Mit dem zweiten geht es besser: 2fa (13)

2fa 2 faktor authentifizierung

Du hast schon gute Passwörter für Deine wichtigen Benutzerkonten? Dann könnte ja alles gut sein. Wenn nicht noch die Gefahr bestehen würde, dass jemand selbst die besten Passwörter abhören kann. Dagegen hilft die sogenannte Zwei-Faktor-Authentifizierung (2FA).

Die Idee ist, dass neben dem Passwort noch ein zweiter Geheimnis benötigt wird, ein zweiter Faktor.

Deine wichtigsten Benutzerkonten musst Du unbedingt absichern. Welche das sind und wie Du vorgehen solltest, lernst Du hier.

Subscribe on Android

[ 1 ] Liste von 2FA Anbietern
[ 2 ] 2 FA Tools
[ 3 ] KeePassXC 2FA und KeePassXC 2FA
Der KeePassXC Passwortmanager unterstützt auch 2FA. Wenn Du bereits einen Eintrag für ein Benutzerkonto angelegt hast, kannst Du durch Rechtsklick auch TOTP (zeitbasiertes Einmalpasswort, das entspricht dem beschriebenen Google Authenticator) einrichten.
[ 4 ] Google Authenticator

im Wortlaut: die komplette Folge zum Nachlesen

Click to add text or drag and drop element from right hand panel

​Wie gut schützt Du Deine Daten?

​​Ein ​kostenloser Test, nur 6 einfache Fragen, und Du erhältst neben dem Ergebnis auch noch ​für Dich passende Lese- und Hörempfehlungen.

Click to add text or drag and drop element from right hand panel

Zwei-Faktor-Authentifizierung 2FA

Hallo und herzlich willkommen zu einer neuen Folge der Datenwache. Ich bin Mitch und unser Thema heute ist Zwei-Faktor-Authentifizierung.

Das hat jetzt ungefähr den Charme von einer Darmspiegelung und klingt auch wirklich alles andere als sexy, ist aber tatsächlich so ungefähr der beste Schutz, den man euren Benutzerkonten angedeihen lassen kann neben einem guten Passwort.

Denn grundsätzlich ist die Idee, selbst wenn euer Passwort irgendwie abgehört oder geklaut werden sollte, dann hilft euch diese Zwei-Faktor-Authentifizierung, der zweite Faktor dabei trotzdem sicher zu bleiben. Es lohnt sich also dranzubleiben.

Was ist Zwei-Faktor-Authentifizierung 2FA?

Die Idee dahinter ist relativ einfach. Ihr loggt euch nicht mit einem Faktor ein, nur mit eurem Passwort, sondern mit zwei Faktoren, dem Passwort und zusätzlich noch irgendwas anderem.

Und man unterscheidet dann bei diesen ganz allgemein Mehr-Faktor-Verfahren genannten Methoden zwischen verschiedenen Gattungen von Faktoren.

Verschiedene Arten von Geheimnissen

Wissen

Also es gibt zum Beispiel die Möglichkeit, dass ihr ein Geheimnis wissen könnt, das ist zum Beispiel euer Passwort, das kennt nur ihr, und wenn ihr es keinem verratet, dann weiß es hoffentlich auch kein anderer. Das kann allerdings natürlich abgehört werden, wenn ihr euch zum Beispiel einen Virus oder einen Trojaner auf dem Rechner einfangt, dann kann der euer Passwort unter Umständen mitlesen. Oder ihr seid in einem unsicheren Netzwerk unterwegs, dann ist das auch ein Problem.

Besitzen

Dann unterscheidet man noch Geheimnisse, die man besitzen kann. Das wäre zum Beispiel ein Schlüssel für die Haustür, wäre ein Geheimnis oder eine EC-Karte wäre ein Geheimnis.

Sein = Biometrie

Und dann gibt es noch Geheimnisse, die darauf basieren, wer oder was ihr seid. Also zum Beispiel ist euer Fingerabdruck ein mögliches Geheimnis oder euer Gesicht, wenn wir mal über Face ID von Apple reden. Ich werde hier auf diese letzten Verfahren, auf diese biometrischen Verfahren nicht eingehen, ganz generell haben die aber natürlich den Nachteil, die könnt ihr nicht tauschen. Bei dem, was ihr besitzt, bei dem, was ihr wisst, da könnt ihr natürlich, wenn das kompromittiert, das heißt, geklaut oder gehackt wurde, dann könnt ihr das natürlich austauschen, euren Fingerabdruck oder euer Gesicht auszutauschen, ist unter Umständen schwierig.

Also ganz klar, die generelle Idee hinter diesen Mehr-Faktorverfahren und diesen Zwei-Faktor-Verfahren im Speziellen ist es, ihr loggt euch nicht nur mit einem Geheimnis ein, sondern mit zweien.

Ein paar Beispiele

Wir können uns da mal ein paar Beispiele anschauen, wie sowas denn aussehen kann.

EC-Karte

Was ihr alle kennt und wo euch vielleicht gar nicht klar ist so direkt, dass ihr eigentlich ein Zwei-Faktor-Verfahren verwendet, ist, wenn ihr mit der EC-Karte bezahlt oder mit der EC-Karte Geld abholt. Das eine Geheimnis, das besitzt ihr, das ist die Karte, aber selbst, wenn die einer klaut, kann er nichts damit anfangen, weil ihm das zweite Geheimnis fehlt, nämlich die PIN, die ihr auswendig wisst, und ihr braucht beides, um Geld abzuholen oder zu bezahlen.

Packstation

Das andere, wenn ihr an eine Packstation geht und ihr wollt ein Päckchen da von DHL rausholen. Ihr habt wieder das Besitzgeheimnis, die Karte, und dann habt ihr das Geheimnis, dass ihr als SMS eine TAN auf euer Handy geschickt bekommt, das habt nur ihr das Handy im Idealfall.

Paypal

Oder bei PayPal ist es so, wenn ihr euch da einloggen wollt und diese Zwei-Faktor-Authentifizierung aktiviert habt, dann habt ihr ein Passwort und zusätzlich kriegt ihr noch via SMS eine TAN zugeschickt.

Online-Banking

Dasselbe Verfahren kennt ihr ja auch aus dem Online-Banking, so als letztes Beispiel. Ihr habt eure Kontonummer, ihr habt eine PIN, dir ihr eingebt und ihr kriegt entweder eine TAN via SMS zugeschickt oder ihr könnt sie mit einem TAN-Generator erzeugen.

Hinter all dem steht halt diese eben auch schon beschrieben Idee, selbst wenn euch die Karte geklaut wird oder das Passwort abgehört wird, man braucht immer noch den anderen, den zweiten Faktor, um euch wirklich zu bestehlen, um eure Sicherheit zu gefährden.

Deshalb sind Zwei-Faktor-Verfahren auch so extrem beliebt, um wirklich Sachen gut abzusichern, weil ein Verfahren, eine Methode kann immer gehackt werden, also meinetwegen das Passwort oder die SMS, aber zwei Sachen sind, wenn sie vernünftig gewählt werden, sehr sicher.

Die bekanntesten Verfahren

Jetzt können wir uns mal anschauen, welche Verfahren gibt es denn im Netz, die typischerweise verwendet werden. Wir haben uns ja eben schon ein paar Beispiele angeschaut, aber die beiden dominantesten, die beiden prominentesten Verfahren sind

  • das SMS-Verfahren und
  • das Google Authenticator Verfahren.

Das SMS-Verfahren

Das SMS-Verfahren kennt ihr von eurem Online-Banking, ihr kriegt halt via SMS eine TAN zugeschickt. Und obgleich das superbequem und praktisch ist, ist das leider Gottes auch sehr unsicher, denn diese SMS können sowohl abgehört werden als auch umgeleitet werden auf eine andere Telefonnummer und das passiert in einem Maße, dass man wirklich von diesem Verfahren nur abraten kann, außer ihr habt keine andere Wahl.

Denn bevor ihr keinen zweiten Faktor nehmt, würde ich immer sagen, lieber nimm SMS-Verfahren als gar keinen zweiten Faktor. Das schützt auf jeden Fall besser als nur ein Passwort alleine, aber es gibt deutlich bessere Verfahren als dieses SMS-Verfahren.

Google-Authenticator

Ein Verfahren, das wirklich deutlich besser ist und das ist auch deutlich verbreiteter, würde ich sagen, ist das sogenannte Google Authenticator Verfahren. Jetzt könnte man meinen, Google ist nicht unbedingt das Unternehmen, für das ich hier Werbung mache, das ist auch nur eine Variante eines offenen Standards und es gibt auch Apps dafür, die nicht von Google sind.

Das heißt, ihr braucht da nichts von Google installieren, die haben es aber auch sehr bekannt gemacht.

zeitabhängige Einmal-Codes

Die Idee dahinter sind zeitabhängige Einmal-Codes.

Das Ganze funktioniert nach dem Prinzip,

  • dass ihr eine App auf dem Handy habt, auf dem Tablet habt, auf eurem Computer habt und
  • diese App erzeugt alle 30 Sekunden einen neuen Einmalcode für euer Konto, auf das ihr euch einloggen wollt.

Ihr müsst dann, um euch einloggen zu können, zum Beispiel in euren Google E-Mail Account,

  • eure Google E-Mail-Adresse eingeben,
  • das Passwort eingeben, das ihr auswendig wisst und
  • das zu der Zeit gültige Einmalpasswort, diesen Einmalcode, eingeben.

Der Einmalcode besteht aus 6 Ziffern und wird alle 30 Sekunden neu erzeugt und sowohl irgendeiner von kurz vorher als auch irgendeiner von später funktionieren nicht, sondern ihr braucht genau den Code zu der Zeit.

Das Prinzip

Die Idee dahinter ist natürlich,

  • dass zum einen besitzt ihr euer Handy, auf dem dieser Code erzeugt wird und ihr koppelt über ein spezielles Verfahren den Server mit dem Handy, sodass die wirklich die gleichen Codes erzeugen und nur euer Handy diesen Code erzeugt und nicht das Handy von irgendjemand anders. Das heißt, ihr habt auch dieses, ihr besitzt das Handy und ihr wisst euer auswendig gelerntes Passwort, und die beiden Sachen zusammen geben diesen Superschutz.
  • Gleichzeitig ist es so, selbst wenn einer abhören würde, was für einen zweiten Faktor ihr habt, diesen Einmalcode, der ist halt nur 30 Sekunden lang gültig und nach einer Minute kann damit keiner mehr was anfangen. Das ist nochmal so ein extra Schutz.

Mal ausprobieren

Das Verfahren ist wirklich weit verbreitet. Und nachdem es schon von Google so mehr oder weniger benamst worden ist, wenn das so im Prinzip schon der Standardname dafür ist, dann bietet sich Google vielleicht auch an, um das Ganze mal auszuprobieren.

Vielleicht habt ihr noch einen Google-Account übrig, den ihr nach Folge Nummer 10 über gute E-Mail Anbieter jetzt nicht mehr braucht, weil ihr darüber ja keine E-Mails mehr schreibt, dann könnt ihr den Google-Account doch einfach mal nehmen oder ihr legt euch einen neuen an und probiert dieses Zwei-Faktor-Verfahren mal aus, bis ihr euch damit sicher fühlt.

Dann gibt es Listen im Netz, die zeigen, welche Anbieter unterstützen Zwei-Faktor-Authentifizierung [1]. Aber man kann sagen, das sind mittlerweile wirklich viele, die das anbieten.

Hier wirds wirklich wichtig: Diese Accounts musst Du absichern!

Es gibt 3 Klassen von Anbietern, die ihr auf jeden Fall absichern müsst zusätzlich, wo ein Passwort alleine eigentlich nicht wirklich reicht, und zwar ganz klar, wenn ihr irgendwie die Chance habt und

  • eure Bank sowas anbietet oder ihr PayPal zum Beispiel benutzt, aktiviert es auf jeden Fall. Da geht es um bares Geld, das sollte ein No-Brainer sein, dass das da wirklich Sinn macht.
  • Die andere Geschichte ist, wenn ihr irgendwo online einkauft. Also Amazon zum Beispiel bietet auch dieses Zwei-Faktor-Authentifizierungsverfahren an, da macht das echt Sinn, um einfach zu verhindern, dass jemand auf eure Kappe einkaufen geht.
  • Und fast noch das Allerwichtigste, weil es natürlich immer benutzt werden kann, um euer Passwort irgendwo zurückzusetzen ist euer E-Mail-Konto. Das heißt, bei eurem E-Mail-Konto solltet ihr, wenn irgend möglich Zwei-Faktor-Authentifizierung aktivieren beziehungsweise ernsthaft überlegen, ob ihr einen E-Mail Anbieter nehmt, der es nicht hat. Die Anbieter, die ich in Folge 10 vorgestellt habe, die bieten es an, also Posteo, Mailbox.org, Runbox, haben alle Zwei-Faktor-Authentifizierung und ich kann nur sagen, nehmt nichts, was das nicht anbietet, dafür ist euer E-Mail-Konto wirklich zu wichtig.

Schritt für Schritt

Und dann macht es Schritt für Schritt, eins nach dem anderen, probiert es mit einem Google-Konto aus, das ihr von mir aus zu Testzwecken anlegt und dann nach und nach ein Konto nach dem anderen darauf umstellen. Schritt für Schritt und nicht alles auf einmal, das führt typischerweise nur zu Chaos, gewöhnt euch erstmal daran.

Dann habt ihr tatsächlich eine Schutzklasse für eure Benutzerkonten erreicht, da bin ich fest von überzeugt, da seid ihr schon wirklich in den obersten wenigen Prozent, was das angeht, und dann habt ihr eure wichtigsten Sachen auch wirklich super geschützt.

Wenn dir gefallen hat, was du hier gehört hast und du mehr davon wissen willst, auf der Datenwache gibt es unter datenwache.de/newsletter die Möglichkeit, dass du dich auch für mein 2-wöchentliches Rundschreiben einträgst, dann kriegst du immer mal noch nebenbei ein paar Informationen zusätzlich und wirst auf neue Sachen hingewiesen.

Ich würde mich auf jeden Fall sehr freuen, wenn dir das hier über Zwei-Faktor-Authentifizierung was gebracht hat, wenn du es wirklich einsetzt.

Wenn noch Fragen sind, melde dich gerne bei mir, ansonsten hören wir uns in 2 Wochen wieder zur nächsten Folge.

Dein Mitch.

Leave a Reply 2 comments

Torge - 25. Mai 2019 Reply

Hallo,

erstmal vorweg – ich finde Deinen Podcast gut und höre ihn immer gerne. Aber ich hätte speziell zu diesem Thema noch eine Frage. Es gibt ja noch andere 2fa-Anbieter neben Google, bzw. z.B. LastPass oder Duo. Wenn man die Wahl hat – welches wäre Deiner Meinung nach vorzuziehen?

Gruß,
Torge

    Mitch - 1. Juni 2019 Reply

    Hallo Torge, danke für Deinen Kommentar und das Lob

    Du hast recht, es gibt noch viele alternative Möglichkeiten, die 2fa-Tokens zu erzeugen. Google Authenticator ist nur eine, es gibt aber noch andere, kompatible, z.B. Lastpass. Sehr beliebt ist auch Authy, wegen der Möglichkeit die Daten zu synchronisieren. Das natürlich um den Preis, dass die Sicherheit reduziert sein kann im Vergleich zu einer stand-alone-Lösung.

    Unter https://alternativeto.net/software/google-authenticator/gibt es einen Überblick verschiedener Angebote. Für sehr empfehlenswert, weil open-source, halte ich https://freeotp.github.io/.

    Aber auch der Passwortmanager KeePass bietet Plugins für 2fa an, ebenso die empfehlenswerte Variante keepassxc. Siehe dazu auch https://www.datenwache.de/passwortverwaltung/ .

    Viele Grüße
    Mitch

Leave a Reply: