2-Faktor-Authentifizierung (2FA): Online-Konten richtig absichern
Der Zugang zu den persönlichen Online-Konten ist für Hacker oft sperrangelweit offen. Wir erklären Ihnen, wie Sie sichere Passwörter erstellen, diese per 2-Faktor-Authentifizierung doppelt absichern und somit Cyberkriminellen keine Angriffsfläche bieten.
Wir kennen alle dieses Albtraumszenario: In den Nachrichten gibt wieder ein großer Cloud-Anbieter zu, Opfer eines Hacker-Angriffs geworden zu sein. Millionen von Zugangsdaten wurden entwendet und sind nun nicht mehr sicher. Im schlimmsten Fall ist der Eingang zum Konto verschlossen, und man hat sel...
Wir kennen alle dieses Albtraumszenario: In den Nachrichten gibt wieder ein großer Cloud-Anbieter zu, Opfer eines Hacker-Angriffs geworden zu sein. Millionen von Zugangsdaten wurden entwendet und sind nun nicht mehr sicher. Im schlimmsten Fall ist der Eingang zum Konto verschlossen, und man hat selbst keine Möglichkeit mehr, sich Zugang zu verschaffen.
Wenn Sie sich aber zweifach absichern, bleibt Ihnen ein solches Schicksal erspart. Wir zeigen Ihnen, wie dies per 2-Faktor-Authentifizierung gelingt.
Passwörter allein sind nicht sicher
Die Notwendigkeit zusätzlicher Absicherung von Konten wird erst dann klar, wenn man sich vor Augen hält, was Hacker mittlerweile mit modernster Technik bewältigen können.
Brute-Force-Attacken, Wörterbuch-Attacken, Datenbank-Attacken oder eine Kombination aus allen dreien sind die Dietriche der Cyberkriminellen. Brute Force, also das systematische Ausprobieren von Millionen von Zeichenkombinationen, wird ausgehebelt, indem Sie die Komplexität des Passworts erhöhen. Sobald Sie Zahlen, Sonderzeichen und/oder Satzzeichen einbeziehen, erhöht sich die Anzahl nötiger Crack-Versuche ins Exponentielle.
Wörterbuchattacken lassen sich einfach aushebeln, indem Sie keine ganzen Wörter verwenden. Cracker-Tools kombinieren Wörter nämlich genauso einfach, als wären sie einzelne Buchstaben. Dadurch sind selbst lange Passwörter, die mehrere Wörter aneinanderreihen, unbrauchbar.
Seltener im Einsatz, aber dafür umso gefährlicher, sind Crack-Ansätze mithilfe von Datenbanken. Diese smarten Hacker-Tools erkennen Wörter selbst dann, wenn deren Bestandteile durch Zahlen oder Sonderzeichen ersetzt wurden, wie z.B. “P4$$w0r+”. In den Datenbanken befinden sich gleichermaßen bereits gestohlene Passwörter und Passwortfragmente. In einem Feldversuch von Ars Technica schafften es drei Cracker schwierig anmutende Passwörter wie “Apr!l221973”, “Sh1a-labe0uf” oder “Philippians4:6-7” innerhalb weniger Stunden zu knacken.
Zugang trotz verlorenem Passwort
Und genau für einen solchen Fall sollten Sie sich rüsten. Nicht nur falls Sie Opfer eines Cyberangriffs werden - oft genug nutzt man das Online-Konto einfach zu lange nicht und die Zugangsdaten geraten in Vergessenheit.
Immer mehr Webseiten haben dies erkannt und die 2-Faktor-Authentifizierung (2FA) implementiert. Jemand, der sich von einem unbekannten Standort oder einem unbekannten Gerät einloggen möchte, muss sich also auf zwei Wegen ausweisen. Einerseits mit den korrekten Zugangsdaten und andererseits mit einer zweiten Methode, die mit dem Eigentum des Benutzers verknüpft ist.
Typischerweise verbindet man dabei die eigene Handynummer mit dem Konto. Zur Authentifizierung wird dann ein temporärer Code an die Nummer geschickt, mit dem erst die Anmeldung möglich ist. Auf diesem Prinzip beruht auch die Authentifizierung per TAN-Verfahren beim Onlinebanking. 2FA finden Sie normalerweise relativ leicht in den Kontoeinstellungen jedes Online-Dienstes. In Google beispielsweise klicken Sie auf Ihr Profilbild in der rechten oberen Ecke der Webseite, dann auf Mein Konto - Anmeldung und Sicherheit. In der links angeordneten Leiste navigieren Sie zu Anmeldung bei Google. Dort angekommen, klicken Sie auf Bestätigung in zwei Schritten und folgen den weiteren Anweisungen zur Einrichtigung Ihrer Handynummer.
Auf ähnliche Art handhaben es die meisten Dienste. Leider ist der Begriff "Zwei-Faktor-Authentifizierung" noch nicht geläufig genug, daher werden Sie diverse Umschreibungen dafür finden.
Alternativen zur Handy-Authentifizierung
Die größte Anfälligkeit von 2FA ist allerdings die Gefahr, Phishing-Webseiten auf den Leim zu gehen.
Lesetipp: So enttarnen Sie Phishing-Mails
Um selbst für diesen Fall geschützt zu sein, können Sie sich für Ihre wichtigsten Dienste einen USB-Dongle besorgen, der als lokale Hardware vor solchen Angriffen sicher ist. Ein Anbieter dieses Verfahrens ist die FIDO-Alliance, ein Zusammenschluss aus vielen Organisationen (Google, Microsoft, Paypal, Samsung, Mastercard, Visa u.v.m.), die sich auf einen Sicherheitsstandard geeinigt haben. Um diesen nutzen zu können, besorgen Sie sich einen USB-Dongle, der dies unterstützt; beispielsweise den Security Key von Plug-up International, der für rund 5 Euro bei Amazon erhältlich ist. Wenn Sie sich anmelden wollen, geben Sie zunächst Ihre Zugangsdaten ein, schieben den USB-Stick ein, drücken den Knopf auf dem Stick und schon sind Sie eingeloggt.
Alternativ gibt es 2FA auch per sogenannter Authenticator-App. Das Prinzip von 2FA bleibt das gleiche, doch die Umsetzung per App sorgt dafür, dass Sie die Zugangscodes zur Anmeldung selbst durch die App erstellen können, statt diese auf der Website einzuholen (die sich als Phishing-Seite herausstellen könnte). Die wenigsten Dienste bieten diese Möglichkeit aber bisher an, z.B. Google Authenticator.
Vor- und Nachteile von 2FA
Der Mehrwert an Sicherheit ergibt sich aus der Kombination mehrerer Verfahren. Zwei Faktoren zusammen sind sicherer als nur einer für sich. Stiehlt also jemand Ihre Zugangsdaten, ist nicht sofort das gesamte Online-Konto verloren. Stattdessen haben Sie Zeit, das Passwort zu ersetzen und weitere Maßnahmen zu ergreifen. Versucht sich jemand mit gestohlenen Daten anzumelden, wird Ihnen dieser Anmeldeversuch natürlich auf dem Handy mitgeteilt. Somit wissen Sie frühzeitig, dass sich jemand an dem Konto zu schaffen macht und können sogar den Standort des Übeltäters ausfindig machen. Dazu versichern Sie sich bei jedem Dienst, dass Log-in-Benachrichtigungen aktiviert sind.
Die wenigen Nachteile sind eher bequemlicher Natur: Um ständig Zugriff auf Ihre Konten zu besitzen, müssen Sie auch immer das Handy griffbereit und aufgeladen haben. Noch lästiger wird es, wenn man jedes Mal den USB-Dongle oder die Authenticator-App zücken muss.
Lesetipp: WhatsApp: Zwei-Faktor-Authentifizierung für Android und iOS(connect)
Benutzen Sie einen neuen Computer oder haben einen neuen Browser aufgesetzt, kann es mitunter etwas dauern, bis der "neue Standort" registriert ist und Sie nicht mehr ständig zur Authorisierung aufgefordert werden. Noch lästiger wird es, wenn Sie sich ein neues Handy anschaffen und die alte Nummer nicht behalten können. Es empfiehlt sich also, eine Liste mit allen Diensten zu führen, die mit 2FA gesichert sind und diese frühzeitig mit der neuen Handynummer zu aktualisieren.
Diese Unannehmlichkeiten sollte Ihnen die enorm gesteigerte Sicherheit Ihrer Konten aber mehr als wert sein.
Was, wenn das Handy verloren geht?
Das wahrscheinlich am meisten verbreitete Bedenken zur 2FA ist die Frage nach Diebstahl oder Verlust des Handys bzw. des Authentifizierungsgeräts. Dieser Fall wird selten problematisch, da Sie sich normalerweise bereits auf mindestens einem vertrauten Browser mit einem festen Standort (bei Ihnen zu Hause) verifiziert haben. Von dort aus sollten Sie problemlos die verlorene Handynummer löschen und eine neue hinzufügen können.
Ist dies aus irgendwelchen Gründen nicht möglich, haben Sie üblicherweise zwei Möglichkeiten:
1. Backup-Codes
Viele Dienste bieten einmalige Backup-Codes an, die Sie anfordern und sicher aufbewahren, um sich im Notfall damit anmelden zu können. Diese Codes bleiben so lange aktiv, bis sie zum Einsatz kommen und sind unabhängig vom Handy verwendbar. Sie erhalten zudem eine Benachrichtigung, wenn einer dieser Codes verwendet werden sollte.
In Google fordern Sie diese Codes beispielsweise an, indem Sie auf Mein Konto - Anmeldung bei Google - Bestätigung in zwei Schritten klicken. Von dort aus können Sie unter dem Abschnitt Ersatzcodes diese abrufen und in einer Textdatei speichern oder ausdrucken.
Diese Funktionalität bietet noch nicht jeder Dienst, machen Sie sich also schlau, ob dies für Sie infrage kommt. Unter dem Stichwort "Ersatzcodes" oder "Backup codes" und Ihrem gewünschten Dienst sollten Sie in Suchmaschinen aber fündig werden.
2. Zusätzliche Handy-Nummer
Die zweite Möglichkeit, sich doppelt abzusichern, funktioniert in Form einer redundanten Handynummer. Haben Sie ein Zweithandy zur Verfügung, das SMS empfangen kann, können Sie dies als Backup zur Verwendung bei Verlust oder Diebstahl des Ersthandys eintragen.
In unserem Beispiel Google navigieren Sie wieder zu Bestätigung in zwei Schritten und klicken dort einfach im Bereich Ersatznummern auf Telefonnummer hinzufügen. Das zweite Handy bewahren Sie dann einfach zu Hause auf und verwenden es als effektives Authentifizierungsgerät.
Virtuelle Handynummer
Doch nicht immer möchte man seine private Handynummer für solche Zwecke benutzen, besonders wenn man dem Anbieter nicht unbedingt traut. Ringring bietet stattdessen eine "virtuelle" Telefonnummer, mit der Sie Kurznachrichten kostenlos empfangen können.
Dazu registrieren Sie sich mit Ihrer E-Mail-Adresse auf ringring.net. Dort wird Ihnen eine neue, zufällige Telefonnummer mit der Vorwahl Berlin oder Wien zugeteilt. Diese können Sie dann zur Absicherung Ihrer Konten verwenden. Stellen Sie aber sicher, dass Sie in den Privatsphäre-Einstellungen Ihr Profil aus Suchergebnissen grundsätzlich ausschließen.
