll, wenn die herkömmlichen 2-Faktor-Methoden von Faktoren wie separater Hardware oder dem Zugriff auf das Smartphone abhängen. Als physisches Medium lassen sie sich besonders gut in einem Safe oder einem guten Versteck lagern. Sie sind nicht für den täglichen Gebrauch gedacht, da jeder der 10 Codes nach einmaliger Verwendung verbraucht ist. Als Backup, wenn der eigentliche Second Factor nicht funktioniert oder greifbar ist, eignen sie sich aber besonders gut.

Sie im Geldbeutel mitzuführen, ist nur bedingt sinnvoll. Man kann den Geldbeutel verlieren oder er kann gestohlen werden. Die Wahrscheinlichkeit, dass ein Angreifer sowohl Zugriff auf die Backup-Codes im Geldbeutel als auch auf das Passwort für einen speziellen Account gleichzeitig erlangen kann, ist normalerweise eher gering. Der Aufwand, an beides heranzukommen, ist sehr groß und in der Regel nicht machbar für einen einfachen Angreifer.

YubiKey Security Key – Die Wunderwaffe im Kampf gegen Phishing und Datendiebstahl

Die YubiKeys von Yubico sind kleine Sicherheitstoken zur Multi-Faktor-Authentifizierung (MFA), die ein sicheres Einloggen in Computer, Smartphones, Onlinedienste und Server ermöglichen. Sie sind vergleichbar mit früher gebräuchlichen RSA-Tokens, gehen aber in ihrer Funktionalität weit über diese hinaus.

Wie funktionieren YubiKeys – Ein kurzer Überblick

YubiKeys ermöglichen Ihnen einfaches, sicheres Einloggen und verhindern gleichzeitig den unautorisierten Zugriff auf Computer, Server und Internetkonten. Sie schützen den Zugang zu Anwenderkonten für die größten Unternehmen der Welt ganz einfach per Knopfdruck. Sie unterstützen multiple Authentifizierungs- und Verschlüsselungsprotokolle auf allen Geräten und Plattformen. YubiKeys unterstützen verschiedenste Authentifizierungsprotokolle. Dabei kann ein einzelner YubiKey für VPN, Code-Signaturen, Festplattenverschlüsselung und die Authentifizierung bei hunderten Anbietern von Diensten und Software verwendet werden.

2FA Vergleichstabelle