Es vergeht kaum eine Woche, in der nicht davon berichtet wird, dass im großen Stil Zugangsdaten zu Onlinediensten geknackt wurden. Benutzername und Passwort – das sind die üblichen Schlüssel zur Onlinewelt, egal ob E-Mail-Briefkasten, Onlineshop, Fotoalbum oder soziales Netzwerk. Überall muss man sich anmelden.
Doch viele Passwörter sind unsicher und oft werden sie eben auch geknackt. Wie vor einigen Tagen der Twitter-Account der BBC. Danach wurden im Namen der BBC falsche Nachrichten verbreitet. Jetzt will Twitter den Zugang mit einem neuen Verfahren deutlich sicherer machen, es Passwort-Hackern schwerer machen, sich in fremde Konten einzuloggen. Einige andere Onlinedienste haben diesen Schritt bereits getan. Wer sein Onlinekonto mit der Zwei-Wege-Authentifizierung absichert, kann sich gegen solche Angriffe besser schützen.
Das Verfahren, das jetzt auch Twitter einführt, um die Twitter-Accounts besser abzusichern, nennt sich offiziell Zwei-Faktor-Authentifizierung. Klingt kompliziert – was steckt dahinter?
Im Grunde genommen ist es gar nicht kompliziert. Bei der Zwei-Faktor-Authentifizierung, auch Zwei-Wege-Authentifizierung oder englisch Two Step Verification genannt, setzen die Onlinedienste beim Login nach wie vor auf Benutzername und Passwort. Man muss sich also keineswegs komplett umstellen. Aber es kommt noch das eigene Handy ins Spiel, als zweiter Faktor.
Wenn man sich einloggt, muss man dann neben Benutzernamen und Kennwort auch noch einen Code eingeben. Als zusätzlichen Ausweis quasi, dass man Benutzername und Passwort auch legitim verwendet. Diesen zusätzlichen Code, eine Art TAN, schickt einem der jeweilige Onlinedienst per SMS aufs Handy. So ähnlich wie beim Onlinebanking mit Mobile TAN.
Der TAN-Code muss dann in der Webseite zusätzlich eingegeben werden. Großer Vorteil: Selbst wenn jemand mein Passwort kennt oder klaut – er kann sich nicht damit einloggen, denn er bräuchte darüber hinaus Zugang zu meinem Handy. Das erhöht die Sicherheit enorm. Natürlich nicht auf 100%, denn 100%igen Schutz gibt es nicht, aber um ein Vielfaches. Das neue, sichere Login-Verfahren sorgt dafür, dass mein Onlinekonto deutlich sicherer ist, ohne dass kompliziert wäre oder deutlich mehr Aufwand bedeutet.
Den TAN-Code muss man übrigens nicht jedes Mal eingeben, sondern nur dann, wenn man zum ersten Mal ein bislang unbekanntes Gerät benutzt, egal ob PC, Tablet oder Smartphone. Beim ersten Mal muss dann der Sicherheitscode eingetragen werden. Wenn man möchte, kann man das Gerät dann aber für 30 Tage als sicher einstufen. Auf dem eigenen PC auf dem Schreibtisch muss man dann nicht ständig auch noch eine TAN eingeben, um sich einzuloggen.
So ganz sicher kann das aber nicht sein. Kurz nachdem Twitter die neue Methode eingeführt hat, wurde bereits vermeldet, es wäre geknackt worden.
Das stimmt, die Meldungen gab es. Aber es stimmt nicht ganz: Das eigentliche sichere Login-Verfahren wurde nicht geknackt. Es wurde vielmehr eine Man-in-die-Middle-Attacke angewendet, also eine ganz besondere Methode des Datenklaus, die deutlich mehr Aufwand bedeutet, man muss nämlich die zugeschickten TAN-Codes abfangen. Keine einfache Aufgabe. Hier kann Twitter das Login-Verfahren noch ein bisschen nachbessern und dadurch sicherer machen. Es ändert aber nichts am Grundsatz: Die Zwei-Faktor-Authentifizierung ist deutlich sicherer. Jeder sollte sie nutzen.
Jeder sollte sie nutzen: Aber wer von uns kann sie denn schon nutzen, wo kann ich mich sicher einloggen? Wer macht bereits mit – und wie kann man dafür sorgen, dass man selbst auch mitmacht und das sichere Login benutzt?
Die Großen der Branche bieten das sichere Login bereits an, reden aber komischerweise kaum drüber. Google. Facebook. Twitter. Dropbox. Sie alle haben das sichere Login bereits. Apple führt es auch gerade ein. Doch um das sichere Login für das eigene Konto zu nutzen, muss man in die Kontoeinstellungen gehen und abändern. Man muss extra eine Option wie „erweiterte Sicherheit“ oder „sicheres Login“ aktivieren, damit der jeweilige Onlinedienst mir das auch anbietet. Dann muss ich meine Handynummer angeben und mein Handy freischalten.
Man bekommt eine erste SMS mit einem Code per SMS zugeschickt und muss diesen Code eingeben. Danach ist das Handy mit dem Onlinekonto verknüpft und man bekommt die TAN-Coes auf dieses Handy geschickt. Es dauert meist nur wenige Minuten, um das eigene Onlinekonto bei Google, Facebook, Twitter und Co. Sicherer zu machen. Die Zeit sollte man sich nehmen. Kosten entstehen übrigens keine für die zuschickten SMS-Nachrichten, das berechnet keiner.
Nun könnte der ein oder andere Sorge haben, seine Mobilnummer rauszurücken. Verständlich – oder übertriebene Sorge?
Man sollte immer zurückhaltend sein bei der Rausgabe persönlicher Daten. Das ist erst mal ein guter Reflex. Allerdings sollte man auch abwägen: Das deutliche Plus an Sicherheit, dass durch das sichere Login geboten wird, sollte es einem wert sein, die Handynummer zu hinterlegen. Bislang ist bei den großen Anbietern kein Missbrauch bekannt. Bei Google, Dropbox und einigen anderen Anbietern geht es zur Not aber auch ohne Handymummer – indem man eine andere Methode verwendet, um die TAN-Codes zu erzeugen.
Wie funktioniert das, ganz ohne Handynummer?
Es gibt spezielle Apps, für Apples iPhone, aber auch für Android-Geräte, die erzeugen nach einem komplizierten, in der Regel nicht knackbaren Verfahren die Codes selbst. Man kann zum Beispiel den Google Authenticator herunterladen, eine App, die mit allen Google-Diensten und auch Dropbox funktioniert. In der App muss man für jedes Onlinekonto, das man absichern will, einmal einen Code eintragen und das Smartphone so mit dem Konto verknüpfen.
Das geht ganz schnell, meist wird ein QR-Code auf dem Bildschirm angezeigt, den man abscannen muss, damit man keine komplizierten Codes im Smartphone eintippen muss. Immer dann, wenn man sich dann sicher einloggen will, erzeugt man in der App den entsprechenden Code, den TAN-Code – und überträgt ihn in die Webseite. Man muss auf keine SMS warten, ein großer Vorteil. Außerdem kann auch keiner die SMS-Nachrichten abfangen oder manipulieren. Leider bieten nicht alle Onlinedienste an, mit einem solchen Authenticator, mit einem solchen Code-Generator zu arbeiten, aber ich bin überzeugt: Es geht eindeutig in diese Richtung.
