Es passiert immer wieder: Daten-Diebe besorgen sich Passwörter zu Online-Konten und missbrauchen diese Daten. Schon lange ist klar: Passwörter sind heutzutage nicht mehr besonders sicher. Doch es gibt bessere Methoden, um seine Online-Konten abzusichern. Man muss sie nur kennen – und auch benutzen. Zum Beispiel die Zwei-Faktor-Authentifizierung. Oder U2F: Damit lassen sich Online-Konten besonders einfach und bequem absichern.

Benutzer-Name und Passwort: Damit melden wir uns fast überall an. Doch so einfallsreich das Passwort auch sein mag: Wenn es jemand klaut, bekommt er Kontrolle über das Online-Konto. Hacker und Daten-Diebe wenden deshalb viele Tricks an, um an Passwörter zu gelangen: Sie beobachten Tastatur-Eingaben, stellen Fallen auf oder knacken Sicherheits-Vorkehrungen.

Wir Benutzer müssen also aufrüsten. Wer sein Online-Konto, seine Mails, seine Daten in der Cloud besser absichern möchte, der braucht eine zusätzliche Hürde für Hacker – und verwendet am besten zusätzlich das Handy, als zweiten, zusätzlichen Schlüssel.

password hiding

Zweiter Faktor macht alles sicherer

Zwei Faktor Authentifizierung nennt sich diese Methode, auch 2 Step Verification. Je nachdem. Gemeint ist damit: Benutzer-Name und Passwort sind nur der erste Faktor, der erste Schritt, um sich anzumelden.

Der zweite Faktor ist ein zusätzlicher Sicherheitscode, der beim Login eingegeben werden muss. So sieht das dann in der Praxis aus: Im ersten Schritt gibt man Benutzer-Name und Kennwort ein. In einem zweiten Schritt ist darüber hinaus auch noch ein zusätzlicher Code nötig, so eine Art TAN, wie beim Online-Banking. Und dieser Code kommt aus dem Handy.

Man hat also zwei Schlüssel. Der eine ist Benutzer-Name und Passwort. Der verändert sich nicht. Der zweite Schlüssel ist der Geheimcode, der im Handy erscheint. Hat man sich erst mal dran gewöhnt, geht das ruckzuck.

Viele große Online-Dienste bieten diese neue Art der Absicherung bereits an: Google, Twitter, Facebook, Dropbox, Microsoft und auch einige andere.

Extra Schutz muss aktiviert werden

Dazu im jeweiligen Online-Dienst in den Einstellungen nach einer Option “Sicherheit” oder “erweiterte Sicherheit” suchen. Die aktivieren und die Nummer seines Handys angeben. Dort landet dann bei jedem Login ein Sicherheitscode, den man in die Webseite eintippen muss. Der Code wird per SMS verschickt – das ist bei allen Anbietern kostenlos.

Noch praktischer ist es, wenn man sich die Codes nicht per SMS schicken lässt, denn das kann mitunter dauern, sondern wenn man die Codes direkt im Smartphone selbst erzeugt. Mit einer speziellen App wie dem Google Authenticator kein Problem: Der generiert die nötigen Geheimcodes von ganz alleine. Der Code erscheint im Display und ist nur wenige Sekunden gültig.

Auch mit Facebook Schutz möglich

Auch die Facebook App kann solche Codes erzeugen. Wer die Zwei Wege Authentifizierung in seinem Online-Konto aktiviert, egal ob Mail-Account, Cloud-Dienst oder Social Media, braucht sich um Passwort-Klau keine Sorgen mehr zu machen. Deshalb: Schauen Sie nach, ob Sie diese zusätzliche Sicherheit bei Ihrem Online-Dienst nicht schon nutzen können.

facebook-monitore

Eigener Schlüssel: U2F

Das Anmelden mit einem zweiten Faktor ist wirklich deutlich sicherer, aber manchmal natürlich auch ein bisschen umständlich. Deutlich bequemer ist es mit einem Schlüssel: U2F genannt. Universal Second Factor. Dieser Schlüssel kann die Eingabe des zweiten Codes überflüssig machen. Die Fido Alliance hat die Kriterien definiert.

Es gibt solche Schlüssel schon ab sechs Euro zu kaufen. Die einfach sind nicht besonders stabil, erfüllen aber ihren Zweck. Die etwas komfortableren sind etwas robuster gebaut – und verfügen sogar über eine Taste. Man kann damit beim Login ein Signal senden: Der Code wird direkt vom Schlüssel an das Anmelde-Formular geschickt.

Dieses Sicherheitsverfahren ist wirklich klasse.

yubikey

Leider unterstützen bislang nur wenige Online-Dienste das neue Konzept. Google macht das. Und die Dropbox (wie hier erklärt). Dazu muss man in sein jeweiliges Online-Konto gehen und den Schlüssel dort registrieren. Hier am Beispiel von Google. Das geht schnell und einfach. Wenn man sich dann einloggt, muss man nur noch das Passwort eingeben, keinen zweiten Code mehr.

Moderne Browser erforderlich

Allerdings braucht man auch einen modernen Browser wie Chrome, damit das funktioniert. Aber: Wem Sicherheit wichtig ist, für den ist dieses Verfahren besonders zu empfehlen. Und auf einem Rechner ohne Chrome oder auf einem Mobilgerät ohne USB-Anschluss kann man nach wie vor den zweiten Sicherheitscode eingeben. So sind die eigenen Daten denkbar sicher geschützt.