jedermann 12 min

Zwei Faktor Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) ist ein zusätzliches Sicherheitsverfahren, das neben dem Passwort einen zweiten Faktor abfragt und so vor unberechtigtem Zugriff schützt. Dieser zweite Faktor ist idealerweise ein physisches Gerät, auf das nur Sie allein Zugriff haben. Wie Sie die 2FA einrichten und welche Anwendungen dafür verwendet werden können, erfahren Sie in diesem Artikel.

Die Zwei-Faktor-Authentifizierung (2FA) ist ein zusätzliches Sicherheitsverfahren, das neben dem Passwort einen zweiten Faktor abfragt und so vor unberechtigtem Zugriff schützt. Dieser zweite Faktor ist idealerweise ein physisches Gerät, auf das nur Sie allein Zugriff haben. Wie Sie die 2FA einrichten und welche Anwendungen dafür verwendet werden können, erfahren Sie in diesem Artikel.

Im Artikel Passwortsicherheit haben wir uns ausführlich mit den verschiedenen Angriffsmethoden auf Passwörter beschäftigt. Das Beispielpasswort minka1404 schnitt dabei nicht besonders gut ab und konnte schließlich in wenigen Sekunden geknackt werden. Die Lösung für dieses Problem liegt auf der Hand: Verwenden Sie ein sicheres Passwort. Aber gibt es noch eine andere Möglichkeit, sich zu schützen, und könnten wir mit minka1404 doch noch mit einem blauen Auge davonkommen?

Die Antwort ist natürlich klar - sie ist ja auch bereits in der Überschrift. Die Zwei-Faktor-Authentifizierung (2FA) ist ein zusätzliches Sicherheitsverfahren, das neben dem Passwort einen zweiten Faktor prüft und so vor unberechtigtem Zugriff schützt. Dieser zweite Faktor ist im Idealfall ein physisches Gerät, auf das nur Sie Zugriff haben. Dies kann z.B. ein altes Smartphone oder ein eigens für diesen Zweck entwickelter USB-Stick sein. Aber auch biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung kommen als zweiter Faktor in Frage.

Dabei ist zu betonen, dass die Verwendung eines zweiten Faktors kein Freibrief für die Verwendung eines unsicheren Passworts ist. Das Passwort muss nach wie vor sicher sein und alleine einer Attacke standhalten können. Die 2FA ist nur eine zusätzliche Sicherheitsmaßnahme, die das Passwort unterstützt.

Funktionsweise

Bei einer herkömmlichen Anmeldung geben Sie Benutzername und Passwort ein, bestätigen die Eingabe und sind direkt angemeldet. Wenn die Zwei-Faktor-Authentifizierung aktiviert ist, funktioniert die Anmeldung genauso, nur dass Sie zusätzlich den zweiten Faktor mitliefern. Dabei kann es sich um einen Code handeln, den Sie von einem physischen Gerät einlesen, oder um die Bestätigung der Anmeldung auf einem anderen Gerät.

Verfahren

Es gibt verschiedene Verfahren, die als zweiten Faktor verwendet werden können. Die gängigsten sind:

  • Einmalpasswörter
    • per App
    • per E-Mail oder SMS
  • Bestätigung auf dem Smartphone
  • Hardware Security Keys
    • mit FIDO2
    • zur Generierung von Einmalpasswörtern

Einmalpasswörter

Die am häufigsten verwendete Methode ist das Einmalpasswort. Dabei wird ein zufälliger Code generiert, der nur einmal verwendet werden kann und nur für kurze Zeit gültig ist. Dieser wird entweder direkt auf Ihrem Smartphone generiert oder bei Bedarf per SMS oder E-Mail übermittelt.

2FA per App

Die einfachste Methode ist die Verwendung einer App auf Ihrem Smartphone, z. B. Google Authenticator oder Authy. Diese Apps generieren sechsstellige Codes, die alle 30 Sekunden erneuert werden.

Am besten verwenden Sie ein ausgedientes Smartphone, um die Codes zu generieren. So haben Sie einen echten physischen zweiten Faktor in der Hand. Selbst wenn Sie Ihr aktuelles Smartphone verlieren, können Sie immer noch auf die Codes zugreifen und sich anmelden. Bewahren Sie dieses “Authentifizierungsgerät” an einem sicheren Ort auf und schalten Sie es am besten nur ein, wenn Sie einen Code benötigen. So können Dritte nicht auf Ihre 2FA-Codes zugreifen.

Bei der Inbetriebnahme einer Authentifizierungs-App müssen Sie einen QR-Code scannen, der Ihnen vom Dienstleister (z.B. Google, Microsoft, etc.) zur Verfügung gestellt wird. Dieser QR-Code enthält alle Informationen, die die Anwendung zur Generierung der 2FA-Codes benötigt. Bitte beachten Sie, dass 2FA-Codes nur auf Geräten generiert werden können, die auf diese Weise eingerichtet wurden. Wollen Sie die App auf einem weiterem Gerät installieren, müssen Sie diese Informationen erneut hinterlegen. Passen Sie daher gut auf das Gerät, auf dem diese App installiert wurde, auf.

2FA per E-Mail oder SMS

Alternativ können Sie sich die Codes auch per SMS oder E-Mail zusenden lassen. Die Einrichtung ist fast genauso einfach, wie bei der Verwendung einer App. Geben Sie einfach Ihre Telefonnummer oder E-Mail-Adresse an und Sie erhalten einen Code, den Sie bei der Anmeldung eingeben.

Aber: Bei dieser Variante erhalten Sie keinen zweiten physischen Faktor. Sie ist daher weniger sicher als die Verwendung einer App. Denn falls jemand Zugriff auf Ihre E-Mails erhält, kann er auch auf die 2FA-Codes zugreifen. Dasselbe gilt für SMS-Codes. Das gilt besonders dann, wenn sie sich auf einem Gerät anmelden, dass die 2FA-Codes empfängt, wie das zum Beispiel auf Ihrem Smartphone der Fall ist. Wenn Sie sich auf diesem Gerät anmelden, erhalten Sie den Code auf demselben Gerät und verlieren

Ein weiterer Nachteil ist, dass Ihr Smartphone sowohl Ihre Zugangsdaten als auch die 2FA-Codes enthält. Wenn Ihr Smartphone in unbefugte Hände gerät, hat der Dieb alle Informationen, die er zum Einloggen benötigt. Aus diesem Grund sollten Sie die 2FA-Codes auf einem separaten Gerät generieren, um einen physisch getrennten zweiten Faktor zu schaffen.

2FA mit dem Smartphone

Ähnlich wie beim Erhalt von Codes per SMS oder E-Mail können Sie sich auch eine Bestätigung auf Ihr Smartphone senden lassen. Sie erhalten eine Anmeldebestätigung, die Sie bestätigen müssen. Ohne Bestätigung wird der Zugriff verweigert. Diese Methode ist sehr sicher - solange sie auf einem separaten Gerät verwendet wird. Wie bereits oben bei den Einmalpasswörtern erwähnt, sollten Sie die 2FA-Codes auf einem separaten Gerät generieren, um einen physisch getrennten zweiten Faktor zu schaffen.

Ein Nachteil dieser Methode ist, dass eine aktive Internetverbindung erforderlich ist. Außerdem unterstützen nicht alle Diensteanbieter diese Methode.

Die Einrichtung ist in der Regel sehr einfach. In der Regel genügt es, die App des Dienstleisters auf dem Smartphone zu installieren und sich dort anzumelden. Manchmal muss diese Form der 2FA noch zusätzlich aktiviert werden. Bei Google-Konten müssen Sie sich beispielsweise nur mit Ihrem Google-Konto auf Ihrem Android-Smartphone anmelden und die 2FA in den Systemeinstellungen aktivieren.

2FA mithilfe Hardware Security Keys

Hardware Security Keys sind kleine Geräte, die wie USB-Sticks aussehen. Sie enthalten kryptografische Schlüssel, die das Gerät eindeutig identifizieren. Diese Schlüssel können weder ausgelesen noch kopiert werden. Das Gerät kann nur von Personen, die physischen Zugriff darauf haben, zur Authentifizierung verwendet werden. Hardware Security Keys sind derzeit die sicherste Authentifizierungsmethode und eignen sich ideal als zweiter Faktor.

Leider müssen die speziellen Geräte erst gekauft werden. Diese kosten in der Regel ca. 50 € pro Stück. Wenn Sie jedoch nur einen Schlüssel verwenden, haben Sie keinen Ersatz, falls dieser verloren geht. Deshalb sollte man immer mindestens zwei, besser noch drei Schlüssel verwenden. Das kann allerdings schnell kostspielig werden.

Dennoch empfehlen wir die Verwendung von Hardware Security Keys. Sie sind zwar nicht billig, aber einfach, schnell und sicher in der Anwendung.

FIDO2

FIDO2 ist ein sicherer Authentifizierungsstandard, der hauptsächlich für Webanwendungen verwendet wird. Er wird von allen gängigen Browsern unterstützt und verwendet die bereits erwähnten kryptografischen Schlüssel, die auf dem Hardware Security Key gespeichert sind. Zur Authentifizierung müssen Sie den Schlüssel nur kurz berühren. Das ist alles. Keine Codes, keine Bestätigungen, keine speziellen Passwörter. Einfacher geht es nicht!

Leider unterstützen noch nicht alle Diensteanbieter diese Methode. Dies wird sich aber in Zukunft ändern.

Die Einrichtung ist kinderleicht. Schließen Sie den Hardware Security Key an Computer oder Smartphone an und folgen Sie den Anweisungen. In den meisten Fällen müssen Sie den Schlüssel nur kurz berühren - fertig.

Generierung von Einmalpasswörtern

Zurück zu den oben erwähnten Einmalpasswörtern. Hardware Security Keys können auch zur Generierung von Einmalpasswörtern verwendet werden. Dabei wird das zur Generierung der Codes verwendete “Geheimnis” auf dem Schlüssel und nicht auf dem Computer oder Smartphone gespeichert. Spezielle Sicherheitsfunktionen des Keys sorgen dafür, dass das Geheimnis nicht ausgelesen werden kann.

Zur Generierung schließen Sie den Key an Ihren Computer oder Ihr Smartphone an und öffnen die entsprechende App. Danach genügt ein kurzes Berühren des Schlüssels, um einen sechsstelligen Code zu erhalten, den Sie bei der Anmeldung eingeben.

Entscheidungshilfe

Sie kennen nun die verschiedenen 2FA-Methoden. Die Entscheidung, welche Methode Sie einsetzen, hängt von Ihrem Anwendungsfall und dem gewünschten Sicherheitsniveau ab. Wir haben für Sie eine kleine Entscheidungshilfe zusammengestellt, die Ihnen bei der Auswahl helfen soll.

2FA Method decision tree

Im Allgemeinen ist die Verwendung von Hardware Security Keys die sicherste Methode. Diese Methode ist besonders für Gewerbetreibende und Unternehmen zu empfehlen. Für Privatpersonen ist sie vermutlich zu teuer. Es ist jedoch die sicherste Methode.

An zweiter Stelle stehen Einmalpasswörter, die von einer App auf einem separaten Gerät generiert werden. Diese Methode ist sehr sicher und eignet sich vor allem für Privatpersonen, da die meisten bereits ein ungenutztes Smartphone zu Hause haben.

Die Verwendung von SMS oder E-Mail zur Bestätigung ist nur dann zu empfehlen, wenn keine andere Möglichkeit zur Verfügung steht. Diese Methoden bieten keinen echten physischen zweiten Faktor und sind daher bei weitem nicht so sicher. Wenn es jedoch keine andere Möglichkeit gibt, ist diese Methode besser als auf gar keine Zwei-Faktor-Authentifizierung zu verwenden.


Links

Mit den folgenden Produkten haben wir gute Erfahrungen gemacht. Bitte beachten Sie, dass wir keine Produkte uneingeschränkt empfehlen können. Eigene Recherchen sind immer notwendig und sinnvoll. Die folgenden Links dienen lediglich als Orientierungshilfe. Wir stehen in keinerlei Verbindung zu den Herstellern und erhalten auch keine Provisionen für die Verlinkung.

  • Google Authenticator APP - zum Generieren von Einmalpasswörtern auf Android-Smartphones.
  • Authy APP - zur Generierung von Einmalpasswörtern auf Android-Smartphones.
  • YubiKey 5 NFC - Hardware-Security-Key mit NFC und USB-A Anschluss.
  • YubiKey 5C NFC - Hardware-Security-Key mit NFC und USB-C Anschluss.
  • SoloKey 2A+ - Open-Source Hardware-Security-Key mit NFC und USB-A Anschluss.
  • SoloKey 2C+ - Open-Source Hardware-Security-Key mit NFC und USB-C Anschluss.

Bitte beachten Sie, dass die hier aufgeführten Links zu den Webseiten der jeweiligen Hersteller führen. Diese befinden sich überwiegend in den USA. Wenn Sie direkt von dort bestellen, müssen Sie mit zusätzlichen Kosten rechnen. Hohe Versandkosten und lange Lieferzeiten können die Folge sein. Wir empfehlen daher in jedem Fall, die Geräte über einen vertrauenswürdigen, inländischen Händler zu beziehen.

Florian Hektor
Zurück