Siche­re Accounts – bes­ser mit zwei Schlüsseln

Neben einem siche­ren Pass­wort wird für den effek­ti­ven Schutz von Online-Diens­ten viel­fach – etwa von den Ver­brau­cher­schutz­zen­tra­len, der Stif­tung Waren­test oder dem BSI – ein soge­nann­ter „zwei­ter Fak­tor“ emp­foh­len. Man spricht dann von der „Zwei-Fak­tor-Authen­ti­sie­rung“.

Was ist Zwei-Fak­tor-Authen­ti­sie­rung und wozu braucht man sie?

Da selbst sehr siche­re Pass­wör­ter z. B. durch Daten­lecks in fal­sche Hän­de gera­ten kön­nen, ist es rat­sam, den Schutz wich­ti­ger Online-Diens­te wie E‑Mail, Cloud oder Ban­king nicht nur einem Pass­wort zu über­las­sen. Bei der Zwei-Fak­tor-Authen­ti­sie­rung iden­ti­fi­ziert man sich durch zwei unter­schied­li­che und mög­lichst von­ein­an­der unab­hän­gi­ge Kom­po­nen­ten (Fak­to­ren): Schon lan­ge ken­nen wir dies am Geld­au­to­ma­ten (Bank­kar­te und PIN) oder vom Online-Ban­king (Pass­wort und TAN).

Bei Online-Diens­ten ist der ers­te Fak­tor meist das eige­ne Pass­wort und der zwei­te ein per E‑Mail oder SMS zuge­schick­ter Code oder alter­na­tiv ein Code, der von einer spe­zi­el­len App gene­riert wur­de. Die­se Zwei-Fak­tor-Apps nut­zen bei der Berech­nung des Codes unter ande­rem die Uhr­zeit, wes­halb man sie zeit­ba­sier­te Ein­mal­kenn­wör­ter (TOTP) nennt.

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) ver­an­schau­licht die Funk­ti­ons­wei­se der Zwei-Fak­tor-Authen­ti­sie­rung in einem Erklärvideo:

Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI): Erklär­film „Zwei-Fak­tor-Authen­ti­sie­rung“ (Quel­le: mul​ti​me​dia​.gsb​.bund​.de/​B​S​I​/​V​i​d​e​o​/​B​S​I​f​B​_​A​n​i​m​a​t​i​o​n​_​Z​w​e​i​-​F​a​k​t​o​r​-​A​u​t​h​e​n​t​i​s​i​e​r​u​n​g​.​mp4, ein­ge­se­hen unter bsi​.bund​.de/​d​o​k​/​5​0​9​176)

Wie kann man Zwei-Fak­tor-Authen­ti­sie­rung nutzen?

Beson­ders die bereits genann­ten Zwei-Fak­tor-Apps bie­ten sich zur Absi­che­rung von Online-Diens­ten an – sie sind sicher, ver­gleichs­wei­se fle­xi­bel nutz­bar und benö­ti­gen kei­ne Preis­ga­be wei­te­rer Daten. Sie wer­den in der Regel auf dem eige­nen Smart­phone instal­liert, wo sie zusätz­lich durch ein Pass­wort oder bio­me­tri­sche Merk­ma­le (Fin­ger­ab­druck oder Gesicht) geschützt wer­den. Es gibt zahl­rei­che die­ser Apps: Etwa von Micro­soft und Goog­le, inte­griert in Pass­wort­ma­na­ger und diver­se wan­de­re Lösungen.

Exem­pla­risch sol­len hier zwei uni­ver­sell ein­setz­ba­re Apps genannt wer­den, wel­che die fol­gen­den Kri­te­ri­en erfül­len: Sie sind kos­ten­los, Open Source, platt­form­un­ab­hän­gig, syn­chro­ni­sie­ren auf Wunsch ver­schlüs­selt zwi­schen unter­schied­li­chen Gerä­ten und erleich­tern die Ein­ga­be der gene­rier­ten Codes auch auf Lap­tops oder Desk­top-Com­pu­tern:

  • 2FAS lässt sich nur auf Mobil­ge­rä­ten mit Android oder iOS instal­lie­ren, kann jedoch Ein­trä­ge zwi­schen die­sen syn­chro­ni­sie­ren und die Ein­ga­be der gene­rier­ten Codes auf Lap­tops oder Desk­top-Com­pu­tern durch eine Brow­ser-Erwei­te­rung vereinfachen.
  • Ente Auth syn­chro­ni­siert auf Wunsch eben­falls, dies jedoch nicht nur zwi­schen Mobil­ge­rä­ten, son­dern die Codes für die Zwei-Fak­tor-Authen­ti­sie­rung las­sen sich auch platt­form­über­grei­fend auf Com­pu­tern mit MacOS, Linux oder Win­dows sowie zusätz­lich über eine Web­ober­flä­che abrufen.