Exkurs: 2-Faktor-Authentifizierung (2FA)

Diesen Teil könnte ich mit einem Satz erschlagen: Aktivieren, wo immer möglich. Doch so einfach ist es nicht. Trotzdem:

Aktivieren, wo immer es möglich ist.

Empfehlung

Es gibt mehrere Wege, 2FA zu erreichen. Die Idee ist dabei immer dieselbe: Sie haben etwas das Sie wissen und etwas, dass Ihnen gehört. Diese beiden zusammen mit Ihrem Benutzernamen komplettieren die 2FA. Apple zum Beispiel sendet Ihnen nach dem Einloggen einen Code an ein anderes Apple Gerät. Sie wissen Ihr Passwort (ok, nach dem vorher beschriebenen wissen Sie es nicht, aber Ihr Passwortmanager) und Sie besitzen ein zweites Gerät. Oder Ihre Bank zeigt es Ihnen. Sie haben womöglich eine App auf Ihrem Smartphone. Wenn Sie sich online anmelden wollen, reichen Passwort und Benutzername nicht, Sie müssen noch in einer App etwas eingeben oder einen Code scannen oder Sie erhalten eine SMS.
Doch der Reihe nach.

Nur langsam adaptieren die Online-Diensteanbieter Ihre Zugangsmöglichkeiten für die 2FA. Und nicht alle bieten alle Möglichkeiten an. Daher sollten Sie sich gut überlegen, welche Methode Sie übernehmen wollen. Nicht alle Methoden sind gleich sicher und nicht alle sind gleich komfortabel und nicht alle sind gleich teuer.

Angefangen hat es bei Anbietern mit zusätzlichen Fragen an Sie:
Wie hiess Ihre Mutter als Kind mit Nachnamen?
Was war Ihr erstes Auto?
Wie hiess Ihre erste Schule?
Alles Fragen, die lächerlich einfach in der heutigen Zeit zu beantworten sind. Ein paar Suchen in Facebook, Instagram oder auf LinkedIn und Xing und die Antworten sind klar. Oder können erraten werden. Doch ist dies immer noch besser, als wenn Sie diese zweite Ebene nicht haben. Denn: Sie müssen diese Fragen ja nicht ehrlich beantworten. Sie schreiben die Antworten in Ihren Passwortmanager und es passt. Wie hiess Ihre Mutter als Kind…? Schreihals. Was war Ihr erstes Auto? Spaceshuttle! Oder auch: 1we4tgdj7685jf! Usw. Damit machen Sie es auf jeden Fall sicherer.

Die zweite Stufe ist die so genannte Authentifizierungssoftware. Das sind kleine Apps für das Handy, u.a. von Google, Microsoft aber auch von unabhängigen Entwicklern, wie die Software OTP Auth von Roland Moers. Sie können Ihre Mailaccounts (denken Sie bitte daran, wenn die Artikel zu Email online gehen) oder Ihr Amazon Konto und andere Internetzugänge damit absichern.
Wenn Sie sich nach dem Aktivieren von 2FA mit einer Software, zum Beispiel bei Amazon, anmelden, dann fragt er nicht nur nach einem Benutzernamen und Passwort sondern danach zusätzlich nach einem sechsstelligen Code. OTP steht dabei für One-Time-Password. Meistens alle 30 Sekunden wird ein neuer sechsstelliger Code erzeugt. Dieser muss auf Ihrem Handy in der App und auf der Webseite identisch sein. Beide „Systeme“ müssen sich also synchronisieren.
Am Beispiel von OTP Auth und Amazon zeige ich Ihnen, wie das geht. Es spielt dabei keine Rolle, welche App Sie verwenden, der Prozess ist fast immer identisch.

  • Laden Sie die Software OTP Auth aus dem entsprechenden App-Store auf Ihr Handy herunter.
  • Loggen Sie sich bei Amazon ein.
  • Klicken Sie auf ‚Anmelden und Sicherheit‘.
  • Klicken Sie unten bei ‚Einstellungen für die Zwei-Schritt-Verifizierung (2SV)‘ auf ‚Bearbeiten‘. Sie sehen eine Erklärung, warum es sinnvoll ist, dies einzurichten.
  • Klicken Sie auf ‚Erste Schritte‘.
  • Sie können 2FA per SMS oder einem maschinellen Sprachanruf einrichten, wir wollen aber den untersten Punkt auswählen, ‚Authentifizierung App‘. Klicken Sie darauf. Sie sehen weitere Informationen. Bis Sie zu einem QR-Code gelangen. Jetzt geht es zum Handy.
  • Öffnen Sie auf dem Handy die OTP Auth App und gehen auf ‚Setup starten.’ Geben Sie im nächsten Fenster auf dem Handy ein Passwort ein. Damit werden die Daten von OTP Auth verschlüsselt. Wieder ein Fall für den Passwortmanager. Sie können im nächsten Schritt festlegen, ob Sie das Passwort bei jedem Start der App eingeben wollen. Sie können aber auch FaceID oder TouchID dafür verwenden. Meine Meinung dazu kennen Sie mittlerweile.
  • Klicken Sie auf ‚Weiter‘.
  • Klicken Sie auf ‚Fertig’
  • Wenn Sie FaceID oder TouchID ausgewählt haben, werden Sie nach den Berechtigungen gefragt. Geben Sie diese ein und die Einstellungen sind fertig.
  • Sie gelangen in den Bildschirm Standardordner in dem die noch nicht vorhandenen Accounts zu sehen sind.
  • Tippen Sie auf das ‚+‘ am unteren Bildschirm. Sie werden gefragt, ob Sie einen Barcode scannen wollen usw.
  • Tippen Sie auf ‚Barcode mit Kamera scannen‘.
  • Jetzt trägt er Amazon in die Liste der Accounts ein und Sie sehen die Nummer rechts neben dem Konto.
  • Tippen Sie diese in das Feld unter Schritt 3 auf der Amazon Webseite ein. Tippen Sie auf ‚Verifizieren’. Sie gelangen zu Schritt 2 bei dem Amazon Ihnen mitteilt, dass der Prozess fast abgeschlossen ist. Es wird erklärt, dass jetzt auf allen Geräte die 2FA aktiviert ist und wie Sie diese verwenden können, auch wenn Ihr Gerät, vielleicht ein Kindle, keine zweite Anzeige für den sechsstelligen Code erlaubt. Dann fügen Sie das OTP, also die sechsstellige Zahl, einfach an das Passwort an.
  • Eine weitere, aber unsichere Möglichkeit ist zu bestimmen, dass der aktuelle Browser vertrauenswürdig ist und daher kein OTP benötigt. Das bedeutet, wenn Sie von diesem Browser an diesem Gerät Amazon kontaktieren, dann müssen Sie keinen Code mehr eingeben.
  • Schliessen Sie den Prozess ab.
  • Alternativ können Sie zusätzlich noch eine Telefonnummer einrichten, dass Sie im Zweifelsfall eine SMS bekommen, falls sonst etwas schief geht. Andere Anbieter bieten sog. Wiederherstellungsschlüssel, die Sie gut aufheben sollten (Passwortmanager). Sollte Ihre App nicht funktionieren, Ihr Handy kaputt gehen etc., dann werden Sie diese benötigen um weiterhin Zugriff auf die Konten zu haben.

Am sichersten ist es, wenn Sie ein Hardwaregerät besitzen, dass den zweiten Code neben dem Passwort anbietet. Vielleicht haben Sie schon mal die RSA Tokens in Ihrem Unternehmen gesehen. Für zu Hause gibt es als sicherste Lösung den OnlyKey. Das ist im Prinzip ein USB-Stick (an Mac mit USB-C benötigen Sie einen Adapter) der noch sicherer als ein Yubikey ist. Ich habe viel Zeit damit verbracht und kann sagen: Nichts für Anfänger und Ungeduldige. Ich würde es niemandem empfehlen. Ich hoffe das wird sich in den nächsten Monaten oder Jahren geben.

Konzentrieren wir uns auf die Yubikeys. Yubikeys werden in das Gerät, zum Beispiel den Laptop, gesteckt und wenn Sie sich z.B. bei ProtonMail anmelden und 2FA eingerichtet haben, dann berühren(!!) Sie diesen Yubikey und der generiert in diesem Moment einen Code der an ProtonMail übermittelt wird. Wenn Sie ProtonMail und Yubikey korrekt synchronisiert haben, werden Sie eingeloggt.
D.h. ohne diesen Key kann sich niemand einloggen. Selbst wenn er das Passwort kennt und vielleicht erraten könnte, welcher Code dran ist. Es wird physischer Zugriff benötigt.

Das Problem beim Yubikey ist dabei, dass er einen Code generiert, bei dem die ersten 12 Zeichen immer dieselben sind, das ist die Seriennummer der Hardware. Auch wenn es sehr sehr unwahrscheinlich ist, könnte darüber eine Verbindung zwischen Konten hergestellt werden. Anders funktioniert das mit dem OnlyKey. Dieser hat ein echtes Challenge/Response Verfahren und sendet auch keine Seriennummer zufällig oder am Anfang einer Zeichenkette mit. Und Sie geben auf dem Gerät selber einen Pin zum Zugriff auf das Gerät ein. Mit beiden sind die Gefahren von Keyloggern ausgeschlossen. Keylogger sind Software, die illegal hinter Ihrem Rücken auf Ihrem Rechner eingeschleust werden und jeden Tastendruck aufzeichnen und nach Hause senden. Somit auch Ihre Passwörter. Mit einem Yubikey und OnlyKey ist das nicht möglich.
Wenn Sie Hardware gerne verlieren oder Ihnen ein OnlyKey oder Yubikey zu kompliziert sind, dann hilft die oben eingeführte Software.

Der YubiKey kann noch mehr. Aber das würde im Moment zu weit führen. Wenn Sie interessiert sind: Suchen Sie nach FIDO🇬🇧.