Doppelt gesichert
Zwei-Faktor-Authentifizierung mit Einmal-Passwörtern
Immer mehr Web-Anwendungen setzen auf Zwei-Faktor-Authentifizierung, bei welcher der Benutzer zusätzlich zum Passwort einen Zahlencode eingeben muss. Tatsächlich ist dieses Verfahren gar nicht so schwer zu verstehen. Webseiten-Betreiber können es zudem leicht selbst einsetzen.
Die Zwei-Faktor-Authentifizierung kennen viele aus eigener Erfahrung mit großen Web-Diensten wie Facebook, Google, Microsoft, PayPal, Dropbox oder GitHub. Bei Facebook zum Beispiel heißt dieses Feature „Anmeldebestätigungen“: Hat es der Nutzer aktiviert, genügt es nicht mehr, sich an einem neuen Gerät oder Browser mit Nutzername und Passwort einzuloggen. Zusätzlich folgt ein zweiter Schritt, der nach einem sechsstelligen Sicherheitscode fragt. Diesen verschickt Facebook per SMS – ähnlich wie beim mTAN-Verfahren im Online-Banking. Alternativ erzeugt die Facebook-App den Code auf dem Smartphone.
Bei Google funktioniert die „Bestätigung in zwei Schritten“ ganz ähnlich. An den Sicherheitscode kann der Nutzer via SMS oder Sprachnachricht kommen oder über eine eigens dafür vorgesehene App: den „Google Authenticator“, den es für Android, iOS und BlackBerry gibt. Was viele Nutzer dieser App wahrscheinlich nicht wissen: Der Authenticator lässt sich auch für andere Dienste verwenden, denn er implementiert einen freien Standard. TOTP – was in diesem Fall nicht „Top of the Pops“, sondern „Time-based One-time Password Algorithm“ bedeutet – ist nicht einmal besonders schwer in die eigene Website zu integrieren, zumal es viele Fertiglösungen dafür gibt. Auch bei den Authentifizierungs-Apps ist die Auswahl groß: Als Alternativen zum Google Authenticator wären etwa Authy oder Duo Mobile zu nennen; auch der auf Windows beliebte quelloffene Passwortspeicher KeePass oder die Smartwatch-App QuickAuth für Pebble-Uhren können TOTP-Zugangscodes errechnen.
Die Einweg-Passwörter schützen den Nutzer ziemlich effektiv vor den Folgen eines schwachen oder gestohlenen Passworts – und das sind immer noch die Hauptursachen für Account-Übernahmen. Selbst ein Rechner mit Schädlingsbefall korrumpiert die Zugangssicherheit nicht, denn nach der einmaligen Einrichtung kennt er den geheimen Schlüssel selbst nicht. Mit einem abgefischten Einmal-Passwort könnte sich ein Angreifer nur wenige Sekunden lang einloggen – und selbst dieses Szenario kann der Website-Betreiber unterbinden.