Mehr als nur ein Passwort – Doppelte Anmeldesicherheit wichtiger denn je?

Dieser Beitrag wurde vor mehr als 4 Jahren veröffentlicht. Daher kann es sein, dass sein Inhalt oder ein Teil davon nicht mehr aktuell ist.

Derzeit greift ja ein wenig die Panik um, wegen der wohl größten Sicherheitslücke, die es im Netz je gegeben hat – Heartbleed Das Protokoll, welches uns vor dem Abgreifen der Zugangsdaten und Co schützen sollte, hat eine Lücke mit der eben genau das möglich ist. Der Rat von allen? Alle(!) Passwörter ändern. Das reicht meiner Meinung nach aber nicht.

1024px-Huangshan_love_locks_railing

Seit geraumer Zeit nutze ich bei einigen Diensten die sogenannte doppelte Anmeldesicherheit. Das bedeutet, dass zusätzlich zum Passwort noch ein Code eingegeben werden muss, welcher nur kurz gültig ist. Das kann man vergleichen mit einer SMS-TAN, welche man vor jeder wichtigen Kontoaktivität beim Online Banking kennt.

Oftmals scheitert das bei den meisten Leuten daran, dass sie schlichtweg zu faul sind. Ging mir früher auch so, mittlerweile bin ich aber froh, dass ich es anders handhabe. Durch die Sache mit Heartbleed wird einmal erneut bewusst, wie unsicher unsere Daten eigentlich sind. Wer unsere Zugangsdaten hat, kommt in unser Benutzerkonto und diese zu bekommen, scheint nicht allzu schwer. Er kürzlich wurden die Zugangsdaten von 18 Millionen E-Mail-Konten geklaut.

Ich wurde vor Kurzem das dritte Mal von Facebook benachrichtigt, dass jemand versucht hat sich einzuloggen. Mit meinen Zugangsdaten. Er kam nicht durch, weil er den Zusatzcode nicht hatte. Und das war alleine heute. Man kann also davon ausgehen, dass Facebook ebenso von Heartbleed betroffen war. Bei 1,2 Milliarden Nutzern nicht gerade ein kleines Problem. Und ja, meine Zugangsdaten für Facebook waren absolut einmalig. Wie ich es immer bei großen wichtigen Konten mache.

Wie man sich schützt

Ich mag solche Belehrbeiträge eigentlich gar nicht, finde aber in dem Fall ist es durchaus wichtig. Es gibt für viele Dienste die Möglichkeit sich zusätzlich zu schützen. Meist geht das über eine App, die in der Form sowohl für Android, iOS als auch Windows Phone verfügbar ist. Für die ersten beiden ist die App von Google, bei Windows Phone kommt sie von Microsoft selbst.

Authentifikator für Android Authentifikator für iOS Authentifikator für Windows Phone

Windows Phone Authenticator

Alle drei Apps funktionieren an sich gleich. Wenn man etwas hinzufügen will, gibt man entweder die Daten davon ein, welche der jeweilige Dienst anzeigt oder nutzt den QR-Code, der alles automatisch übernimmt.

Wie lange die jeweiligen Codes gültig sind, sieht man bei Windows Phone an dem blauen Balken (Je nach gewählter Akzentfarbe unterschiedlich), bei Android und iOS zeigt es ein abnehmender Kreis an. Danach hat man noch eine kleine Gnadenfrist, in der der Code eingesetzt werden kann. Meine Tests ergaben, dass das bei allen Diensten 5-10 Sekunden sind. Danach ist der Code nicht mehr gültig. Also selbst wenn jemand irgendwie an eure Codes kommen sollte und auch eure Zugangsdaten hat, wird ihm das nicht viel bringen.

Wenn man kein Smartphone hat, kann man das übrigens trotzdem nutzen. Fast jeder Anbieter hat auch die Möglichkeit eine Authentifizierung per SMS vorzunehmen, was der SMS-TAN dann noch näher kommt.

Klar, es IST aufwändiger. Das ist wohl kaum zu bestreiten, aber es lohnt sich, wie ich heute merken durfte. Ohne diese Mechanismen wäre ich wohl mein Facebook-Konto los. Und damit auch die Fanseite des Blogs.
Wenn einem das zu stressig ist, kann man es noch immer nur für die wichtigen Dienste nehmen. Google und Facebook zähle ich persönlich dazu. Denn hier stecken bei vielen von uns ein Leben drin. Ebenso ein Microsoft-Konto oder die Dropbox sehe ich als zusätzlich schützenswert.

Wie man seine einzelnen Benutzerkonten schützt

Jeder Dienst hat diese Einstellung an anderer Stelle gelistet. Das zu finden ist oftmals etwas schwer. Daher gibt es eine Website, die sich zur Aufgabe gemacht hat diese Seiten aufzulisten und direkt den Punkt zu verlinken, wo man zur Einrichtung kommt bzw. zur Hilfeseite wo alles erklärt wird. Logischerweise sind die oftmals auch englischsprachig. Die Seite nennt sich twofactorauth.org und ist selbst auch englischsprachig.

Allerdings ist das kein Problem, da die Begriffe hier sehr einfach gehalten sind. Die einzelnen Dienste sind in Kategorien unterteilt und zeigen die Namen auf. Grün hinterlegte Dienste haben bereits die doppelte Anmeldesicherheit, die rot hinterlegten noch nicht – bei denen, an denen »In progress!« dran steht, wird dran gearbeitet.

Zusätzlich sieht man noch, welche Art unterstützt wird. Hier gibt es die Punkte SMS, Phone Call, Email, Hardware Token und Software Implementation. Der letzte Punkt betrifft meistens den oben genannten Authentifikator, wenn dort ein Häkchen gesetzt wurde, könnt ihr die doppelte Anmeldesicherheit von diesem Dienst mit eurer App verwenden.

Also überlegt euch mal, ob ihr den Aufwand verkraften könnt. So kann sich auf jeden Fall ohne euer Telefon (was ihr hoffentlich auch mit einem Code schützt, schließlich sind unsere Smartphones die persönlichste Technik, was wir haben) niemand in euren Account einloggen. Auch Freunde nicht, die mal eben über die Schulter schauten, als ihr eurer Passwort eingegeben habt.

Vernachlässigt also die Sicherheit nicht. Niemand kann garantieren, dass Dienste so sicher sind, wie sie scheinen.

Beitragsbildquelle Wikimedia

3 Kommentare

  1. Wie kann ich mich am besten davor schützen, dass Freunde oder sogar fremde Menschen mir nicht über den Rücken gucken, wenn ich meinen CODE am Smartphone eingebe? Das immer zu verhindern ist nicht einfach. Zum Beispiel in einer Überfüllten Bahn. :(

    Auf diesen Kommentar antworten
    0
    • Das wird sich nicht so leicht verhindern lassen. Den Code hier regelmäßig zu ändern wäre eine Option. Oder du gibst ihn blind ein, während du dein Display auf deinen Körper richtest. Eine 100%ige Sicherheit wird man mit einem einfachen Entsperrcode an einem Smartphone niemals haben. Hier heißt es einfach vorsichtig sein.

      Auf diesen Kommentar antworten
      0

Weitere Kommentare sind auf diesem Blog nicht mehr möglich.