2FA soll für mehr Sicherheit sorgen, sowohl beim Online-Banking als auch beim Zugang zu Kundenbereichen und der Freigabe von Zahlungen oder anderen Aktionen.
Bekanntestes Beispiel für eine Zwei-Faktor-Authentisierung ist die TAN im Online-Banking. Nach dem Login mit der PIN ist für die Ausführung einer Überweisung die Eingabe der TAN erforderlich. Dabei ist die Anmeldung mit entsprechendem Benutzernamen und PIN der erste Faktor. Der zweite Faktor ist in diesem Fall die TAN, die heutzutage meist über eine App auf dem Smartphone generiert wird.
Wie definiert sich 2FA?
Für eine gültige Authentisierung sind zwei Faktoren erforderlich, diese können aus den folgenden Bereichen kommen
- Besitz einer Schlüsselkarte, eines Gerätes (Handy, Laptop etc.), eines Kennwortgenerators oder eines Sicherheitstokens (virtueller Schlüssel)
- Wissen, also die Kenntnis eines Passworts oder einer PIN (bzw. wo ich ihn notiert habe)
- biometrische Merkmale wie Fingerabdruck, Iris oder Stimme
Dabei sollte natürlich nicht zweimal der selbe Faktor verwendet werden.
Einmalpasswörter (TOTP)
Die mittlerweile am meisten verbreitete Art der 2FA sind wohl sogenannte Einmalpasswörter, auch TOTP (Time-Based One-Time Password). Diese sind nur für eine bestimmte Zeitspanne gültig und werden dann neu erzeugt. Somit ist ein Ausspähen der Zugangsdaten sinnlos, da die Nutzung schon nach kurzer Zeit nicht mehr möglich ist.
Die aus dem Online-Banking bekannte TAN ist in ihrer aktuellen Form auch ein Einmalpasswort. Sie wird von der Bank für die aktuelle Überweisung generiert und ist nur eine bestimmte Zeit lang verwendbar.
Das Einmalpasswort wird häufig per App erzeugt, die Übermittlung per SMS ist auch noch gebräuchlich und in einigen Fällen erhält man den Code auch per Email.
Brauche ich 2FA?
Bei immer mehr Online-Accounts lässt sich 2FA aktivieren, sei es im Google-Account, bei Microsoft Outlook oder auch bei Bezahldiensten wie PayPal.
Besonders sinnvoll ist 2FA dann, wenn man sich mit seinem Account an einem Gerät anmeldet, das von mehreren Personen genutzt wird. Auch wer häufig unterwegs ist und freie WLAN-Zugänge nutzt, sollte seine Accounts per 2FA absichern.
Einmalpasswörter per App
Für die Nutzung der Zwei-Faktor-Authentisierung gibt es mittlerweile zahlreiche Apps aber auch Hardware-Lösungen. Diese unterstützen mehrere Accounts, man kann also mit einer App verschiedene Logins verwalten.
Will man die 2FA für einen Login aktivieren, so sind einige Schritte erforderlich:
- Bei der ersten Aktivierung wird ein Schlüssel in Form eines QR-Codes angezeigt.
- Mittels der App liest man diesen Code ein und hat dann einen neuen Eintrag in der App. Hier wird alle 30 Sekunden ein neuer 6-stelliger Code angezeigt.
- Um 2FA endgültig zu aktivieren muss der aktuelle Code eingegeben werden.
Hat man beispielsweise 2FA auf Google oder Facebook aktiviert, ist eine Anmeldung auf einem neuen Gerät anschließend nur noch möglich, wenn man den Code aus der 2FA-App eingibt.
Welche Apps gibt es?
Bekannt und verbreitet ist der Google Authenticator, der sowohl für Android als auch für iOS verfügbar ist. Nachdem es sich um einen offenen Standard handelt, gibt es aber zahllose andere Apps, die man zu diesem Zweck nutzen kann. Ich persönlich nutze Authenticator Pro, da diese App auch die automatische Sicherung der Schlüssel unterstützt.
Ausgesperrt…
Ohne zweiten Faktor ist kein Login möglich – das macht den Login zwar sicher, sorgt aber für Probleme beim Verlust des Smartphones mit der Authenticator App.
Um dem vorzubeugen, gibt es mehrere Möglichkeiten. Die Nutzung einer Authenticator App mit Backup-Funktion ist eine davon, so lassen sich die TOTP-Einträge auf einem neuen Smartphone wieder herstellen. Das Backup sollte dafür natürlich nicht nur auf dem Smartphone abgelegt, sondern in der Cloud gespeichert werden.
Eine weitere Möglichkeit ist, sich die QR-Codes bei der Aktivierung des 2FA-Verfahrens abzuspeichern oder auszudrucken. Mit dem QR-Code lässt sich der Eintrag jederzeit wiederherstellen, auch mit einer anderen 2FA-App auf einem anderen Smartphone.
Natürlich kann der QR-Code auch gleich zur Aktivierung auf mehreren Geräten eingelesen werden. Hier bietet sich beispielsweise ein altes Smartphone an, das dann an einem sicheren Ort verwahrt werden kann.
Viele Dienste ermöglichen bei der Aktivierung von 2FA auch die Erstellung von Backup-Codes – diese können verwendet werden, wenn der zweite Faktor nicht verfügbar ist.
Hard- statt Software
Anstelle einer App auf dem Smartphone gibt es auch Hardware-Geräte, die nur auf die Nutzung als zweiter Faktor ausgelegt sind. Beispielsweise der Reiner SCT Authenticator, mit dem TOTP für viele verschiedene Accounts verwaltet werden können.
Eine andere Möglichkeit ist die Nutzung eines U2F-Tokens. Das ist (vereinfacht ausgedrückt) ein USB-Stick, der einen eingespeicherten Schlüssel besitzt und sich damit gegenüber einem Online-Dienst ausweisen kann. Der U2F-Token wird im Account aktiviert, ab diesem Zeitpunkt ist der Login nur noch mit diesem Stick möglich.
Fazit
Wie immer muss der Gewinn an Sicherheit mit dem Verlust von Komfort erkauft werden. Wer diese zusätzliche Sicherheit will, sollte sich intensiver mit dem Thema 2FA auseinandersetzen und bei der Aktivierung darauf achten, dass auch ohne Smartphone noch ein Login in die wichtigsten Accounts möglich ist.
