Diese Woche hat es wieder gezeigt: Wer seine Online-Konten nur mit Benutzer-Name und Passwort absichert, der muss damit rechnen, dass Hacker sich Zugang verschaffen, wie diese Woche bei vielen Mail-Accounts von Web.de, GMX und 1&1. Mit der Zwei Faktor Authentifizierung lassen sich Online-Konten gut absichern – wenn die Online-Dienste es unterstützen.

Praktisch jede Woche gibt es Meldungen, dass Passwörter geklaut oder Zugangsdaten auskundschaftet wurden. Die Kriminellen können sich dann Zugang zu den Daten oder Online-Konten verschaffen – mit ungeahnten Folgen und Konsequenzen. Doch man kann sich vergleichsweise einfach schützen.

Welche anderen Möglichkeiten gibt es denn als Benutzername und Passwort?
Eine Möglichkeit sind natürlich biometrische Verfahren, etwa das Einloggen mit Fingerabdruck oder Gesichtserkennung. Das ist allerdings noch nicht sonderlich weit verbreitet, das fängt gerade erst an, etwa im neuen Windows 10. Doch es gibt ein Verfahren, das wird von vielen Online-Diensten bereits unterstützt und macht die Online-Konten wirklich deutlich sicherer.

Dieses Verfahren nennt sich Zwei Faktor Authentifizierung. Zwei Faktoren, weil man neben dem Passwort einen zweiten Schlüssel braucht. Und dieser zweite Schlüssel ist ein Geheimcode, der jedes Mal neu erzeugt wird – im Handy. Diesen zweiten Code muss man dann neben dem Passwort zusätzlich eingeben.

password hiding

Mein Handy wird also zum zweiten Schlüssel. Muss ich da meine Handynummer angeben?
Ja, das muss man in der Regel. Denn manche Online-Dienste schicken den Code per SMS aufs Handy, das ist bei allen Anbietern kostenlos. Oder man benutzt ein Smartphone und installiert dort eine spezielle App wie den Google Authenticator, die den Code bei Bedarf erzeugt. Dann muss man eigentlich nicht die Handynummer hinterlegen, denn die Codes werden durch die App erzeugt.

Dazu muss man das Gerät mit dem Online-Konto „koppeln“, das macht man, indem man zum Beispiel einmal einen QR-Code vom Bildschirm abfotografiert. Das klingt alles aufwändiger, als es letztlich ist. Die Einrichtung dauert nur Sekunden, das Verwenden des zweiten Faktors geht einen schnell in Fleisch und Blut über. Facebook hat das Verfahren komplett in die eigene App integriert, da kann man die Codes generieren, wenn man sich im Web anmeldet zum Beispiel.

Klingt aber doch recht umständlich, jedes Mal einen zweiten Code eingeben zu müssen. Geht es nicht einfacher?
Man muss nicht jedes Mal den zweiten Code eingeben, sondern immer nur dann, wenn man zum ersten Mal ein neues Gerät zum Einloggen benutzt. Aber es gibt noch einen komfortableren Weg: U2F. Universal Second Factor. Ist sozusagen eine Deluxe-Version dieses Verfahrens.

Da steckt man einen speziellen USB-Key auf den USB-Anschluss, auf dem ein digitaler Schlüssel gespeichert ist. Der Key generiert jedes Mal bei Bedarf automatisch den nötigen Code. Wenn man so einen Key benutzt, hat man KEINEN zusätzlichen Aufwand aber ein Maximum an Sicherheit. Klaut jemand das Passwort, kann er sich trotzdem nicht einloggen. Allerdings unterstützen bislang nur wenige Online-Dienste dieses Verfahren, darunter Google und Dropbox.

yubikey

Hier kann man solche Schlüssel bestellen

Und was, wenn jemand mein Handy klaut – hat der dann ungehindert Zugriff?
Nein, überhaupt nicht. Das ist das gute an diesem Verfahren: Hat jemand meinen Benutzer-Namen und Passwort geklaut, kann er damit nichts anfangen – er braucht auch das Smartphone, um die Codes zu erzeugen. Er kann auch nicht einfach sein Smartphone benutzen, das ist unmöglich.

Und wer nur das Smartphone hat, kann ebenso wenig damit anstellen, weil ihm das Passwort fehlt. Dieses Verfahren ist ungleich sicherer als das einfache Verfahren mit Benutzer-Name und Passwort. Wirklich dringend zu empfehlen, das überall zu machen, wo man sensible Daten hat.

Klingt gut, was muss ich machen, um das zu nutzen – wo geht das?
Mittlerweile unterstützen viele diese Zwei Wege Authentifizierung, etwa Apple, Microsoft, Google, Facebook, Dropbox und viele andere. Man muss diese zusätzliche Sicherheit aber auch aktivieren. Dazu in die Konfiguration gehen, in die Sicherheitseinstellungen und die „erweiterte Sicherheit“ aktivieren.  Zusätzliche Kosten entstehen keine.

Wie das genau funktioniert, erkläre ich in meinem eBook „Das sichere Login„. Hier wird Schritt für Schritt für die zehn wichtigsten Online-Dienste erklärt, wie man die Zwei Faktor Authentifizierung aktiviert und nutzt.