Two Factor Auth List - Opera

Zwei-Faktor-Authentifizierung: Diese Dienste sind dabei

Ich bin ein Fan von Zwei-Faktor-Authentifizierung (2FA): Neben Username/Kennwort frägt der jeweilige Dienst eine zufällig generierte Zahl ab, die etwa per SMS (wie bei iTAN) oder einem Generator (als Hardware-Token oder als App) erzeugt wird.

Was ist die Idee dahinter? Selbst wenn ein Angreifer meine Zugangsdaten hat, ohne die passend generierte Zahl kommt er nicht an meinen Account. Klar, theoretisch kann er noch immer drumrum arbeiten, aber das setzt deutlich mehr kriminelle Energie voraus und automatisierte Angriffe werden kaum noch funktionieren.

Ich mag die App-Variante lieber als die SMS-Version, vor allem da letztere dadurch attackiert werden kann, dass die Angreifer eine Ersatz-SIM bestellen und den SMS-Versand umbiegen. Dies ist übrigens meist der Grund, wenn ihr irgendwo einen Artikel mit der Überschrift „Ich wurde trotz 2FA gehackt!!11“. Die App oder gar ein Hardware-Token machen das deutlich schwerer.

Um zu starten reicht es, eine App auf Android, iOS, Blackberry oder anderen Smartphone zu installieren (sucht einfach in eurem jeweiligen App-Store nach „Zwei Faktor“). Anschließend braucht ihr einen Dienst, der 2FA unterstützt.

Das müsst ihr nicht alles selbst herausfinden, zum Glück gibt es Webseiten wie Two Factor Auth, die eine sehr schöne Übersicht bieten, welcher Anbieter welche Systeme unterstützt und wie weit die Implementierung ist.

Ein Tipp noch, den ich bei Hackernews gelesen habe: Wenn ihr einen neuen Dienst einbindet, druckt den QR-Code aus und hebt ihn an einem sicheren Ort auf. So könnt ihr den ursprünglichen Seed auf einem anderen Gerät wieder einlesen und auf einem anderen Gerät das Zwei-Faktor-Token wieder herstellen. Wie gesagt: Das bedeutet aber auch, dass dies andere schaffen könnten – entsprechend solltet ihr die QR Codes WIRKLICH SICHER aufheben (nicht als Scan auf dem PC. Als Hardcopy in eurem Schreibtisch. Oder, besser noch, im Safe).

Über Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

banner