Doppelt hält auch im Netz besser
Cyber-Attacken nehmen rasant zu. Die sogenannte Zwei-Faktor-Authentifizierung verspricht einen besseren Schutz gegen Angreifer, denn sie packt auf das altgediente Passwort noch einen drauf.
(dpa) Folgendes Szenario erlebten in den vergangenen Monaten etliche Facebook-Nutzer: Sie erhielten eine Nachricht von einem Freund mit einem Link zu einem Youtube-Video. Beim Öffnen wurden sie dazu aufgefordert, sich in ihr Facebook-Konto einzuloggen. Kamen sie der Aufforderung nach, wurde ihr Konto gehackt. Denn die Nachrichten stammten nicht tatsächlich von einem Freund, sondern von anderen gehackten Nutzerkonten. Der Link führte zu einer gefälschten Facebook-Seite. Wer sich dort anmeldete, sendete Nutzername und Passwort direkt an die Kriminellen. Die verschickten über das erbeutete Profil sofort die nächsten Nachrichten, um noch mehr Nutzer in die Falle zu locken.
Mit der sogenannten Zwei-Faktor-Authentifizierung wäre das nicht so schnell passiert. Bei dem Verfahren zum sicheren Einloggen werden nicht nur Nutzername und Passwort, sondern noch ein zusätzlicher Sicherheitscode benötigt. „Das ist wie ein zusätzliches Sicherheitsschloss an einer Tür zu verstehen“, erklärt Chris Wojzechowski vom Institut für Internet-Sicherheit. Der Türschlüssel alleine reicht zum Öffnen nicht aus, ein zweiter Schlüssel muss her. Damit das funktioniert, dürfen die beiden Schlüssel nicht identisch sein und auch nicht am selben Schlüsselbund hängen. „Sie müssen sich unterscheiden und immer getrennt aufbewahrt werden, damit bei einem möglichen Verlust von einem der beiden immer noch die Sicherheit gewährleistet ist“, sagt Wojzechowski.
Auch bei der Zwei-Faktor-Authentifizierung werden zwei verschiedene Schlüssel benötigt. Der erste ist in den meisten Fällen das Passwort. Es wird wie gewohnt verwendet und meistens vom Nutzer selbst festgelegt. Wojzechowski empfiehlt, darauf zu achten, dass es mindestens acht Zeichen lang ist, keine Namen, Geburtsdaten und vollständige Wörter enthält, dafür aber Groß- und Kleinschreibung sowie Sonderzeichen.
Der zweite Schlüssel sollte im besten Fall kein Passwort sein. Hier gibt es mehrere unterschiedliche Konzepte, beispielsweise ein Hardware-Schlüssel. Nutzer bekommen in dem Fall einen physischen Schlüssel in Form einer Chipkarte oder eines Funk-Transmitters. Diese werden bei Bedarf mit einem entsprechenden Lesegerät oder dem NFC-Leser des Smartphones zur Anmeldung genutzt. „Diese Form der Authentifizierung wird besonders in größeren Unternehmen und in Behörden gerne genutzt, in denen die Nutzer sich sehr häufig anmelden müssen“, sagt Fabian Scherschel vom Fachmagazin „c’t“. Der Vorteil sei die einfache Anwendung, Nachteile seien die hohen Kosten für die verwendeten Geräte und das Risiko des leichten Verlusts.
Im Privatkunden-Bereich hat sich besonders bei Banken und Online-Shops die Verwendung von einmaligen Codes durchgesetzt, wie etwa das sogenannte mTAN-Verfahren. Beim Anmelden auf einer Seite oder zur Genehmigung einer Überweisung wird per SMS oder einer App ein Code verschickt, SMS: Nach Eingabe der Anmeldedaten erhält der Nutzer eine SMS mit zusätzlichem Sicherheitscode. Code-Generator: Viele Banken setzen auf kleine Geräte, die gemeinsam mit der Bankkarte eine Transaktionsnummer zur Freigabe von Bankaufträgen generieren. Hardware-Schlüssel: Sie sehen zum Beispiel aus wie USBSticks und werden zur Anmeldung an den Rechner angeschlossen. Bei dieser Methode ist ein Login bei einem bestimmten Dienst nur möglich, wenn auch der Hardware-Schlüssel angeschlossen ist. Smartphone: Apps wie der Google Authenticator können für viele Dienste, darunter auch Facebook, genutzt werden. Sie generieren einen zusätzlichen Sicherheitscode zum Anmelden. der zusätzlich eingegeben werden muss. So soll sichergestellt werden, dass nur der Inhaber der registrierten Handy-Nummer diesen Code erhält, so Scherschel. Dieser Code kann nur einmal verwendet werden. Ebenfalls möglich ist ein zufällig generierter QR-Code, der dann mit dem Smartphone eingescannt werden muss, um den Zugriff zu gewähren.
Der Vorteil, sich zusätzlich mit dem Smartphone einzuloggen, ist, dass die meisten Menschen ihr Gerät immer dabei haben. Schlechter Empfang oder ein leerer Akku können dem natürlich einen Strich durch die Rechnung machen. Auch sollte auf dem Smartphone auf keinen Fall der erste Schlüssel, also das Passwort, gespeichert sein. Wird das Smartphone gestohlen, hätte der Dieb beide Schlüssel zur Verfügung. Bei Verlust des Geräts sollte deshalb umgehend die Bank benachrichtigt werden.
Der zweite Schlüssel kann auch ein biometrisches Merkmal sein, sodass sich der Nutzer per Fingerabdruck oder Gesichtserkennung verifiziert. Das ist schnell und bequem, da keine zusätzlichen Daten übertragen werden müssen, wie etwa beim mTAN-Verfahren. Die meisten neueren Smartphones haben mittlerweile Fingerabdrucksensoren. Allerdings ist die Biometrie auch unsicherer als andere Verfahren. Betrüger können etwa leicht an Fingerabdrücke kommen, da diese überall hinterlassen werden. Das Verfahren sollte also besser nicht für hochsensible Daten wie beispielsweise Online-Banking genutzt werden.
Egal, welche Variante verwendet wird, die Experten sind sich bei einem einig: Sicherer als nur ein Passwort ist die Zwei-Faktor-Authentifizierung in jeder Form allemal. Wann immer ein Online-Dienst die Zweifaktor-Authentifizierung anbietet, sollte man sie nutzen, rät auch das Bundesamt für Sicherheit in der Informationstechnik. Denn doppelt hält besser.