1935646

2FA unter Windows - das ist wichtig!

30.01.2022 | 08:01 Uhr | Roland Freist

Windows unterstützt die Absicherung von Anmeldeverfahren im Internet durch eine Zwei-Faktor-Authentisierung. Insbesondere die Anmeldung mit Authenticator-Apps wird immer beliebter.

Was eine Zwei-Faktor-Authentisierung ist, wissen Onlinebanking-Anwender spätestens seit September 2019. Damals wurden die Bestimmungen der neuen Zahlungsdiensterichtlinie 2 (PSD2, Payment Services Directive) der EU umgesetzt, die das Verfahren für alle im europäischen Wirtschaftsraum tätigen Banken zur Pflicht machte.

Bei der Zwei-Faktor-Authentisierung , kurz 2FA , handelt es sich um einen Identitätsnachweis durch die Kombination aus zwei unterschiedlichen und möglichst unabhängigen Komponenten beziehungsweise Faktoren. Im Onlinebanking geschieht das meist durch die Eingabe von Benutzernamen und Passwort, die durch eine Transaktionsnummer (TAN) oder die Nutzung einer Authentifizierungs-App ergänzt wird. Auch zahlreiche Onlinedienste und -shops bieten auf freiwilliger Basis 2FA-Verfahren an. Sie können damit Ihre Microsoft-, Google-, Dropbox- und Lastpass-Konten genauso schützen wie Ihren Facebook-, Instagram- und Whatsapp-Account. Von den großen Maildiensten haben unter anderem T-Online, Web.de, GMX, Gmail und Outlook.com eine 2FA-Sicherung.

Neben der Überprüfung der Identität durch eine einmalig generierte TAN existiert noch eine Reihe anderer Verfahren. Dazu zählen beispielsweise biometrische Verfahren wie Fingerabdruck-, Venen- und Iris-Scan sowie Gesichts- und Stimmerkennung. Immer beliebter werden die Authenticator-Apps fürs Smartphone, die für die Anmeldung eine Bestätigung des Anwenders einfordern.

Siehe auch: 2-Faktor-Authentifizierung - So ändert sich Online-Shopping

Warum 2FA sicher ist

Die Deutsche Bank etwa arbeitet bei der 2FA mit dem PhotoTAN-Verfahren, bei dem Sie mit einer App einen QR-Code auf dem Monitor scannen und die auf dem Smartphone angezeigte TAN auf der Website eintippen.
Vergrößern Die Deutsche Bank etwa arbeitet bei der 2FA mit dem PhotoTAN-Verfahren, bei dem Sie mit einer App einen QR-Code auf dem Monitor scannen und die auf dem Smartphone angezeigte TAN auf der Website eintippen.

Mit der Zwei-Faktor-Authentisierung wollen Webangebote eines der großen Sicherheitsprobleme der vergangenen Jahre in den Griff bekommen. Trotz zahlreicher Warnungen, Aufklärungskampagnen und Sicherheitshinweise verwenden viele Anwender nach wie vor unsichere Passwörter, die zu kurz und/oder leicht zu erraten sind. Mit einer zusätzlichen Absicherung lässt sich die Sicherheit der Onlineanmeldung deutlich erhöhen. Selbst wenn es dann einem Angreifer gelingt, beispielsweise die Eingabe von Benutzernamen und Passwort bei einem Dienst zu beobachten oder das Passwort zu knacken, kann er sich nicht einloggen, da ihm die einmalig generierte und ans Smartphone geschickte TAN fehlt. Hat der Kontobesitzer ein biometrisches Merkmal als zweiten Faktor definiert, so müsste der Angreifer einen hohen Aufwand betreiben, um an eine Kopie etwa des verwendeten Fingerabdrucks oder eines Iris-Scans zu gelangen. Zwar haben Sicherheitsforscher bereits vor Jahren gezeigt, wie sich diese Scans oder auch eine Gesichts- beziehungsweise Stimmerkennung überlisten lassen. Tatsächlich funktionieren solche Tricks jedoch nahezu ausschließlich nur in speziellen Fällen oder unter Laborbedingungen und erfordern eine hohe kriminelle Energie. Bei Hochsicherheitseinrichtungen kommt teilweise auch eine Multifaktor-Authentisierung (MFA) zum Einsatz. Sie ergänzt eine 2FA noch um ein oder mehrere weitere Komponenten.

Auch Amazon unterstützt in seinen Kontoeinstellungen eine Anmeldung mit 2FA. In diesem Fall ist der Microsoft Authenticator als zusätzliches Authentisierungsverfahren ausgewählt.
Vergrößern Auch Amazon unterstützt in seinen Kontoeinstellungen eine Anmeldung mit 2FA. In diesem Fall ist der Microsoft Authenticator als zusätzliches Authentisierungsverfahren ausgewählt.

Windows und 2FA

Windows unterstützt eine Zwei-Faktor-Authentisierung, bietet sie jedoch selbst für die Anmeldung nicht an (siehe dazu auch den Kasten unten). Das hat sich auch in Windows 11 nicht geändert. Das Betriebssystem hält mehrere Anmeldevarianten bereit, die Sie als Alternative zum Log-in mit Benutzernamen und Passwort einsetzen können. Sie können diese Varianten zwar für eine Zwei-Faktor-Authentisierung bei Ihrem Microsoft-Konto verwenden, nicht jedoch bei Windows selbst. Selbst wenn Sie sich mit Ihrem Microsoft-Konto bei Windows anmelden, können Sie keine 2FA für die Windows-Anmeldung nutzen.

Sobald Sie allerdings auf die Microsoft-Cloud zugreifen, also auf Onedrive, auf die Onlineversionen der Office-Programme von Microsoft 365 oder auf Outlook.com, können Sie zentral eine zusätzliche Sicherheitsabfrage einschalten. Rufen Sie dazu in Ihrem Browser die Adresse https://login.live.com auf und melden Sie sich bei Ihrem Microsoft-Konto an. Öffnen Sie das Register „Sicherheit“ und darin auf „Erweiterte Sicherheitsoptionen“. Scrollen Sie nach unten zum Abschnitt „Zusätzliche Sicherheitsoptionen“ und klicken Sie dort unter „Zweistufige Überprüfung“ auf „Aktivieren“. Klicken Sie im folgenden Fenster auf „Weiter“. Microsoft fragt nun ab, ob Sie Ihre Mails in Outlook.com mit einem Smartphone synchronisieren. Falls ja, müssen Sie in der Outlook-App ein Kennwort eintippen, das Sie von Microsoft zugeschickt bekommen. Falls nicht, klicken Sie auf „Weiter“. Im letzten Fenster geht es um den Zugriff auf Geräte und Anwendungen, welche 2FA nicht unterstützen. Dabei handelt es sich um ältere Software wie etwa Office 2010 oder Windows Phone 8 und die Xbox 360, die kein 2FA unterstützen. Diese Programme und die Spielkonsole lassen sich stattdessen durch ein zusätzliches App-Kennwort schützen. Anschließend fragt Windows Sie nach Ihrem Benutzernamen und dem Passwort, um die Änderungen zu bestätigen.

Sie können mehrere Sicherheitsverfahren parallel aktivieren. Auf diese Weise haben Sie noch eine Absicherung, falls Ihnen beispielsweise die definierte PIN partout nicht einfallen will.
Vergrößern Sie können mehrere Sicherheitsverfahren parallel aktivieren. Auf diese Weise haben Sie noch eine Absicherung, falls Ihnen beispielsweise die definierte PIN partout nicht einfallen will.

Nun geht es darum festzulegen, welcher zweite Faktor bei der Konto-Anmeldung eingesetzt werden soll. Die Auswahl finden Sie im Register „Sicherheit“ im Abschnitt „Möglichkeiten zum Nachweisen Ihrer Identität“. Über „Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen“ bekommen Sie Zugriff auf die verfügbaren Faktoren:

  • Kennwort eingeben: Dabei handelt es sich um die Standard-Anmeldung mit Benutzernamen und Passwort.

  • Code per Mail senden: Nach Aktivieren dieser Option schickt Ihnen Microsoft für jede Anmeldung einen Prüfcode, den Sie auf der Webseite eintippen müssen.

  • Anmeldebenachrichtigung senden: Hierfür benötigen Sie die Authenticator-App oder ein kompatibles Programm.

  • Sicherheitsschlüssel verwenden: Diese Option bezieht sich auf einen Fido2-Stick, der normalerweise als Chip mit USB-Anschluss ausgeführt ist. Solche Sticks kosten zwischen 20 und 60 Euro und lassen sich in den „Einstellungen“ von Windows unter „Konten –› Anmeldeoptionen –› Sicherheitsschlüssel“ konfigurieren.

  • Windows-PC verwenden: Damit meint Microsoft die Anmeldevarianten, die Windows in den „Einstellungen“ bei „Konten –› Anmeldeoptionen“ unter dem Oberbegriff „Windows Hello“ bereitstellt. Zur Auswahl stehen eine Gesichts- und eine Fingerabdruck-Erkennung und die Eingabe einer PIN.

Nach einem Klick auf „Weitere Optionen anzeigen“ erscheint noch diese Variante:

  • Code per SMS senden: Hierbei bekommen Sie bei der Anmeldung an Ihrem Microsoft-Konto im Browser automatisch eine SMS mit einem Prüfcode zugeschickt, den Sie eintippen müssen. Diese Variante gilt mittlerweile allerdings als unsicher, vor allem, wenn Sie mit dem Smartphone oder Tablet auf den mit 2FA geschützten Dienst zugreifen. Denn es existieren Trojaner-Viren, die zum einen die Anmeldung überwachen und zum anderen den Code in der Bestätigungs-SMS auslesen und sofort an einen Hacker weiterleiten. Wenn er schnell genug ist und die Gültigkeitsdauer des Codes nicht überschreitet, kann er unter Ihrer Benutzerkennung auf Ihr Konto zugreifen. Wahrscheinlich ist das nicht, aber möglich. Verwenden Sie diese Methode daher nur, wenn Sie das Microsoft-Konto auf Ihrem PC öffnen.

Das Microsoft-Konto bietet verschiedene Möglichkeiten der Anmeldung an. Die unsichere 2FA per SMS wird erst nach einem zusätzlichen Klick angezeigt.
Vergrößern Das Microsoft-Konto bietet verschiedene Möglichkeiten der Anmeldung an. Die unsichere 2FA per SMS wird erst nach einem zusätzlichen Klick angezeigt.

Wie Authenticator-Apps arbeiten

Apps wie der Microsoft Authenticator oder der Google Authenticator bieten eine einfache Möglichkeit, eine sichere Zwei-Faktor-Authentisierung einzurichten. Sie arbeiten ebenso wie die SMS- und Mail-Verfahren mit einem sechs- oder achtstelligen Einmalkennwort, das in der Regel aus Ziffern besteht. Das Kennwort ist allerdings jeweils nur 30 Sekunden lang gültig und wird anschließend durch einen neuen Code ersetzt. Ein Hacker hätte also lediglich 30 Sekunden Zeit, um den Code abzugreifen.

Authenticator-Apps sind nicht an einen bestimmten Dienst gebunden, sondern können in der Regel dank des standardisierten TOTP- (Time-based One-time Password) beziehungsweise OTP-Algorithmus der Internet Engineering Task Force (IETF) für mehrere Dienste benutzt werden.

Apps wie der Microsoft Authenticator eignen sich für die Anmeldung an mehreren mit 2FA Online-Konten.
Vergrößern Apps wie der Microsoft Authenticator eignen sich für die Anmeldung an mehreren mit 2FA Online-Konten.

Sie können sich also mit dem Microsoft Authenticator auch bei Ihrem Google-Konto anmelden. Der Onlinedienst erzeugt dazu einen Software-Token, in den auch die aktuelle Uhrzeit einfließt, und setzt diesen Code in einen QR-Code oder wahlweise in einen Sicherheitsschlüssel um. Die Authenticator-App auf dem Smartphone scannt den Code, alternativ dazu tippt ihn der Anwender in die App ein. Der Token wird schließlich beim Anbieter und auf dem Smartphone gespeichert und sorgt dafür, dass die bei der Anmeldung angezeigten Einmalkennwörter auf dem Smartphone vom Onlinekonto akzeptiert werden. Die Anmeldung per Authenticator-App funktioniert auch dann, wenn das Smartphone nicht online ist.

Um sich bei Google per Microsoft Authenticator anzumelden, öffnen Sie Ihr Google-Konto, gehen ins Register „Sicherheit“ und weiter zu „Bei Google anmelden“ und klicken neben „Bestätigung in zwei Schritten“ ganz rechts auf den nach rechts weisenden Pfeil. Geben Sie Benutzernamen und Passwort ein und bestätigen Sie mit „Weiter“.

Auch Google ermöglicht eine zweistufige Authentisierung bei den Benutzerkonten. Nachdem Sie das Konto im Google Authenticator hinterlegt haben, nennen die Einstellungen die Bezeichnung Ihres Smartphones.
Vergrößern Auch Google ermöglicht eine zweistufige Authentisierung bei den Benutzerkonten. Nachdem Sie das Konto im Google Authenticator hinterlegt haben, nennen die Einstellungen die Bezeichnung Ihres Smartphones.

Aktivieren Sie auf der folgenden Seite zunächst die Bestätigung in zwei Schritten. Scrollen Sie nach unten zum Abschnitt „Authenticator App“, und klicken Sie auf „Smartphone ändern“. Google fragt Sie nun, ob Sie ein Android-Gerät oder ein iPhone besitzen. Wählen Sie Ihr Modell aus und klicken Sie auf „Weiter“. Nun erscheint ein QR-Code. Öffnen Sie den Authenticator auf Ihrem Smartphone und tippen Sie rechts oben auf das Menüsymbol mit den drei Punkten. Tippen Sie auf „Konto hinzufügen“ und „Anderes Konto“ und scannen Sie den angezeigten Code auf dem Monitor.

Auf diese Weise können Sie weitere Onlinedienste, etwa Amazon, Facebook, Dropbox, mit einer 2FA absichern und über einen Authenticator verwalten. Nur Microsoft selbst lässt nicht zu, dass seine Konten über alternative Authenticator-Apps aufgerufen werden. Das Microsoft-Konto zeigt keinen zur Einrichtung benötigten QR-Code an.

Neben den Authenticator-Apps von Microsoft und Google gibt es noch eine Reihe von Programmen unabhängiger Hersteller. Empfehlenswert ist etwa Twilio Authy , das den Token verschlüsselt in der Cloud speichert, sodass Sie mit mehreren Mobilgeräten auf die Codes zugreifen können.

In der Mobile-App von Adselfservice Plus können Sie das 2FA-Verfahren einstellen, mit dem Sie Ihre Windows- Anmeldung absichern möchten.
Vergrößern In der Mobile-App von Adselfservice Plus können Sie das 2FA-Verfahren einstellen, mit dem Sie Ihre Windows- Anmeldung absichern möchten.

Übersicht: Dienste & Services mit sicherer 2-Faktor-Authentifizierung

PC-WELT Marktplatz

1935646