Allgemein Sicherheit Web

Übersicht: Web-Dienste mit Zwei-Faktor-Authentifizierung

Blizzard Battle.Net Authenticator

Seit den 80gern hat sich die Anmeldeprozedur bei Webdiensten nicht wirklich geändert: Ein Nutzername, das passende Kennwort und man hat Zugriff auf die Daten und Dienste. Das ist komplett diametral zur Popularität von Cloud-Angeboten. Mails liegen bei Googlemail, Yahoo oder Outlook.com, Daten sind bei Ubuntu One, Dropbox oder Skydrive, Passwörter bei LastPass, KeePass und Co. Der größte Schutz ist noch immer ein starkes Passwort, was allerdings wenig hilft, wenn der jeweilige Dienst die komplette Datenbank verliert.

Eine der wenigen zusätzlichen Schutzfunktionen, ist die Zwei-Faktor-Authentifizierung. Dabei wird neben dem Kennwort bei der Anmeldung ein zusätzlicher PIN-Code abgefragt, der ständig neu geniert wird und nur kurze Zeit gültig ist. Dieser PIN wird normalerweise nicht auf dem Computer angezeigt, sondern auf einer zusätzlichen Komponente, dem so genannten Token. Klassischerweise werden diese Token von Unternehmen genutzt, um den externen Zugang zu Diensten oder VPN-Verbindungen abzusichern.

Google Authenticator
Der Google Authenticator auf Android mit zwei hinterlegten Accounts (Quelle: Google)

Stück für Stück setzt sich die Zwei-Faktor-Authentifizierung auch für Endkunden durch: Eine treibende Kraft dahinter ist die Initiative for Open Authentication (OATH, nicht zu verwechseln mit OAUTH). Diese gibt es bereits seit 2004, so richtig in Fahrt kam OATH allerdings erst, als Google seine Dienste Google Mail und Google Apps mit einem OATH-kompatiblen Zwei-Faktor-System und einem Software-basierten Token für Android, iOS und BlackBerry OS ausstattete. Die Idee ist simpel: Der Nutzer koppelt das Token (den Google Authenticator) mit seinen Google-Konten, sobald er sich künftig an seinem Konto anmeldet, verlangt das System die PIN, welche die Authenticator-App anzeigt. Inzwischen unterstützen immer mehr Dienste den Google Authenticator, sie lassen sich einfach integrieren und sind an einem Ort gesammelt.

Google Authenticator: Kompatible Dienste

Aktuell unterstützen folgende Webdienste den Google Authenticator. Ich hinterlege zu jedem Dienst die entsprechende Hilfeseite, diese erklärt normalerweise, wo ihr die Funktion aktivieren könnt.

Google Mail – weiter Informationen zur Installation des Authenticators

Google Apps (die Funktion muss der Administrator allerdings zuerst in den Domain-Einstellungen aktivieren)

LastPass – hier gibt es weitere Informationen

Dropbox – aktuell in der Testversion, wird langsam für alle Nutzer ausgerollt

WordPress – mit einem separaten, kostenlosen Plugin von Henrik Schack

Dienste mit Zwei-Faktor-Authentifizierung, die nicht mit dem Google Authenticator kompatibel sind

Neben dem Google Authenticator gibt es noch eine Reihe von weiteren Zwei-Faktor-Systemen. Diese sind aber meist auf einen Dienst oder eine Firma spezialisiert und lassen sich nicht mit anderen Diensten nutzen.

Blizzard Battle.Net Authenticator
Der Battle.Net Authenticator von Blizzard (Quelle: Blizzard)

Blizzard – Die Authentifizierung für das Battle.Net schützt World of Warcraft, Diablo III und den Battle-Net-Zugang. Den Battle.net-Authenticator gibt es als Token oder als App für iOS, Android, Windows Phone 7 und BlackBerrys

Rift – auch zu Rift gibt es eine kostenlose App für Android und iOS.

Zwei-Faktor-Dienste ohne separate App

Ebay – eBay nennt sein Token „Sicherheitsschlüssel„, die Software schützt neben der Auktionsplattform auch den Bezahldienst PayPal. Den Sicherheitsschlüssel kann man als Token über das PayPal-Konto bestellen oder bei jedem Login per SMS anfordern.

Outlook.com – Microsofts neue Version von Hotmail bringt leider keine Unterstützung für Zwei-Faktor-Token mit, allerdings kann man per SMS einen zusätzlichen Code anfordern, wenn man an einem öffentlichen Rechner ist. Das ist zwar besser als nichts, aber noch lange nicht optimal. Hoffentlich setzt bei Microsoft hier noch ein Umdenken ein.

Outlook.com Zugangscode
Outlook.com bietet einen alternativen Zugangscode als Einmalpasswort.

 

Fazit:

Wer die Sicherheit seiner Konten ernst nimmt, der sollte in jedem Fall die Zwei-Faktor-Authentifizierung aktivieren, wo es möglich ist. Klar, man braucht dann das Token, aber solange die Accounts in das Smartphone integrieren kann, sollte dies ja eigentlich kein Problem sein. Die SMS-Alternative ist brauchbar, kostet aber teilweise den Nutzer Geld. Hardware-Token, etwa für PayPal oder eBay sind noch unpraktischer, die liegen a) nie da, wo man sie gerade braucht und zudem geht b) gerne das Display kaputt, wenn man sie etwas rauer behandelt.

Mir ist klar, dass diese Liste noch lange nicht fertig ist. Wer also weitere Dienste findet, die den Google Authenticator unterstützen oder die eine Zwei-Faktor-Authentifizierung anbieten, der kann mir gerne einen Kommentar hinterlassen – ich aktualisiere den Beitrag dann. Natürlich bin ich auch an euren Erfahrungen zum Thema Zwei-Faktor-Authentfizierung oder zu gehackten Konten interessiert.


Dann noch ein Hinweis in eigener Sache: Dieser Eintrag enthält ein Zählpixel (1×1 Pixel, unsichtbar) der VG-Wort, weswegen er nicht komplett auf der Startseite zu sehen ist (weil man das dann nicht darf). Nachdem in dem Beitrag hier durchaus etwas Hirnschmalz steckt, finde ich ihn ideal, um die Verknüpfung mal auszuprobieren.

Über den Autor

Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

21 Kommentare

Hier klicken um zu kommentieren

  • Schöne Übersicht, die aber an einer Stelle korrigiert werden sollte. Bei eBay und PayPal gibt es kein SMS-Token, sondern nur bei PayPal. Bei eBay kann man nur das Hardwaretoken nutzen (das dann auch bei PayPal funktioniert). Verstehe ich nicht wirklich, aber findet die eBay-Muttergesellschaft wohl sinnvoll so.

    Da schon 2 Spiele mit Authenticator-Apps genannt wurden, könnte man vielleicht noch SWTOR hinzufügen. Das ist wenigstens populär, wohingegen viele Rift wohl erst nachschlagen müssen. 😉

  • Schöne Übersicht, die aber an einer Stelle korrigiert werden sollte. Bei eBay und PayPal gibt es kein SMS-Token, sondern nur bei PayPal. Bei eBay kann man nur das Hardwaretoken nutzen (das dann auch bei PayPal funktioniert). Verstehe ich nicht wirklich, aber findet die eBay-Muttergesellschaft wohl sinnvoll so.

    Da schon 2 Spiele mit Authenticator-Apps genannt wurden, könnte man vielleicht noch SWTOR hinzufügen. Das ist wenigstens populär, wohingegen viele Rift wohl erst nachschlagen müssen. 😉

  • Vielen Dank für diesen Artikel, Mo!

    Zwei-Faktor-Authentifizierung (2FA) ist in der Tat ein sehr wichtiges Thema. Zuletzt hat Vint Cerf (einer der Väter des Internets) Entwickler gebeten, 2FA bei jedem Login-System zu verwenden. In Singapur ermöglichen Banken den Login in Online-Banking-Systeme nur noch per 2FA. Die größten amerikanischen Portale ermöglichen es ihren Nutzern bereits, ihre Accounts mit 2FA zu schützen, um gegen Phishing, Bruteforce-Attacken und Passwortdiebstahl immun zu sein.

    Betreibern von WordPress-Webseiten möchte ich Rublon empfehlen, weil es die weltweit einfachste 2FA Lösung ist, die zudem kostenlos angeboten wird: http://wordpress.org/plugins/rublon/

    Rublon schützt deinen Account vor Zugriff von unbekannten Geräten, sogar wenn dein Passwort gestohlen wird. Das ist unsichtbare Zwei-Faktor-Authentifizierung. Im Vergleich zu anderen Lösungen, musst du mit Rublon dein Smartphone nur ein mal verwenden, um deine Vertrauenswürdigen Geräte zu definieren. Besuche unsere Webseite, um mehr zu erfahren: http://www.rublon.com/de/.

    Unsere Nutzer sind begeistert und schreiben 5-Sterne Empfehlungen:
    https://rublon.com/de/clients
    http://wordpress.org/support/view/plugin-reviews/rublon

    Bei Fragen stehe ich jederzeit zur Verfügung 🙂

    • Meine derzeit einzige gut ereichbare ist die oberen Feld angegebene.

      Die Authenfizierungg endet in einer Endlosschleife, kann zwar mich Einloggen, nur wenn ich das Dashbord aufrufe, läuft wieder die Authezifizierung und nichts passiert.

      Hab den Entwickler Michal Wendrowski auf Skype kontakted und Er versprach mir baldigst eine Lösung.

      Die Anmeldung mittels Email funktioniert wieder zum Teil.

      Bis auf die Daueranmeldeschleife.

      Komisch ist ja es, auf allen drei Blogs hab gleiches Rublon-Plugin geladen und updated.

      Nur auf http://www.freddys-corner.com gab es keine Anmelde Probleme.

      Das gleiche Problem hatte ich auch im Jahreswechsel 2014/ 2015.

      Da lief rein gar nichts.

      Bin mal gespannt wie lange es diesmal dauert?

      Gruss aus Plön

      Fritz Raddatz

      Ps.: Bleibe aber trotz allem treuer Rublon-Anwender, denn der Support ist fast immer

      über Skype ereichbar.

      Und das zählt am Meisten.

  • Vielen Dank für diesen Artikel, Mo!

    Zwei-Faktor-Authentifizierung (2FA) ist in der Tat ein sehr wichtiges Thema. Zuletzt hat Vint Cerf (einer der Väter des Internets) Entwickler gebeten, 2FA bei jedem Login-System zu verwenden. In Singapur ermöglichen Banken den Login in Online-Banking-Systeme nur noch per 2FA. Die größten amerikanischen Portale ermöglichen es ihren Nutzern bereits, ihre Accounts mit 2FA zu schützen, um gegen Phishing, Bruteforce-Attacken und Passwortdiebstahl immun zu sein.

    Betreibern von WordPress-Webseiten möchte ich Rublon empfehlen, weil es die weltweit einfachste 2FA Lösung ist, die zudem kostenlos angeboten wird: http://wordpress.org/plugins/rublon/

    Rublon schützt deinen Account vor Zugriff von unbekannten Geräten, sogar wenn dein Passwort gestohlen wird. Das ist unsichtbare Zwei-Faktor-Authentifizierung. Im Vergleich zu anderen Lösungen, musst du mit Rublon dein Smartphone nur ein mal verwenden, um deine Vertrauenswürdigen Geräte zu definieren. Besuche unsere Webseite, um mehr zu erfahren: http://www.rublon.com/de/.

    Unsere Nutzer sind begeistert und schreiben 5-Sterne Empfehlungen:
    https://rublon.com/de/clients
    http://wordpress.org/support/view/plugin-reviews/rublon

    Bei Fragen stehe ich jederzeit zur Verfügung 🙂

    • Meine derzeit einzige gut ereichbare ist die oberen Feld angegebene.

      Die Authenfizierungg endet in einer Endlosschleife, kann zwar mich Einloggen, nur wenn ich das Dashbord aufrufe, läuft wieder die Authezifizierung und nichts passiert.

      Hab den Entwickler Michal Wendrowski auf Skype kontakted und Er versprach mir baldigst eine Lösung.

      Die Anmeldung mittels Email funktioniert wieder zum Teil.

      Bis auf die Daueranmeldeschleife.

      Komisch ist ja es, auf allen drei Blogs hab gleiches Rublon-Plugin geladen und updated.

      Nur auf http://www.freddys-corner.com gab es keine Anmelde Probleme.

      Das gleiche Problem hatte ich auch im Jahreswechsel 2014/ 2015.

      Da lief rein gar nichts.

      Bin mal gespannt wie lange es diesmal dauert?

      Gruss aus Plön

      Fritz Raddatz

      Ps.: Bleibe aber trotz allem treuer Rublon-Anwender, denn der Support ist fast immer

      über Skype ereichbar.

      Und das zählt am Meisten.

  • hey there and thank you for your info – I have certainly picked up something new from right here.
    I did however expertise some technical points using this site, since
    I experienced to reload the website lots of times previous to I could get it to
    load correctly. I had been wondering if your hosting is OK?
    Not that I’m complaining, but slow loading instances times will very frequently affect your placement in google and can damage
    your high quality score if ads and marketing with
    Adwords. Well I am adding this RSS to my e-mail and can
    look out for much more of your respective intriguing content.
    Ensure that you update this again very soon.

    Here is my website – teeth whitening

  • hey there and thank you for your info – I have certainly picked up something new from right here.
    I did however expertise some technical points using this site, since
    I experienced to reload the website lots of times previous to I could get it to
    load correctly. I had been wondering if your hosting is OK?
    Not that I’m complaining, but slow loading instances times will very frequently affect your placement in google and can damage
    your high quality score if ads and marketing with
    Adwords. Well I am adding this RSS to my e-mail and can
    look out for much more of your respective intriguing content.
    Ensure that you update this again very soon.

    Here is my website – teeth whitening

  • Hammer Artikel. Genau so hammer, wie das Spielen an sich.
    So verpönt spielen auch sei, so ist experimentell erwiesen,
    dass das Daddeln, eine gewisse Reife vorausgesetzt, förderlich für die Stressbewältigungskapazität ist.
    Beim Spielen lernt der Spielende mit Spaß und ohne den Druck
    Konsequenzen tragen zu müssen in erhöhter Frequenz Urteile zu fällen und zwischen wichtig
    und unwichtig zu unterscheiden. Viele Videospiele vermitteln zusätzlich auch noch Grundkenntnisse über Management und fördern die Logik.
    Auch die verrissenen MMORPGs können doch öfters den an den Haaren herbeigezogenen Effekt der Abwendung von der Realität}
    invertieren. Der Spielende kann mitunter vielen unfreundlichen Menschen begegnen, doch
    findet man sehr oft genau in seinem Favoriten Gleichgesinnte.

    Kurz gesagt: das Daddeln ist hammer! Ungeachtet des
    Games und ob PC,Konsole,Handy,etc. , Spielen ist Kultur.

  • Hammer Artikel. Genau so hammer, wie das Spielen an sich.
    So verpönt spielen auch sei, so ist experimentell erwiesen,
    dass das Daddeln, eine gewisse Reife vorausgesetzt, förderlich für die Stressbewältigungskapazität ist.
    Beim Spielen lernt der Spielende mit Spaß und ohne den Druck
    Konsequenzen tragen zu müssen in erhöhter Frequenz Urteile zu fällen und zwischen wichtig
    und unwichtig zu unterscheiden. Viele Videospiele vermitteln zusätzlich auch noch Grundkenntnisse über Management und fördern die Logik.
    Auch die verrissenen MMORPGs können doch öfters den an den Haaren herbeigezogenen Effekt der Abwendung von der Realität}
    invertieren. Der Spielende kann mitunter vielen unfreundlichen Menschen begegnen, doch
    findet man sehr oft genau in seinem Favoriten Gleichgesinnte.

    Kurz gesagt: das Daddeln ist hammer! Ungeachtet des
    Games und ob PC,Konsole,Handy,etc. , Spielen ist Kultur.

Werbung

Archive

banner