zu IT-Sicherheit und mehr

Was ist 2FA (Zwei-Faktor Authentifizierung)?

von

in


Metallschüssel; Public Domain; openclipart.org
Metallschüssel; Public Domain; openclipart.org

Vor vielen Jahren war 2FA noch etwas, das nur wenige Webseiten bereitstellten, und nur von Nerds und Sicherheitsexperten benutzt wurde (mit Ausnahme von E-Banking, bei dem das schon bekannt war). Inzwischen jedoch, scheint fast jede Webseite, dies anzubieten, aber was ist es genau? Und warum sollte man das dringend verwenden?

Also im Grunde ist die Idee bei 2FA, dass man ein zusätzliches «etwas» hat, um sich zu identifizieren. Dieses «etwas» kann eine PIN, ein Sicherheitsschlüssel oder sonst was sein. Hauptsache «ein zweiter Faktor» neben dem Passwort. Deshalb der Name «Zwei-Faktor Authentifizierung».

Der Sinn dahinter ist, dass wenn einem das Passwort «geklaut» wird, z.B. durch Schadsoftware (engl. Malware), Phishing, Datenlecks oder sonst wie, der Angreifer dann doch nicht reinkommt, weil ihm der zweite Faktor fehlt, also dieses «etwas».

Die verschiedenen Verfahren

SMS (Unsicher)

SMS ist eine noch gängige Methode für 2FA, weil es für die meisten Nutzer doch am einfachsten ist, und man seine Nummer normalerweise «nicht so einfach verliert».

Jedoch ist SMS aber leider auch unsicher. Das Problem mit SMS ist, dass man diese abfangen kann, wenn man zum Ziel wird. Es ist auch möglich, als Angreifer den Mobilfunkanbieter auszutricksen, um an eine zweite SIM-Karte zu kommen, mit der Nummer des Opfers.

Es ist vermutlich jedoch immer noch besser als gar kein 2FA. Ausnahme jedoch, ist, wenn der Webseitenbetreiber die SMS auch zum Zurücksetzen des Passworts nutzt, denn dann wurde aus 2FA effektiv 1FA (also man könnte dann definitiv alleine mit SMS rein). In dem falle, lieber gar kein 2FA statt SMS.*

Also, wenn ich nicht weiss, ob der Anbieter die Nummer auch zum Zurücksetzen des Passworts nutzt oder nicht (oder ich weiss, dass es so ist), und es keine anderen 2FA Methoden gibt, dann besser gar kein 2FA. Stattdessen Passwort Manager und einzigartiges, langes Passwort.*

*Siehe die Kommentarsektion dazu.

TOTP («Google Authenticator»)

Es gibt natürlich verschiedene Verfahren für 2FA. Die vermutlich gängigste ist TOTP, was für «Time Based One-Time Password» steht, oder auf Deustch «Zeitbasiertes einmal Passwort». Bekannt wurde TOTP durch Google als «Google Authenticator», die das sehr früh einsetzten.

Viele Webseiten, die früh 2FA bereitstellten, nannten das ganze auch «Google Authenticator», wobei es eigentlich keine Rolle spielt, ob Sie nun die App von Google oder sonst wo nutzen, solange es alles «TOTP» ist.

Das Prinzip, ist es, dass Ihre TOTP App und die Webseite ein Geheimnis teilen, wodurch zusammen mit der jetzigen Zeit, ein einmal Passwort errechnet wird. Somit funktioniert das auch offline, solange Datum und Uhrzeit auf dem Gerät auch stimmen. Dieses Geheimnis wird geteilt, wenn Sie den QR-Code scannen (oder das Geheimnis manuell eingeben). Es ist also wichtig, dass Sie den QR-Code niemandem zeigen.

Alle 30 Sekunden, wird dann eine neue PIN generiert, die Sie beim nächsten Einloggen eingeben müssen. Diese dürfen Sie ebenfalls nicht weitergeben, ausser beim Einloggen.

Klingt kompliziert, ist aber ganz einfach. Sie laden sich eine TOTP App runter, richten das bei der Webseite ein, indem Sie einen QR-Code scannen, und das war es auch schon! Sie sollten natürlich Backups von TOTP machen, oder eine verschlüsselte Cloud Lösung nutzen und sich das Passwort merken. Sonst kommen Sie nicht mehr rein, wenn Sie ihr Gerät verlieren und kein Backup haben!

Hardware Sicherheitsschlüssel («YubiKey»)

Eine weitere Methode sind Hardware-basierte Sicherheitsschlüssel. Das sind meistens USB-Sticks mit einem Taster (wie z.B. YubiKey). Diese unterstützen dann oft FIDO U2F, was der originale Standard ist, und FIDO2, oft auch WebAuthn genannt, welches der neuere Standard ist.

Im Grunde steckt man den Stick in den Rechner, registriert ihn auf der Webseite, und bei künftigem Einloggen drückt man den Taster zur Authentifizierung.

Es sollten zwingend mehrere Schlüssel vorhanden und registriert sein. Dann können einige bei Freunden und Verwandten als Backup hinterlegt sein. Denn, wenn Sie nur einen haben und ihn verlieren, sind Sie ausgesperrt. Alternativ könnte auch auf der Webseite TOTP als Backup hinterlegt werden.

Fazit

Zwei-Faktor-Authentifizierung ist ein Muss, um einem Angreifer im Schadenfall noch einen Riegel davor zuschieben. Aber es muss darauf geachtet werden, ein Backup zu haben, um sich nicht auszusperren.

Ich hoffe, ich konnte Ihnen was beibringen und für 2FA zu motivieren.

Update

Hier noch die SMS «Design-Fehler» Sicherheitslücke erklärt.

Abonnieren Sie kostenlos den RSS-Feed!


Ich betreibe diesen Blog in meiner Freizeit, werbefrei. Ich wäre froh um Spenden, um die Kosten zu decken.


Eine Antwort zu “Was ist 2FA (Zwei-Faktor Authentifizierung)?”

  1. Betreff «Lieber kein 2FA statt SMS»:

    Ich wollte noch einmal erklären, dass ich damit bloss Seiten meine, bei dem die SMS zur Passwortwiederherstellung benutzt werden kann. Weil dann von 2FA effektiv auf 1FA degradiert wird. Logischerweise ist ein Passwort alleine auch 1FA, aber meiner Meinung nach ist 1FA mit langem, zufälligem Passwort stärker als SMS als 1FA.

    Edit: Hier noch einmal in einem Artikel erklärt https://www.kagel.ch/artikel/sms-2fa-als-sicherheitsluecke/

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.