Was eine Zwei-Faktor-Authentisierung ist, wissen Onlinebanking-Anwender spätestens seit September 2019. Damals wurden die Bestimmungen der neuen Zahlungsdiensterichtlinie 2 (PSD2, Payment Services Directive) der EU umgesetzt, die das Verfahren für alle im europäischen Wirtschaftsraum tätigen Banken zur Pflicht machte.
Bei der Zwei-Faktor-Authentisierung , kurz 2FA , handelt es sich um einen Identitätsnachweis durch die Kombination aus zwei unterschiedlichen und möglichst unabhängigen Komponenten beziehungsweise Faktoren. Im Onlinebanking geschieht das meist durch die Eingabe von Benutzernamen und Passwort, die durch eine Transaktionsnummer (TAN) oder die Nutzung einer Authentifizierungs-App ergänzt wird. Auch zahlreiche Onlinedienste und -shops bieten auf freiwilliger Basis 2FA-Verfahren an. Sie können damit Ihre Microsoft-, Google-, Dropbox- und Lastpass-Konten genauso schützen wie Ihren Facebook-, Instagram- und Whatsapp-Account. Von den großen Maildiensten haben unter anderem T-Online, Web.de, GMX, Gmail und Outlook.com eine 2FA-Sicherung.
Neben der Überprüfung der Identität durch eine einmalig generierte TAN existiert noch eine Reihe anderer Verfahren. Dazu zählen beispielsweise biometrische Verfahren wie Fingerabdruck-, Venen- und Iris-Scan sowie Gesichts- und Stimmerkennung. Immer beliebter werden die Authenticator-Apps fürs Smartphone, die für die Anmeldung eine Bestätigung des Anwenders einfordern.
Siehe auch: 2-Faktor-Authentifizierung – So ändert sich Online-Shopping
Warum 2FA sicher ist
Mit der Zwei-Faktor-Authentisierung wollen Webangebote eines der großen Sicherheitsprobleme der vergangenen Jahre in den Griff bekommen. Trotz zahlreicher Warnungen, Aufklärungskampagnen und Sicherheitshinweise verwenden viele Anwender nach wie vor unsichere Passwörter, die zu kurz und/oder leicht zu erraten sind. Mit einer zusätzlichen Absicherung lässt sich die Sicherheit der Onlineanmeldung deutlich erhöhen. Selbst wenn es dann einem Angreifer gelingt, beispielsweise die Eingabe von Benutzernamen und Passwort bei einem Dienst zu beobachten oder das Passwort zu knacken, kann er sich nicht einloggen, da ihm die einmalig generierte und ans Smartphone geschickte TAN fehlt. Hat der Kontobesitzer ein biometrisches Merkmal als zweiten Faktor definiert, so müsste der Angreifer einen hohen Aufwand betreiben, um an eine Kopie etwa des verwendeten Fingerabdrucks oder eines Iris-Scans zu gelangen. Zwar haben Sicherheitsforscher bereits vor Jahren gezeigt, wie sich diese Scans oder auch eine Gesichts- beziehungsweise Stimmerkennung überlisten lassen. Tatsächlich funktionieren solche Tricks jedoch nahezu ausschließlich nur in speziellen Fällen oder unter Laborbedingungen und erfordern eine hohe kriminelle Energie. Bei Hochsicherheitseinrichtungen kommt teilweise auch eine Multifaktor-Authentisierung (MFA) zum Einsatz. Sie ergänzt eine 2FA noch um ein oder mehrere weitere Komponenten.
Windows und 2FA
Windows unterstützt eine Zwei-Faktor-Authentisierung, bietet sie jedoch selbst für die Anmeldung nicht an (siehe dazu auch den Kasten unten). Das hat sich auch in Windows 11 nicht geändert. Das Betriebssystem hält mehrere Anmeldevarianten bereit, die Sie als Alternative zum Log-in mit Benutzernamen und Passwort einsetzen können. Sie können diese Varianten zwar für eine Zwei-Faktor-Authentisierung bei Ihrem Microsoft-Konto verwenden, nicht jedoch bei Windows selbst. Selbst wenn Sie sich mit Ihrem Microsoft-Konto bei Windows anmelden, können Sie keine 2FA für die Windows-Anmeldung nutzen.
Sobald Sie allerdings auf die Microsoft-Cloud zugreifen, also auf Onedrive, auf die Onlineversionen der Office-Programme von Microsoft 365 oder auf Outlook.com, können Sie zentral eine zusätzliche Sicherheitsabfrage einschalten. Rufen Sie dazu in Ihrem Browser die Adresse https://login.live.com auf und melden Sie sich bei Ihrem Microsoft-Konto an. Öffnen Sie das Register „Sicherheit“ und darin auf „Erweiterte Sicherheitsoptionen“. Scrollen Sie nach unten zum Abschnitt „Zusätzliche Sicherheitsoptionen“ und klicken Sie dort unter „Zweistufige Überprüfung“ auf „Aktivieren“. Klicken Sie im folgenden Fenster auf „Weiter“. Microsoft fragt nun ab, ob Sie Ihre Mails in Outlook.com mit einem Smartphone synchronisieren. Falls ja, müssen Sie in der Outlook-App ein Kennwort eintippen, das Sie von Microsoft zugeschickt bekommen. Falls nicht, klicken Sie auf „Weiter“. Im letzten Fenster geht es um den Zugriff auf Geräte und Anwendungen, welche 2FA nicht unterstützen. Dabei handelt es sich um ältere Software wie etwa Office 2010 oder Windows Phone 8 und die Xbox 360, die kein 2FA unterstützen. Diese Programme und die Spielkonsole lassen sich stattdessen durch ein zusätzliches App-Kennwort schützen. Anschließend fragt Windows Sie nach Ihrem Benutzernamen und dem Passwort, um die Änderungen zu bestätigen.
Nun geht es darum festzulegen, welcher zweite Faktor bei der Konto-Anmeldung eingesetzt werden soll. Die Auswahl finden Sie im Register „Sicherheit“ im Abschnitt „Möglichkeiten zum Nachweisen Ihrer Identität“. Über „Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen“ bekommen Sie Zugriff auf die verfügbaren Faktoren:
- Kennwort eingeben: Dabei handelt es sich um die Standard-Anmeldung mit Benutzernamen und Passwort.
- Code per Mail senden: Nach Aktivieren dieser Option schickt Ihnen Microsoft für jede Anmeldung einen Prüfcode, den Sie auf der Webseite eintippen müssen.
- Anmeldebenachrichtigung senden: Hierfür benötigen Sie die Authenticator-App oder ein kompatibles Programm.
- Sicherheitsschlüssel verwenden: Diese Option bezieht sich auf einen Fido2-Stick, der normalerweise als Chip mit USB-Anschluss ausgeführt ist. Solche Sticks kosten zwischen 20 und 60 Euro und lassen sich in den „Einstellungen“ von Windows unter „Konten –› Anmeldeoptionen –› Sicherheitsschlüssel“ konfigurieren.
- Windows-PC verwenden:Damit meint Microsoft die Anmeldevarianten, die Windows in den „Einstellungen“ bei „Konten –› Anmeldeoptionen“ unter dem Oberbegriff „Windows Hello“ bereitstellt. Zur Auswahl stehen eine Gesichts- und eine Fingerabdruck-Erkennung und die Eingabe einer PIN.
Nach einem Klick auf „Weitere Optionen anzeigen“ erscheint noch diese Variante:
- Code per SMS senden:Hierbei bekommen Sie bei der Anmeldung an Ihrem Microsoft-Konto im Browser automatisch eine SMS mit einem Prüfcode zugeschickt, den Sie eintippen müssen. Diese Variante gilt mittlerweile allerdings als unsicher, vor allem, wenn Sie mit dem Smartphone oder Tablet auf den mit 2FA geschützten Dienst zugreifen. Denn es existieren Trojaner-Viren, die zum einen die Anmeldung überwachen und zum anderen den Code in der Bestätigungs-SMS auslesen und sofort an einen Hacker weiterleiten. Wenn er schnell genug ist und die Gültigkeitsdauer des Codes nicht überschreitet, kann er unter Ihrer Benutzerkennung auf Ihr Konto zugreifen. Wahrscheinlich ist das nicht, aber möglich. Verwenden Sie diese Methode daher nur, wenn Sie das Microsoft-Konto auf Ihrem PC öffnen.
Windows-Anmeldung mit 2FA nur für Business-Kunden
Windows 10 und 11 unterstützen zwar eine Zwei-Faktor-Authentisierung, das gilt jedoch nicht für die Anmeldung beim Betriebssystem. Denn zum einen dient die Windows-Anmeldung nicht dem Schutz Ihrer Daten, sondern in erster Linie der Benutzerverwaltung. Sie können Ihren PC auch mit einer Linux-Live-CD booten und haben anschließend freien Zugriff auf die gespeicherten Dateien. Für den Schutz der Daten auf dem eigenen PC ist bei Windows nicht die Anmeldung zuständig, sondern eine Verschlüsselungstechnik wie etwa Bitlocker .
Da jedoch insbesondere Unternehmen dennoch vielfach nach einer Absicherung des Windows- Log-on durch 2FA verlangen, haben einige unabhängige Software-Hersteller eigene Lösungen entwickelt. Die bekannteste darunter ist vermutlich Adselfservice Plus von Micronova. Microsoft wiederum bietet mit Windows Hello for Business ein Tool für Nutzer des Online-Verzeichnisdienstes Azure AD an, mit dem sie die Windows-Anmeldung durch einen zweiten Faktor absichern können.
Wie Authenticator-Apps arbeiten
Apps wie der Microsoft Authenticator oder der Google Authenticator bieten eine einfache Möglichkeit, eine sichere Zwei-Faktor-Authentisierung einzurichten. Sie arbeiten ebenso wie die SMS- und Mail-Verfahren mit einem sechs- oder achtstelligen Einmalkennwort, das in der Regel aus Ziffern besteht. Das Kennwort ist allerdings jeweils nur 30 Sekunden lang gültig und wird anschließend durch einen neuen Code ersetzt. Ein Hacker hätte also lediglich 30 Sekunden Zeit, um den Code abzugreifen.
Authenticator-Apps sind nicht an einen bestimmten Dienst gebunden, sondern können in der Regel dank des standardisierten TOTP- (Time-based One-time Password) beziehungsweise OTP-Algorithmus der Internet Engineering Task Force (IETF) für mehrere Dienste benutzt werden.
Sie können sich also mit dem Microsoft Authenticator auch bei Ihrem Google-Konto anmelden. Der Onlinedienst erzeugt dazu einen Software-Token, in den auch die aktuelle Uhrzeit einfließt, und setzt diesen Code in einen QR-Code oder wahlweise in einen Sicherheitsschlüssel um. Die Authenticator-App auf dem Smartphone scannt den Code, alternativ dazu tippt ihn der Anwender in die App ein. Der Token wird schließlich beim Anbieter und auf dem Smartphone gespeichert und sorgt dafür, dass die bei der Anmeldung angezeigten Einmalkennwörter auf dem Smartphone vom Onlinekonto akzeptiert werden. Die Anmeldung per Authenticator-App funktioniert auch dann, wenn das Smartphone nicht online ist.
Um sich bei Google per Microsoft Authenticator anzumelden, öffnen Sie Ihr Google-Konto, gehen ins Register „Sicherheit“ und weiter zu „Bei Google anmelden“ und klicken neben „Bestätigung in zwei Schritten“ ganz rechts auf den nach rechts weisenden Pfeil. Geben Sie Benutzernamen und Passwort ein und bestätigen Sie mit „Weiter“.
Aktivieren Sie auf der folgenden Seite zunächst die Bestätigung in zwei Schritten. Scrollen Sie nach unten zum Abschnitt „Authenticator App“, und klicken Sie auf „Smartphone ändern“. Google fragt Sie nun, ob Sie ein Android-Gerät oder ein iPhone besitzen. Wählen Sie Ihr Modell aus und klicken Sie auf „Weiter“. Nun erscheint ein QR-Code. Öffnen Sie den Authenticator auf Ihrem Smartphone und tippen Sie rechts oben auf das Menüsymbol mit den drei Punkten. Tippen Sie auf „Konto hinzufügen“ und „Anderes Konto“ und scannen Sie den angezeigten Code auf dem Monitor.
Auf diese Weise können Sie weitere Onlinedienste, etwa Amazon, Facebook, Dropbox, mit einer 2FA absichern und über einen Authenticator verwalten. Nur Microsoft selbst lässt nicht zu, dass seine Konten über alternative Authenticator-Apps aufgerufen werden. Das Microsoft-Konto zeigt keinen zur Einrichtung benötigten QR-Code an.
Neben den Authenticator-Apps von Microsoft und Google gibt es noch eine Reihe von Programmen unabhängiger Hersteller. Empfehlenswert ist etwa Twilio Authy , das den Token verschlüsselt in der Cloud speichert, sodass Sie mit mehreren Mobilgeräten auf die Codes zugreifen können.
Kennwortloses Microsoft-Konto
Viele Passwörter gelten als unsicher. Darum hat Microsoft im Herbst 2021 den passwortlosen Zugang zum Microsoft-Konto eingeführt. Wenn Sie diese Option wählen, wird die Authentisierung per Passwort aus der Liste der Anmeldeoptionen gelöscht. Anschließend melden Sie sich allein durch die Eingabe Ihres Benutzernamens beziehungsweise der Mailadresse und mit einer Bestätigung per Authenticator, über einen per Mail oder SMS zugeschickten Code oder über Windows Hello an. Die entsprechende Option finden Sie im Register „Sicherheit“ in Ihrem Microsoft-Konto unter „Erweiterte Sicherheitsoptionen“ im Bereich „Zusätzliche Sicherheitsoptionen“ als „Kennwortloses Konto“.
Die genannten Optionen, etwa das Senden eines Codes per Mail, klingen erstmal wenig sicher, doch wenn Sie als einzige Anmeldeoption die Microsoft-Authenticator-App („Anmeldebenachrichtigung senden“) behalten, dann haben Sie indirekt eine Zwei-Faktor-Authentifizierung aktiviert. Denn wenn Sie Ihr Smartphone per Fingerabdruck entsperren und die Authenticator-App per PIN-Code, erhalten Sie eine hohe Sicherheit. Allerdings dürfen Sie Ihr Smartphone dann nicht mehr verlieren.
Autor: Roland Freist
Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.