Zwei-Faktor-Authentifizierung | Alle Infos zum Kontoschutz
Wenn man nach erfolgreicher Passworteingabe zusätzlich einen Code eingeben muss, kann der doppelte Schutz der eigenen Konten manchmal mühsam erscheinen. Dahinter steckt aber ein durchaus sinnvoller Gedanke: Das Passwort allein reicht nicht aus, um sich einloggen zu können. Ein einmaliger und zeitlich begrenzter Sicherheitscode ist zusätzlich erforderlich. Das soll es Angreifern schwerer machen, Konten zu hacken. Was genau hinter der Zwei-Faktor-Authentifizierung steckt, was man wissen muss, und wie man sie einrichtet, erfährst du hier.
Sicheres Passwort nicht genug
Datenskandale und Passwortdiebstähle im großen Stil sind leider keine Seltenheit. Immer öfter nutzen Hacker Sicherheitslücken, um an wertvolle Kundendaten zu gelangen. Erst Anfang des Jahres wurden im Zuge eines riesigen Leaks 773 Millionen Passwörter von über 12.000 Webdiensten veröffentlicht. Davon betroffen sein kann jeder – und die meisten wissen vielleicht gar nicht, dass ihre Passwörter frei im Netz zugänglich sind. Außerdem fatal: Viele verwenden das gleiche Passwort für mehrere Dienste. Das erleichtert Angreifern ein unerlaubtes Eindringen in die eigene Privatsphäre. Um dem vorzubeugen, empfiehlt es sich, für jedes Konto ein anderes (sicheres!) Passwort zu wählen. Ein sicheres Passwort besteht aus einer mindestens acht Zeichen langen und nicht logischen Kombination von Buchstaben, Zahlen und Sonderzeichen. Doch selbst wenn Fremde das eigene Passwort ergattert haben, gibt es einen einfachen Weg, das Konto zu schützen – die Zwei-Faktor-Authentifizierung.
Doppelter Schutz
Ist ein Konto mit der Zwei-Faktor-Authentifizierung geschützt, genügt es nicht länger, nur über Benutzername und Passwort zu verfügen, um sich einzuloggen. Nach erfolgreicher Eingabe (= erster Schritt), wird man aufgefordert, einen Sicherheitscode einzugeben (= zweiter Schritt), über den nur der Konto-Inhaber verfügt. Dieser Code wird entweder per Mail oder SMS an das Smartphone geschickt oder über eine mit dem Konto verknüpfte App laufend neu generiert. Hacker bräuchten also zusätzlich Zugriff auf das Smartphone oder Mail-Konto, um sich anzumelden.
Zusätzlicher Sicherheit einrichten
Die meisten großen Webservices, darunter Dropbox, Microsoft, Amazon, Sony (PlayStation), WhatsApp, Facebook, Google (Gmail, Google Drive, etc.) und Steam, bieten in den Sicherheitseinstellungen des Kontos die Möglichkeit, die Zwei-Faktor-Authentifizierung zu aktivieren. Eine Liste von Diensten, welche das Service unterstützen, findet man auf twofactorauth.org/. Bei Facebook findet man die Option in den Einstellungen unter „Sicherheit und Login“ => „Zweistufige Authentifizierung“. Hier legt man fest, über welchen Weg man nach erfolgreicher Passworteingabe den Anmeldecode für den zweiten Schritt bekommen möchte.
Ich persönlich verwende die Google Authenticator-App. Zunächst erstellt die Webseite einen QR-Code, den ich über die App einscanne, um Konto und Anwendung miteinander zu verbinden. Anschließend werden in der Authenticator-App laufend neue Codes für all meine Konten generiert. Doch was, wenn das Smartphone abhandenkommt oder ich es unterwegs nicht griffbereit habe bzw. aufgrund eines Funklochs kein Netzempfang vorhanden ist? Damit man nicht aus allen Konten ausgesperrt wird und keine Möglichkeit mehr besteht, auf diese zuzugreifen (anders als beim Passwort ist es unmöglich, die Codes zurückzusetzen), sollte man sich auch hier doppelt absichern. Die Authenticator-App darf außerdem erst deinstalliert werden, wenn man sichergestellt hat, auch auf anderem Wege den Anmeldecode zu erhalten. Diesen kann man sich zusätzlich per SMS (was aber wieder vom Smartphone abhängig macht) oder per E-Mail zuschicken lassen. Alternativ gibt es sogar die Möglichkeit, Wiederherstellungscodes auszudrucken – so ist man unabhängig von anderen Diensten, darf die Liste aber natürlich nicht verlieren. Zu vergleichen wäre dies mit den TAN-Listen, die man bisher für E-Banking-Transaktionen verwenden konnte. Aufgrund einer gesetzlichen Änderung, wird es in Zukunft aber nicht mehr möglich sein, online Zahlungen mittels TAN-Listen zu verifizieren. Der Code muss laut WKO nämlich „mit dem Kunden und den konkreten Betrag (somit auch mit einer konkreten Transaktion) verknüpft sein“. Alle Infos zu den neuen Regeln für elektronische Zahlungen findet man auf der Webseite der WKO.
Geräte merken
Damit man im Alltag allerdings nicht bei jedem Login zum Smartphone greifen und einen Code eingeben muss, gibt es die Möglichkeit, einzelne Geräte von der Zwei-Faktor-Authentifizierung auszunehmen. Sichere Rechner, wie den Stand-PC zuhause, kann man nach einmaliger Code-Eingabe von der zusätzlichen Überprüfung ausschließen. So erschwert man sich selbst nicht unnötig den Zugriff auf eigene Konten und behält gleichzeitig die Gewissheit, dass Fremde selbst mit erbeutetem Passwort ganz schlechte Karten haben, auf eigene Konten zuzugreifen.
Michael Jörg
Und warum bietet A1 für den Webmail Zugriff nicht eine 2FA an?
Ich denke es wäre jetzt an der Zeit zu handeln.
A1 Blog Redaktion
Servus Michael! 🙂
Schön, dass du dir Gedanken zu diesem Thema machst. Natürlich arbeiten wir stets an weiteren Verbesserungen. Ich bedanke mich in jedem Fall für dein Feedback. Dieses gebe ich gerne intern für dich weiter.
LG Sabrina