Zweifaktor-Authentifizierung (2FA): Mehr Sicherheit im Netz

Zweifaktor-Authentifizierung (2FA): Mehr Sicherheit im Netz

Heute reicht es oftmals nicht mehr aus, seine Onlinekonten mit nur einem Passwort zu sichern. Mittels Zweifaktor-Authentifizierung (2FA) kann zusätzliche Sicherheit geschaffen werden.

SmartTAN-Verfahren

© dpa

Gilt als sehr sicher: SmartTAN-Verfahren. Hierbei wird neben dem Banking-Login noch die Bankkarte und der TAN-Generator benötigt.

Ein Passwort allein genügt heute nicht mehr, um sich vor Hackern und Datendieben zu schützen. Sicherer unterwegs ist man im Netz mit einer Zweifaktor-Authentifizierung (2FA).

So kommen Cyber-Kriminelle an Zugangsdaten

Eine Nachricht mit einem lustigen YouTube-Video von einem Freund, ein Klick, kurz einloggen - schon ist das Konto gehackt. Dieses Szenario erlebten in den vergangenen Wochen etliche Facebook-Nutzer.
Passworteingabe
© dpa

Das Passwort allein ist keine gute Absicherung für sensible Konten. Es kann leicht ausgespäht werden.

Die Nachrichten stammten von gehackten Nutzerkonten, der Video-Link führte nicht zu YouTube, sondern zu einer gefälschten Facebook-Login-Seite. Wer sich dort anmeldete, schickte Nutzername und Passwort direkt zu den Kriminellen. Die verschickten über das erbeutete Profil sofort die nächsten Nachrichten, um noch mehr Nutzer in die Falle zu locken.
Folgendes sollte man über 2FA wissen:

2FA: Zusätzlicher Schutz vor Hackern

Davon spricht man, wenn man beim Einloggen zum Cloudspeicher oder E-Mail-Konto oder zum Bestätigen einer Überweisung beim Online-Banking neben dem Passwort noch einen weiteren Beleg dafür braucht, dass man berechtigter Nutzer ist. "Es ist ein zusätzlicher Schutz", erklärt Marc Fliehe vom IT-Verband Bitkom.
Folgendes sollte man über 2FA wissen:

So funktioniert Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung benötigt also zwei verschiedene Schlüssel. Der erste ist in den meisten Fällen das Passwort. Es wird wie gewohnt verwendet und meistens vom Nutzer selbst festgelegt. Chris Wojzechowski vom Institut für Internet-Sicherheit empfiehlt, darauf zu achten, dass es mindestens acht Zeichen lang ist, keine Namen, Geburtsdate und vollständige Wörter enthält, dafür aber Groß- und Kleinschreibung und Sonderzeichen.

Hardware-Schlüssel

Der zweite Schlüssel sollte im besten Fall kein Passwort sein. Hier gibt es mehrere unterschiedliche Konzepte. Beim Hardware-Schlüssel bekommen Nutzer einen physischen Schlüssel in Form einer Chipkarte, eines USB-Dongles oder etwa eines Funk-Transmitters. Diese werden bei Bedarf mit einem entsprechenden Lesegerät oder dem NFC-Leser des Smartphones zur Anmeldung genutzt. «Diese Form der Authentifizierung wird besonders in größeren Unternehmen und in Behörden gerne genutzt, in denen die Nutzer sich sehr häufig anmelden müssen», sagt Fabian Scherschel vom Fachmagazin «c’t». Der Vorteil ist die einfache Anwendung, Nachteile sind aber die hohen Kosten für die verwendeten Geräte und das Risiko des leichten Verlusts.

mTAN-Verfahren

Im Privatkunden-Bereich hat sich besonders bei Banken und Online-Shops die Verwendung von einmaligen Codes durchgesetzt, wie etwa das mTAN-Verfahren. Beim Anmelden auf einer Seite oder zur Genehmigung einer Überweisung wird per SMS oder einer App ein Code verschickt der zusätzlich eingegeben werden muss. Die Idee ist, dass nur der Inhaber der registrierten Handy-Nummer diesen Code erhält, so Scherschel. Dieser Code kann nur einmal verwendet werden. Eine Variante davon ist ein zufällig generierter QR-Code, der dann mit dem Smartphone eingescannt werden muss, um den Zugriff zu gewähren.
Der Vorteil ist, dass die meisten Menschen ihr Smartphone immer dabeihaben. Das Verfahren ist also sehr flexibel. Schlechter Empfang oder ein leerer Akku können dem natürlich einen Strich durch die Rechnung machen. Auch sollte auf dem Smartphone auf keinen Fall der erste Schlüssel, also das Passwort, gespeichert sein. Wird das Smartphone gestohlen, hätte der Dieb beide Schlüssel zur Verfügung. Bei Verlust sollte die Bank umgehend benachrichtigt werden.
Zweifaktor-Authentifizierung bei Twitter
© dpa

Auch Twitter setzt auf die Zweifaktor-Authentifizierung via SMS.

Sicherheitscodes per SMS zunehmend unsicher?

Auch Sicherheitscodes per SMS werden allmählich zum Auslaufmodell. Das US-Institut für Standards und Technology (NIST) empfiehlt in einem aktuellen Gutachten, SMS nicht mehr als Teil von 2FA zu nutzen. Grund: Sie können vergleichsweise einfach abgefangen werden. "Ein Luxusproblem", sagt allerdings Marc Fliehe. Sicherheitscodes per SMS seien schon wesentlich sicherer als gar keine 2FA.

Biometrischer Schlüssel

Der zweite Schlüssel kann auch ein biometrisches Merkmal sein. Das bedeutet, die Verwendung des Fingerabdrucks oder Gesichtserkennung. Das ist schnell und bequem, da keine zusätzlichen Daten übertragen werden müssen, wie etwa beim mTAN-Verfahren. Die meisten Smartphones haben mittlerweile Fingerabdrucksensoren.
Allerdings ist die Biometrie auch unsicherer als andere Verfahren, da es einfach ist, etwa an Fingerabdrücke zu kommen. Die hinterlassen wir überall. Das Verfahren sollte also besser nicht für hochsensible Daten wie Online-Banking genutzt werden. Für den Zugriff auf weniger wichtige Daten eignet es sich durchaus.

Warum sollte 2FA verwendet werden?

Niemand will sich viele verschiedene komplizierte Passwörter merken. Aber schlimmer noch: "Passwörter sind kaputt", sagt Jürgen Schmidt von der Fachzeitschrift "c't". Viele nutzen im Alltag schlechte oder unsichere Passwörter - und schlimmstenfalls überall das gleiche Passwort. Geraten Dritte in dessen Besitz, haben sie schnell Zugriff auf wichtige Onlinekonten, mit ganz unterschiedlichen Folgen vom Onlineshopping auf Rechnung des Opfers über Diebstahl persönlicher Daten bis hin zur möglichen Veröffentlichung privater Fotos.
So wie 2014, als vermehrt Nacktbilder von US-Prominenten im Netz auftauchten. Ursache: erratene oder geknackte schwache Passwörter. Mit 2FA sind Onlinekonten gegen solche Angriffe besser geschützt.

Welche Dienste sollte man unbedingt schützen?

Besonders das E-Mail-Konto ist wichtig. "Es ist Schaltzentrale für viele Accounts", sagt Jürgen Schmidt. Schließlich ist die Mailadresse auch häufig der Nutzername oder kann zum Ändern von Passwörtern anderer Dienste genutzt werden. Android- und iPhone-Nutzer sollten auf jeden Fall ihre Konten bei Google und iCloud schützen. Allerdings bieten längst noch nicht alle E-Mail-Dienstleister 2FA an.

Gibt es vergleichsweise unsichere Arten der 2FA?

Ja, Sicherheitsfragen wie "Was war Ihr erstes Auto?" oder "Wie lautet der Mädchenname Ihrer Mutter?". "Diese Fragen lassen sich relativ leicht recherchieren", warnt Jürgen Schmidt. Ebenfalls unsicher ist es, wenn man sich Sicherheitscodes auf das Gerät senden lässt, mit dem man sich gerade auch in ein Onlinekonto einloggen will. Denn ist der Computer beispielsweise mit einem Trojaner infiziert, kommen Angreifer dennoch nicht an den aufs Smartphone gesendeten Sicherheitscode. Empfängt man diesen jedoch auf dem infizierten Computer, wäre der Schutz dahin. "Dann sind die Kanäle nicht mehr unabhängig", erklärt Schmidt.

Wie geht es weiter mit 2FA?

"Die gängige Maßnahme für mehr Sicherheit ist die 2FA", sagt Jürgen Schmidt. Er ist überzeugt, dass es künftig noch mehr 2FA geben wird. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Technik in seinen IT-Grundschutzkatalogen. In einem Diskussionspapier zur Absicherung von Telemediendiensten regt das Amt an, 2FA zum Standard zu machen. Auch Marc Fliehe rechnet mit einer weiteren Verbreitung. "Das erhöht die Anwendersicherheit, ohne den Komfort einzuschränken", sagt er. "Und man wird dadurch viel entspannter." Dass 2FA auch noch einfacher geht, zeigt etwa Google seit einigen Wochen. Statt einen Code einzugeben, müssen Nutzer von Android-Telefonen oder einer entsprechenden iOS-App nun nur noch eine Meldung auf ihrem Telefon per Fingertipp bestätigen.

Quelle: dpa

| Aktualisierung: Mittwoch, 16. Mai 2018 14:58 Uhr

Mehr zum Thema Internet-Sicherheit

Weitere Meldungen