Was Zwei-Faktor-Authentifizierung (2FA) tut und warum Sie sie verwenden sollten
Da wir immer mehr Online sind und sehr viele Geschäfte auch dort abwickeln, wird es für die „Bösen“ auch spannender hier aktiv zu werden. Das bringt die Notwendigkeit sicherer Authentifizierungsmethoden für Benutzer mit sich. Logins über eine Benutzername/Passwort-Kombination sind schon lange nicht mehr sicher.
Damit Sie mir die Relevanz auch „abkaufen“ hier ein Video des Bundesamt für Sicherheit in der Informationstechnik (BSI) zur 2FA:
Noch immer nutzen viele Benutzer den gleichen Benutzernamen und das gleiche Passwort für verschiedene Dienste. Dies erleichtert es Hackern immens an Ihre Daten zu kommen! Hat er einen Zugang, hat er alle!
Sobald ein „Böser“ über eines Ihrer Logins verfügt, wird es auch auf anderen Websites und Diensten ausprobieren. Einschließlich Bank-, Kreditkarten- und Shopping-Sites.
Viele Webseitenbetreiber, Banken, soziale Netzwerke, Computer- und Mobile-Device-Hersteller verpflichten ihre User deshalb sich mit zwei-Faktor-Authentifizierung bei ihren Diensten, Netzwerken und Geräten anzumelden.
In diesem Artikel erkläre ich, was Zwei-Faktor-Authentifizierung ist, wie sie funktioniert und wie sie damit Ihr Sicherheitsniveau für Anmeldungen deutlich erhöhen. Damit die Ungeduldigen sofort das Wichtigste erfahren, liste ich vorab die entscheidenden To do‘s. Erst anschließend geht es ins Detail!
So sorgen Sie mit 2FA für Sicherheit
Die Zwei-Faktor-Authentifizierung ist beste Option, um sicherzustellen, dass Ihre Online-Konten sicher und Ihre persönlichen und geschäftlichen Informationen für Hacker unerreichbar bleiben. Eine zweite Sicherheitsebene sichert dabei Ihre wertvollen Logins zusätzlich ab. Mit den folgenden Schritten können Sie das erreichen:
Aktivieren Sie die Zwei-Faktor-Authentifizierungen ihrer Dienste
Wenn eine Website, ein Dienst, ein E-Mail-Anbieter oder irgendetwas anderes, auf das Sie Online zugreifen, die Two-Factor Authentication (2FA) anbietet, dann aktivieren Sie sie! Die 2FA stellt sicher, dass niemand, selbst wenn er Ihre Anmeldeinformationen erfährt, über genügend Informationen verfügt, um auf Ihre Konten zuzugreifen.
Durch die Anforderung einer zweiten Aktion seitens des Benutzers, sich anzumelden (ein Login-Code, der per E-Mail, SMS oder von einem Tokengenerator gesendet wird), macht 2FA es für Unbefugte so gut wie unmöglich, auf Ihre Konten zuzugreifen. Zudem müsste er über Ihr Smartphone und dessen Login verfügen.
Aktivieren Sie in Ihren sozialen Netzwerken und Services 2FA
Facebook, Twitter, Apple, Google, Microsoft und viele andere soziale Netzwerke und Online-Dienstleister bieten eine Form der Zwei-Faktor-Authentifizierung an. Darüber hinaus bieten auch viele Bank-, Kreditkarten- und Shopping-Sites ihren Kunden den 2FA Schutz.
Meist dauert es nur 2 Minuten um 2FA einzurichten. Ihre Sicherheit steigt damit immens.
Verwenden Sie einen Passwort-Manager
Wenn Sie noch keinen Passwort-Manager verwenden, um Ihre Online-Logins zu verwalten, dann lesen Sie auch meinen Anwaltsblogartikel „Testsieger der Passwort Manager für Anwälte“ .
Viele Passwort-Manager sind 2FA kompatibel. Das macht es sehr sicher, sich – per Klick – bei Ihren Lieblings-Websites und anderen Diensten anzumelden. Sie können darin auch weitere, geheime Daten verschlüsselt speichern. Das ist besonders für Rechtsanwälte als Geheimnisträger essentiell.
Klicken Sie niemals auf “Dieses Gerät als vertrauenswürdig markieren”
Wenn Sie ein Endgerät als “vertrauenswürdig” einstufen, sind zukünftige Anmeldungen für Sie einfacher und schneller – aber auch für potentielle Hacker! Ebenfalls für jeden, der Ihren Laptop oder Ihr mobiles Gerät findet oder stiehlt. Denn er kann dann alle freigeschalteten Dienste nutzen, wenn er das Login Ihres Gerätes überwunden hat (was häufig einfach ist). Es hebelt denn Sinn und Zweck von 2FA aus, wenn sie ihre Geräte als „vertrauenswürdig“ freigeben. Lassen Sie es besser.
Sie haben Angst sich mit 2FA aus einer Website auszuschliessen?
Was passiert, wenn Sie Ihr mobiles Gerät verlieren und deshalb den 2FA-Code gerade nicht generieren können? Die meisten 2FA-Systeme ermöglichen es Benutzern eine zweite Telefonnummer oder eine zusätzliche E-Mail-Adresse für diesen Fall zu hinterlegen. Selbst über eine Festnetznummer können viele 2FA Systeme einen Authentifizierungscode per Sprachnachricht bereitstellen.
Viele 2FA-Dienste stellen dafür einen speziellen Code bereit, den Sie ausdrucken und an einem sicheren Ort aufbewahren können (z.B. im Kanzleitresor). Das klingt zwar „Old-School“ ist aber sicherer, weshalb ich dieses Vorgehen auch für den Hauptschlüssel Ihres Passwortmanagers empfehle. Der Teufel ist ein Eichhörnchen. Kopieren Sie den Code nicht in die “Notizen-App” Ihres Geräts. Wenn Sie ihr Gerät verlieren, hat der Finder nämlich vollen Zugriff auf diese unverschlüsselten Notizen!
Prüfen Sie, ob Ihre bevorzugten Webseiten/Dienste 2FA unterstützen
Immer mehr Websites und Online-Dienste bieten ihren Benutzern 2FA an. Suchen Sie einfach in Google nach der Domäne Ihres Services i.V.m. „2FA“, dann finden Sie weitere Informationen dazu.
Erhöhen Sie Ihren IT- und Online-Schutz weiter!
Die 2FA bietet Ihnen zusätzlichen Schutz für vieles von dem, was Sie Online tun. Sobald Sie 2FA für Ihre wichtigsten Dienste aktiviert haben, sollten Sie aber auch die folgenden Sicherheits-Probleme lösen, zu denen ich Ihnen ebenfalls im Anwaltsblog diverse Artikel aktuell halte:
Was ist „Zwei-Faktor-Authentifizierung“?
Die 2FA, auch Multi-Factor Authentication (MFA) genannt, ist eine Methode zum Autorisieren einer Anmeldung mithilfe von zwei unabhängigen Authentifizierungmerkmalen. Der erste Faktor sind Ihre bisherigen Logindaten. Dies werden um einen zusätzlichen Code ergänzt, den zweiten Faktor. Dieser wird, im Moment der Identifizierung, auf Ihrem Smartphone generiert. Er ist nur wenige Sekunden gültig.
Mobile-Zwei-Faktor-Authentifizierung
Wenn Sie sich mit Ihrem Smartphone per 2FA zu einem Service melden, sendet die betreffende Website oder der betreffende Dienst einen 4-stelligen oder größeren Code per SMS an Ihr Smartphone oder Tablet. Besonders komfortabel ist die Authentifizierung per Authentifizierungsapp. Diese Passcode-Generierungs-App generiert den Code. Die funktioniert auch ohne SMS, wenn man z.B. per WiFi ins Internet kommt, jedoch keinen Mobilfunkempfang hat. Nutzen Sie nur Apps, Apps, die den Code per TOTP (Time-based One-time Password) bereitstellen. Gekoppelt werden die Apps durch fotografieren eines auf der Website angezeigten QR-Codes.
Eine Auswahl sicherer, von mir getesteter Apps, sind z.B. die folgenden:
Sie können sie kostenlos in Ihrem Appstore oder bei Google Play herunterladen.
Diese Authentifizierungsapps erfüllen ihre Aufgabe sicher und zuverlässig.
Authy zeichnet sich durch einfache Bedienbarkeit und eine Backupfunktion aus. Somit sind Sie auf der sicheren Seite, wenn Sie Ihr Smartphone verlieren. Zudem ist es Multi-Sync fähig, das heißt sie können es Geräteübergreifend verwenden.
LastPass ist nicht ganz so “sexy” bedienbar. Er unterstützt ebenfalls Multi-Sync und Backups. Auf ausgewählten Websites genügt ein Klick, ein Code muss dann nicht eingegeben werden. Das folgende Video zeigt seine Bedienung:
Der Google Authenticator ist weit verbreitet und übersichtlich. Sein Vorteil ist die lange Liste unterstützter Websites, Nachteil dass er nicht Geräteübergreifend verwendet werden kann und es keine Version für einen PC/Mac gibt. Sie benötigen dann stets ihr Smartphone.
Manchmal werden Sie mehrere dieser Apps parallel benötigen, weil nicht jeder Dienst alle dieser Apps akzeptiert.
Die zwei Faktoren sind also Ihre „klassischen“ Zugangsdaten sowie der generierte Code.
Vorteile:
- Keine Notwendigkeit, einen Token-Generator (also Hardware) mitzuschleppen, da der Prozess das mobile Gerät des Benutzers verwendet.
- Die Passcodes werden im gleichen Moment der Nutzung generiert, was sie sicherer macht als statische Passwörter.
- Es kann eine maximale Anzahl von Passcode-Einträgen festgelegt werden, wodurch das Risiko des Erratens von Passcodes begrenzt wird.
- Der Prozess ist benutzerfreundlich.
- Hackerangriffe werden deutlich erschwert
Nachteile:
- Das mobile Gerät kann gestohlen, verloren oder beschädigt werden. Das hilft zwar nicht dem Hacker, aber Sie haben ggf. dann erst mal keinen Zugang mehr zu den Diensten. Es sei denn Sie haben diesen Artikel ganz gelesen, denn dann kennen Sie eine Alternative 😉
- Wenn Sie sich außerhalb des Mobilfunknetzes befinden, wird die Passcode-SMS möglicherweise nicht empfangen – aber dann sind Sie meist auch nicht online…
- Es erfordert die Verknüpfung des Dienstes mit der Mobiltelefonnummer eines Benutzers. Dies reduziert ggf. die Privatsphäre des Benutzers.
- SIM-Klone könnten Cyberkriminellen Zugriff auf die mobile Verbindung Ihres Smartphones geben. Dazu bedarf es allerdings schon sehr fortgeschrittener Techniken, deren sich Geheimdienste bedienen. Wenn Sie zur Risikogruppe gehören zahlen Sie ohnehin nur in „Bar“ 😉
Token Generator für Zwei-Faktor-Authentifizierung
Manche Anbieter liefern einen kleine Hardware/Kreditkarte-ähnlichen Token-Generator den Sie mit sich führen müssten.Solche Geräte generieren alle paar Sekunden ein neues Token, als ein neues, einmaliges Kennwort. Dadurch entfällt die Notwendigkeit der Verknüpfung Ihres mobilen Gerätes.
Vorteile:
- Keine Verwendung eines mobilen oder anderen mit dem Internet verbundenen Geräts.
- Tragbar, kann in der Tasche, Geldbörse oder Aktentasche des Benutzers aufbewahrt werden.
- Einfach zu bedienen.
- Keine Software zu installieren/upzudaten
- Das Token wird nach kurzer Zeit aktualisiert – kein permanenter Passcode der gestohlen werden könnte.
Nachteile:
- Die zusätzliche Hardware kann verloren gehen oder aus der Tasche des Benutzers gestohlen werden.
- Man-in-the-Middle-Angreifer könnten trotzdem einen Zugang erhaschen.
Wichtige Links zu Zwei-Faktor-Authentifizierung und Sicherheit beim Einlogen
Bewertungstabellen ‘IT Sicherheit’ – hier lesen Sie vom BSI welche Methoden sicher sind!
Defend your users from MFA fatigue attacks
Analyzing and Detecting MITM Phishing Toolkits
DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit