Extrasicherheit im Netz

Tipps zur erfolgreichen Zwei-Faktor-Authentifizierung

Sie sind eine Verteidigungslinie gegen Datendiebstahl: die Einmal-Codes, die zusätzlich zum Passwort benutzt werden. Wir erklären, wie sie funktionieren und welche Probleme sie haben können.

Matthias Schüssler

Lästig, aber wirksam: Die Einmal-Codes machen Datendieben die Arbeit bedeutend schwerer.

«Doppelt hält besser»: Das ist das Prinzip hinter dem Schutzmechanismus, der die etwas abschreckende technische Bezeichnung Zwei-Faktor-Authentifizierung trägt (oft abgekürzt als 2FA). Die Idee ist, dass eine Person, die sich Zugang zu einem Ort, zu Informationen oder Ressourcen verschaffen will, sich auf zwei Arten ausweisen muss: beispielsweise durch eine Zugangskarte und einen Code.

Wenn die Person die Karte verliert, nützt die ohne Code nichts. Umgekehrt bringt es einem Unbefugten nichts, wenn er den Code errät, die Karte aber nicht besitzt.

Das lässt sich auf die digitale Welt übertragen: Nebst dem Passwort gibt es ein weiteres Merkmal, das fürs Einloggen in einen User-Account benötigt wird. Das kann ein Code, aber auch ein biometrisches Merkmal wie ein Fingerabdruck oder ein physischer, digitaler Schlüssel sein, der ans Gerät angesteckt wird. Diese Zwei-Faktor-Authentifizierung macht das Eindringen nicht unmöglich, aber es erhöht die Sicherheit stark. Selbst ein schlechtes Passwort – das immer vermieden werden sollte –, ist mit 2FA kein fundamentales Risiko mehr.

Je nach Anbieter gibt es diverse Möglichkeiten, seine Identität nachzuweisen. Hier bei Microsoft stehen die Authenticator-App, ein Code per Mail, die Bestätigung per Windows-PC, ein Sicherheitsschlüssel und der Code per SMS zur Verfügung.

Wann ist die Zwei-Faktor-Authentifizierung sinnvoll?

Doch ist das nicht viel umständlicher? Doch, denn Komfort und Sicherheit stehen oft in einem Gegensatz. Darum stellt sich auch gleich die Frage, ob wir die Extrasicherheit immer oder nur für die essenziellen Dienste wie das Onlinebanking verwenden sollen. Überlegen Sie sich für die Entscheidung die Konsequenzen, wenn Ihnen der Zugang abhandenkäme: Würde ein Hacker Ihnen sensible Informationen stehlen oder in Ihrem Namen Schaden anrichten können? Falls ja, nehmen Sie den Zusatzaufwand in Kauf.

Die Extra-Sicherheitsmassnahme ist inzwischen weit verbreitet. Allerdings weisen nicht alle Betreiber Sie darauf hin, dass die Zwei-Faktor-Authentifizierung zur Verfügung steht. Wenn Sie eine Anwendung benutzen, die Sie zusätzlich schützen möchten, sehen Sie in den Einstellungen oder in der Hilfe nach, ob und wie sie aktiviert werden kann. Eine Übersicht finden Sie in der Box.

Welcher Methode gebe ich den Vorzug?

Doch welche Methode ist die beste? Bei Diensten, die zusätzlich zum Passwort einen Einmal-Code verwenden, können Sie sich den via SMS oder App übermitteln lassen. Das SMS hat den Vorteil, dass es dafür kein Smartphone braucht und Sie mehrere Mobiltelefone nutzen können, indem Sie einfach die SIM-Karte wechseln. Allerdings lassen sich SMS-Nachrichten relativ leicht abfangen, was für die im Onlinebanking gebräuchlichen TAN-Nummern ein unvertretbares Risiko darstellt. Wenn Sie SMS nutzen müssen, dann verwenden Sie für den Empfang nicht das Gerät, auf dem Sie sich einloggen möchten.

Mit einer Authentifizierungs-App sind Sie sicherer. Es gibt einige davon, namentlich Google Authenticator (iPhone/Android), Microsoft Authenticator (iPhone/Android) oder Authy (iPhone/Android). Grundsätzlich sollten Sie jede App für jeden Dienst verwenden können: Das ist dank dem offenen TOTP-Standard für Einmal-Codes möglich. Falls Sie gezwungen sind, mehrere Authentifizierungs-Apps zu nutzen, dann machen Sie sich in Ihrem Passwortmanager bei entsprechenden Logins eine Notiz, welche App dafür zum Zug kommt.

Die Authenticator-App von Microsoft liefert Einmal-Passwörter, und sie kann auch für die Anmeldung ohne Passwort benutzt werden.
Foto: Matthias Schüssler (Screenshot)

Authy steht auch als Desktop-Version für Windows und Mac zur Verfügung.
Foto: Matthias Schüssler

Kann ich auch meinen Passwortmanager verwenden?

Apropos Passwortmanager: Viele der Verwaltungsprogramme für die Zugangsdaten können auch die Einmal-Passwörter erzeugen. Das ist zum Beispiel beim iPhone über die Einstellungen bei «Passwörtern» möglich. Das ist komfortabel, reduziert die Schutzfunktion von 2FA jedoch beträchtlich, weil ein Hacker, der die Passwortdatenbank klauen und knacken kann, auch an den zweiten Faktor herankommt. Darum ist eine separate App besser – und wenn Sie den Passwortmanager verwenden, dann legen Sie für die Einmal-Codes eine eigene Datenbank an.

Schön und gut, aber: Was passiert, wenn ich mein Handy verliere?

So sinnvoll die Sache, es gibt einen offensichtlichen Haken. Er besteht im Risiko, sich selbst auszuschliessen, wenn einem der Faktor abhandenkommt. Das kann passieren, wenn das Telefon verloren geht oder bei einer Neuanschaffung gelöscht wird, bevor die Authentifizierungs-App übertragen wurde. Es gibt in solchen Fällen zwar die Möglichkeit, den zweiten Faktor zurückzusetzen, aber das ist aufwendig und zeitintensiv.

Beugen Sie daher vor, indem Sie sicherstellen, dass Sie eine alternative Möglichkeit für den zweiten Faktor haben. Welche Wege Ihnen dafür offenstehen, hängt vom Dienst ab: Oft können Sie zusätzlich einen physischen Sicherheitsschlüssel hinterlegen oder den Code via Sprachanruf auf eine Festnetznummer übermitteln lassen. Bei Microsoft und Google ist es auch möglich, einen Wiederherstellungs-Code zu generieren, den Sie am besten ausdrucken und ins Schliessfach legen.

Wirkungsvolle Absicherung bieten auch Hardwareschlüssel. Das sind Modelle von Yubikey für unterschiedliche Geräte beziehungsweise Anschlussmöglichkeiten.