Neulich: Zwei-Faktor-Authentifizierung

Fragezeichen für Gudruns KolumneDiese Woche darf ich als „Neue“ im Team eine zusätzliche Rubrik in unserem Blog eröffnen: die Serapion-Kolumne „Neulich…“ Ein IT-Laie entdeckt die digitale Welt – nicht nur für IT-Einsteiger wie mich. Hier nähere ich mich aus der Sicht eines unvoreingenommenen Nutzers zukünftig immer wieder unterschiedlichen Fragestellungen rund um das Thema IT und Datensicherheit an – mit einem Augenzwinkern und dem Anspruch, Ihnen als IT-Professionals gelegentlich mal den unverstellten Blick in die Köpfe Ihrer User zu gestatten. Feedback ist jederzeit erwünscht! Und nun viel Spaß beim Lesen.

Ein IT-Laie entdeckt die digitale Welt

Neulich…

… erzählte mir ein Bekannter davon, dass der E-Mail Account eines Freundes gehackt worden sei. Was dieser Freund nicht besonders lustig fand. Aber: E-Mails seien eben wie eine Postkarte – die kann theoretisch ja auch jeder lesen.

„So ein Quatsch, meine E-Mails fängt keiner ab!“, sage ich spontan. Die Antwort meines in Computerdingen durchaus versierten Freundes folgt prompt: „Ach, du nutzt die Zwei-Faktor-Authentifizierung? Finde ich super, denn das machen ja nur rund 5 % aller Nutzer. Ich habe das vor einiger Zeit auch bei mir eingerichtet und halte es für absolut sinnvoll“.

Ah so.

Interessant.

Zwei-Faktor-Authentifizierung – Keine Ahnung, was das ist. Also gebe ich dem Gespräch sehr schnell eine andere Richtung und frage mich später zu Hause: Was, bitte, ist eine Zwei-Faktor-Authentifizierung? Und nutze ich das bereits, ohne es zu wissen? Es wird ja nicht so schwierig sein, das herauszufinden…

Und erfreulicherweise war es das auch nicht! Erstaunlich war eher, dass ich mich vorher noch nie damit beschäftigt hatte und meinen Laptop völlig sorglos ohne Gedanken an Datensicherheit genutzt habe. Damit ist es jetzt vorbei. Auf Postkarten schreibe ich schließlich auch keine sensiblen Daten. Wetter und Hotelessen gehören für mich jedenfalls nicht dazu.

Zwei Faktoren am Geldautomaten

Die Google-Suche liefert mehr als ausreichend Ergebnisse für eine Suche nach dem Stichwort „Zwei-Faktor-Authentifizierung“: Von Wikipedia über PC-Zeitschriften und IT-Portalen zu Softwareanbietern und der Stiftung Warentest. Ich entscheide mich also für eine Informationsquelle. Und erfahre, dass das Wesen einer Zwei-Faktor-Authentifizierung, kurz „2FA“ genannt, darin besteht, dass neben der E-Mail-Adresse nicht nur ein Passwort abgefragt wird, sondern zusätzlich noch ein weiteres Merkmal – eben ein zweiter Faktor. Und dass dieses weitere Merkmal unterschiedlicher Art sein kann. Erklärt wird mir das unter anderem mittels einem mir durchaus bekannten Verfahren: Geldabheben von meinem Konto am Geldautomaten. Denn neben meiner Bankkarte (erster Faktor) brauche ich zwingend noch meine PIN (zweiter Faktor). Nur die Bankkarte oder nur die PIN veranlassen den Automaten nicht dazu, mir Geld auszuzahlen. So einfach ist das? So erklärt sich der Begriff Zwei-Faktor-Authentifizierung ja praktisch von selbst. Es müssen also immer zwei voneinander unabhängige und möglichst verschiedene Faktoren als Authentifizierungsmittel vorhanden sein.

PIN? Biometrie? Token?

Ich forsche weiter. Und erfahre, dass bei einer Zwei-Faktor-Authentifizierung nicht zwingend eine PIN das zweite Merkmal sein muss (obwohl dies sehr häufig der Fall ist), sondern es auch andere Varianten gibt, wie zum Beispiel der Abgleich biometrischer Daten. Biometrische Daten… das hört sich sicher an!

Aber Vorsicht! Fingerabdrücke kann man offenbar recht leicht fälschen. Das sagt mir nach entsprechender Recherche ein Artikel in der Süddeutschen Zeitung. Auch aus Gründen der einfachen Handhabung finde ich eine Extra-PIN gut. Das sollte für mich auch leicht zu realisieren sein, daher verfolge ich diesen Weg weiter.

Zur Durchführung der 2-Faktor-Authentifizierung gibt es mehrere Möglichkeiten – recht einfach scheint es per App zu funktionieren. Zum Beispiel über die Google Authenticator App. Wie praktisch, ein Smartphone habe ich natürlich. Ganz nebenbei erfahre ich, dass mein Handy in diesem Zusammenhang auch Token genannt wird – das ist ein physischer (nicht virtueller) Gegenstand, den ich besitze und zu dem nur ich Zugriff habe.

Zurück zur 2FA: die App erstellt bei jedem Login-Versuch einen einmalig gültigen, zeitlich begrenzt nutzbaren Zahlencode. Dieser Bestätigungscode ist also stets anders und immer aktuell. Das erhöht die Sicherheit natürlich und ist auch unterwegs sehr gut nutzbar. Und dass dynamisch sicherer ist als statisch (also ein feststehender Faktor bzw. Code), ist auch logisch. Sowas kenne ich vom Online Banking, bei dem mir auch eine zeitlich begrenzt nutzbare TAN für meine Transaktion per SMS zugesandt wird. Schön zu wissen, dass mein Online Banking also auch durch Zwei-Faktor-Authentifizierung gesichert ist*. Allerdings: ohne Handy – falls es also nicht dabei oder verloren gegangen ist – funktioniert das natürlich nicht.

Sehr praktisch: Auf der Website twofactorauth.org kann ich gleich nachsehen, ob meine verschiedenen Online-Dienste die Zwei-Faktor-Authentifizierung anbieten. Das Ergebnis war ernüchternd: Das Business-Netzwerk XING und der E-Mail-Anbieter Web.de zum Beispiel nicht! Viele andere E-Mail-Provider dagegen schon, beispielsweise Posteo aus Berlin. Wie kann ich sie nun nutzen – und sind alle Methoden gleich gut? Da muss ich mich wohl noch weiter informieren…

Zum Beispiel: Was ist eigentlich ein Yubikey? Über diesen Begriff bin ich bei meinen Recherchen öfters gestolpert… Dazu demnächst mehr!


* Zu den Nachteilen von Bestätigungscodes per SMS erfahren Sie in diesem Artikel mehr.

Hier der Link zu einem sehr guten englischsprachigen Tutorial zur 2-Faktor-Authentifizierung: Two-Factor Authentication – What it is and why you should use it.