21Jul
Viele Online-Dienste bieten eine Zwei-Faktor-Authentifizierung, die die Sicherheit erhöht, da zur Anmeldung mehr als nur Ihr Kennwort erforderlich ist. Es gibt viele verschiedene Arten zusätzlicher Authentifizierungsmethoden, die Sie verwenden können.
Verschiedene Dienste bieten verschiedene Zwei-Faktor-Authentifizierungsmethoden, und in einigen Fällen können Sie sogar aus ein paar verschiedenen Optionen wählen. So funktionieren sie und wie unterscheiden sie sich?
SMS-Verifizierung
Viele Dienste ermöglichen es Ihnen, sich für den Empfang einer SMS-Nachricht anzumelden, wenn Sie sich bei Ihrem Konto anmelden. Diese SMS-Nachricht enthält einen kurzen Einmal-Code, den Sie eingeben müssen. Bei diesem System wird Ihr Mobiltelefon als zweite Authentifizierungsmethode verwendet. Jemand kann nicht einfach auf Ihr Konto zugreifen, wenn er Ihr Passwort hat - er benötigt Ihr Passwort und Zugriff auf Ihr Telefon oder seine SMS-Nachrichten.
Dies ist praktisch, da Sie nichts Besonderes tun müssen und die meisten Leute Handys haben. Einige Dienste wählen sogar eine Telefonnummer und lassen ein automatisches System einen Code sprechen, so dass Sie diese mit einer Festnetznummer verwenden können, die keine Textnachrichten empfangen kann.
Es gibt jedoch große Probleme mit der SMS-Verifizierung. Angreifer können mithilfe von SIM-Swap-Angriffen auf Ihre Sicherheitscodes zugreifen oder diese aufgrund von Fehlern im Mobilfunknetz abfangen. Wir empfehlen, wenn möglich, keine SMS zu verwenden. SMS-Nachrichten sind jedoch immer noch viel sicherer, als überhaupt keine Zwei-Faktor-Authentifizierung zu verwenden!
App-generierte Codes( wie Google Authenticator und Authy)
Sie können Ihre Codes auch von einer App auf Ihrem Telefon generieren lassen. Die bekannteste App ist der Google Authenticator, den Google für Android und iPhone anbietet. Wir bevorzugen jedoch Authy, das alles tut, was Google Authenticator tut - und mehr. Trotz des Namens verwenden diese Apps einen offenen Standard. Beispielsweise können Sie der Google Authenticator App Microsoft-Konten und viele andere Arten von Konten hinzufügen.
Installieren Sie die App, scannen Sie den Code, wenn Sie ein neues Konto einrichten, und diese App generiert etwa alle 30 Sekunden neue Codes. Sie müssen den aktuellen Code, der in der App auf Ihrem Telefon angezeigt wird, sowie Ihr Passwort eingeben, wenn Sie sich bei einem Konto anmelden.
Dies erfordert kein Mobilfunksignal und der "Seed", der es der App ermöglicht, diese zeitlich begrenzten Codes zu generieren, wird nur auf Ihrem Gerät gespeichert. Das bedeutet, dass es viel sicherer ist, da selbst jemand, der Zugang zu Ihrer Telefonnummer erhält oder Ihre Textnachrichten abfängt, Ihre Codes nicht kennt.
Einige Dienste - zum Beispiel Blizzards Battle.net Authenticator - haben auch eigene dedizierte Code-generierende Apps.
Physische Authentifizierungsschlüssel
Physische Authentifizierungsschlüssel sind eine weitere Option, die immer beliebter werden. Große Unternehmen aus dem Technologie- und Finanzsektor erstellen einen Standard, der als U2F bekannt ist. Es ist bereits möglich, ein physisches U2F-Token zu verwenden, um Ihre Google-, Dropbox- und GitHub-Konten zu sichern. Dies ist nur ein kleiner USB-Stick, den Sie auf Ihren Schlüsselbund legen. Wenn Sie sich von einem neuen Computer aus bei Ihrem Konto anmelden möchten, müssen Sie den USB-Stick einstecken und eine Taste drücken. Das ist es - keine Tippcodes. In Zukunft sollten diese Geräte mit NFC und Bluetooth für die Kommunikation mit mobilen Geräten ohne USB-Ports arbeiten.
Diese Lösung funktioniert besser als SMS-Verifizierung und Einwegcodes, da sie nicht abgefangen und durcheinander gebracht werden kann. Es ist auch einfacher und bequemer zu verwenden. Eine Phishingwebsite könnte beispielsweise eine gefälschte Google-Anmeldeseite anzeigen und den Code für die einmalige Verwendung erfassen, wenn Sie sich anmelden. Sie können diesen Code dann verwenden, um sich bei Google anzumelden. Mit einem physischen Authentifizierungsschlüssel, der mit Ihrem Browser zusammenarbeitet, kann der Browser sicherstellen, dass er mit der realen Website kommuniziert und der Code nicht von einem Angreifer erfasst werden kann.
Erwarten Sie, viel von diesen in der Zukunft zu sehen.
-App-basierte Authentifizierung
Einige mobile Apps bieten möglicherweise eine Zwei-Faktor-Authentifizierung mit der App selbst. Zum Beispiel bietet Google jetzt eine code-lose Zwei-Faktor-Authentifizierung an, solange Sie die Google App auf Ihrem Telefon installiert haben. Wenn Sie versuchen, sich von einem anderen Computer oder Gerät aus bei Google anzumelden, müssen Sie nur auf eine Schaltfläche auf Ihrem Telefon tippen. Es ist kein Code erforderlich. Google überprüft, ob Sie Zugriff auf Ihr Telefon haben, bevor Sie versuchen, sich anzumelden.
Apples zweistufige Bestätigung funktioniert ähnlich, obwohl sie keine App verwendet - sie verwendet das iOS-Betriebssystem selbst. Immer wenn Sie versuchen, sich von einem neuen Gerät aus anzumelden, können Sie einen Einmalcode erhalten, der an ein registriertes Gerät wie Ihr iPhone oder iPad gesendet wird. Die mobile App von Twitter verfügt über eine ähnliche Funktion, die als Login-Verifizierung bezeichnet wird. Und Google und Microsoft haben diese Funktion den Smartphone-Apps Google und Microsoft Authenticator hinzugefügt.
E-Mail-basierte Systeme
Andere Dienste verlassen sich auf Ihr E-Mail-Konto, um Sie zu authentifizieren. Wenn Sie beispielsweise Steam Guard aktivieren, werden Sie von Steam aufgefordert, bei jeder Anmeldung von einem neuen Computer einen Einmal-Code einzugeben, der an Ihre E-Mail gesendet wird. Dies stellt zumindest sicher, dass ein Angreifer sowohl sein Steam-Account-Passwort als auch Zugriff auf Ihr E-Mail-Konto benötigt, um Zugriff auf dieses Konto zu erhalten.
Dies ist nicht so sicher wie andere zweistufige Überprüfungsmethoden, da es für jemanden leicht sein kann, Zugriff auf Ihr E-Mail-Konto zu erhalten, insbesondere wenn Sie keine zweistufige Verifizierung dafür verwenden! Vermeiden Sie eine E-Mail-basierte Überprüfung, wenn Sie etwas Stärkeres verwenden können.(Zum Glück bietet Steam in seiner mobilen App eine App-basierte Authentifizierung an.)
Der letzte Ausweg: Wiederherstellungscodes
Wiederherstellungscodes bieten ein Sicherheitsnetz für den Fall, dass Sie die Zwei-Faktor-Authentifizierungsmethode verlieren. Wenn Sie die Zwei-Faktor-Authentifizierung einrichten, werden Ihnen normalerweise Wiederherstellungscodes zur Verfügung gestellt, die Sie aufschreiben und an einem sicheren Ort aufbewahren sollten. Sie benötigen sie, wenn Sie Ihre zweistufige Verifizierungsmethode verlieren.
Stellen Sie sicher, dass Sie eine Kopie Ihrer Wiederherstellungscodes haben, wenn Sie eine zweistufige Authentifizierung verwenden.
Sie werden nicht viele Optionen für jedes Ihrer Konten finden. Viele Dienste bieten jedoch mehrere zweistufige Überprüfungsmethoden, aus denen Sie auswählen können.
Es gibt auch die Möglichkeit, mehrere Zwei-Faktor-Authentifizierungsmethoden zu verwenden. Wenn Sie beispielsweise eine Code generierende App und einen physischen Sicherheitsschlüssel einrichten, können Sie über die App auf Ihr Konto zugreifen, wenn Sie den physischen Schlüssel verlieren.