2491415

Zwei-Faktor-Anmeldung: Wenn der beste Schutz versagt

15.03.2020 | 08:03 Uhr | Arne Arnold

Ihre wichtigen Onlinekonten verdienen den bestmöglichen Schutz. Dazu zählt vor allem die Zwei-Faktor-Anmeldung. Doch gerade dieser Schutz birgt einige Fallen, in die viele Anwender ahnungslos hineintappen. Wir sagen, worauf Sie achten müssen, um bestens geschützt zu sein und zu bleiben.

Für alle wichtigen Onlinekonten sollten Sie nur den besten Schutz einrichten. Wichtig sind vor allem jene Konten bei Bezahldiensten. Wichtig sind aber auch Konten, die viele Details zu Ihrer Identität preisgeben. Und schließlich verdient Ihr Mailpostfach den besten Schutz. Denn wenn ein Angreifer Zugang zu Ihren Mails hat, kann er sich über die Passwort-Zurücksetzen-Funktion Zugang zu sehr vielen Ihrer anderen Dienste verschaffen.

Der beste Schutz 

Aktuell zählt zum besten Schutz die Zwei- Faktor-Authentifizierung. Besonders sensible Konten, etwa Ihr Passwortmanager, sollten zudem nach dem Zero-Knowledge-Prinzip arbeiten. Ein einmaliges und kompliziertes Passwort für jeden Login gehört selbstverständlich auch dazu.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) soll den Zugangsschutz zu einem Konto erhöhen und dabei auch als Identitätsnachweis des Nutzers dienen. Bei einem mit 2FA geschützten Konto müssen Sie sich bei einer Anmeldung mit Benutzername und Passwort sowie zusätzlich mit einem Code ausweisen. Dieser Code stammt allgemein gesagt aus den Bereichen Wissen, Besitz oder Merkmal. Idealerweise wird er über einen zweiten Kanal übermittelt. Banken zum Beispiel verlangen einen solchen Zusatzcode aus einer App oder einer SMS.

Welchen Nutzen hat die 2FA? 

Log-in-Daten, also Benutzername und Passwort, werden oft gestohlen und im Internet verkauft. Einen unberechtigten Zugriff kann dann nur noch die 2-Faktor-Authentifizierung verhindern. Denn hier fehlt dem Einbrecher zu den Log-in-Daten noch der zweite Faktor, zum Beispiel das Handy des Kontoinhabers.

Fido 2: Was taugt die neue Anmeldetechnik ohne Passwort?

Welche zweite Faktoren gibt es?

Auf der Website https://twofactorauth.org sehen Sie, welche Dienste bereits eine Zwei-Faktor-Authentifizierung anbieten und welche Faktoren mindestens unterstützt werden.
Vergrößern Auf der Website https://twofactorauth.org sehen Sie, welche Dienste bereits eine Zwei-Faktor-Authentifizierung anbieten und welche Faktoren mindestens unterstützt werden.

Zu den gängigen Methoden der Zwei-Faktor-Authentifizierung gehören folgende zweite Faktoren: Code per SMS, Code auf eine zweite Mailadresse, Authenticator-App, biometrische Merkmale wie der Fingerabdruck oder Hardware-Token. Die Hardware gibt es mit Display, USB, NFC und Bluetooth. Seit einiger Zeit können auch Smartphones an sich als zweiter Faktor dienen.

Einrichtung: Allen Faktoren gemeinsam ist, dass Sie diese in den Einstellungen des jeweiligen Dienstes aktivieren und anschließend verifizieren müssen. Wenn Sie zum Beispiel eine Handy-Nummer angeben, um darüber den Zusatzcode per SMS zu empfangen, erhalten Sie bei der Aktivierung eine erste SMS, die Sie umgehend in den Einstellungen eingeben müssen, um 2FA zu aktivieren.

Onlinedienste mit 2FA: Einen Überblick über Dienste, die einen Log-in mit zwei Faktoren anbieten, liefert die Website https://twofactorauth.org . Einen ausführlichen Ratgeber zur Einrichtung von 2FA bei beliebten Diensten finden Sie hier .

Mit der App Google Authenticator erzeugen Sie Zusatzcodes für den Zugang zu 2FA-geschützten Konten. Die Codes werden alle 30 Sekunden neu generiert.
Vergrößern Mit der App Google Authenticator erzeugen Sie Zusatzcodes für den Zugang zu 2FA-geschützten Konten. Die Codes werden alle 30 Sekunden neu generiert.

Ist 2FA nicht umständlich? 

Viele Dienste mit 2FA erlauben es, einen Browser oder eine App einmal mit dem zweiten Faktor zu registrieren. Danach ist für diesen Browser oder diese App kein zweiter Faktor mehr nötig. Die Anwendung wird in eine Liste von „vertrauenswürdigen“ Programmen und Geräten aufgenommen. Der Zusatzcode wird erst wieder abgefragt, wenn Sie sich mit einem anderen Gerät einloggen möchten.

Was bedeutet Zero Knowledge?

Der beste Schutz für ein Konto funktioniert nach dem „Zero Knowledge“-Prinzip. Ein Anbieter, der so arbeitet, bekommt die Daten des Nutzers nur verschlüsselt zu sehen. Und er hat keinen Schlüssel für diese Daten. Das wird allerdings nur von sehr wenigen Diensten angeboten, da die technische Umsetzung schwierig ist und die möglichen Probleme groß sind.

Der Vorteile von „Zero Knowledge“: Selbst wenn der Dienst gezwungen wird, die Daten seiner Kunden herauszugeben, etwa an einen Geheimdienst, bleiben sie sicher. Denn stark verschlüsselte Daten kann auch die NSA nicht ohne Weiteres knacken.

Beispiele für Zero-Knowledge-Dienste sind Passwortmanager wie Lastpass  und Cloudspeicher wie Tresorit .

Probleme 

Die besonderen Schutzfunktionen von 2FA bergen auch Fallen. Auf die folgenden sieben Punkte sollten Sie deshalb achten.

1. Der Code wird nicht akzeptiert 

Solche einmal gültigen Notfallcodes sollten Sie sich für jedes 2FA-geschützte Konto speichern. Sie sind im Notfall Gold wert und können auch auf Reisen mitgenommen werden (Punkt 2).
Vergrößern Solche einmal gültigen Notfallcodes sollten Sie sich für jedes 2FA-geschützte Konto speichern. Sie sind im Notfall Gold wert und können auch auf Reisen mitgenommen werden (Punkt 2).

Problem: Sie nutzen eine Authenticator-App auf dem Smartphone, um den Zusatzcode für den Log-in zu generieren. Dieser wird aber nicht akzeptiert.

Lösung: Das Problem tritt auf, wenn Sie die Uhrzeit auf Ihrem Smartphone verstellt haben. Diese ist ein Bestandteil beim Erzeugen der 2FA-Codes. Schließlich wird der Code auf Ihrem Smartphone und auf dem Server des 2FA-Dienstes gleichzeitig erstellt und dann miteinander verglichen. Stimmt die Uhrzeit nicht, passen die Codes nicht zusammen. Korrigieren Sie also die Zeiteinstellungen Ihres Handys.

2. Der zweite Schlüssel fehlt  

Dilemma: Wer sein Smartphone verliert, würde es gerne von Google orten lassen. Doch dafür muss man sich in sein Google-Konto einloggen. Dumm nur, wenn man für die Anmeldung das Smartphone als zweiten Faktor benötigt.
Vergrößern Dilemma: Wer sein Smartphone verliert, würde es gerne von Google orten lassen. Doch dafür muss man sich in sein Google-Konto einloggen. Dumm nur, wenn man für die Anmeldung das Smartphone als zweiten Faktor benötigt.

Problem: Zu den größten und vielgestaltigsten Problemen zählt ein verschwundener zweiter Schlüssel. Schwerwiegend wirkt so ein Verlust besonders auf Reisen.

Ein Beispiel: Ihr Google-Konto haben Sie per 2FA mit einer Authenticator-App geschützt, da Sie Google-Mail, -Kalender und viele andere Google-Dienste nutzen. Nun sind Sie im Urlaub und können Ihr Android-Smartphone nicht finden. Gerne würden Sie sich auf dem Hotel-PC bei www.google.com/android/find einloggen, um Ihr Handy lokalisieren zu lassen. Doch dafür müssen Sie sich bei Ihrem Google-Konto anmelden. Für die Anmeldung benötigen Sie aber Ihr Smartphone, da darauf die Authenticator-App arbeitet …

Wenn Sie das Smartphone zudem für Ihren Passwortsafe brauchen, ist das Dilemma perfekt. 

Lösung: Sie benötigen einen Ersatz für den verschwundenen zweiten Schlüssel. Viele Dienste bieten dafür Notfallcodes an, die ein einziges Mal gelten. Diese können Sie in den Diensteinstellungen erzeugen und ausdrucken. Alternativ richten Sie zuvor weitere zweite Schlüssel ein, etwa einen Hardware-Token, den Sie auf Reisen dabei haben.

Übrigens: Wenn Sie zu Hause den zweiten Schlüssel verlieren, ist das meist weniger schlimm. Denn dort hat man oft ein Gerät als vertrauenswürdig eingestuft und kann sich dort auch ohne zweiten Schlüssel in den Dienst einloggen.

Außerdem: Falls Ihr Smartphone, also der zweite Schlüssel, in falsche Hände gerät, muss dieses gut vor Zugriffen geschützt sein, damit der Dieb nicht auf Ihre Codes zugreifen kann. Fürs Smartphone empfiehlt sich die Display-Sperre, die Sie per Fingerabdruck oder PIN schützen. Am Notebook ist ein gutes Windows-Kennwort oder auch eine biometrische Sperre mit Windows Hello  sinnvoll.

Schließlich sollten Sie nach einem Geräteverlust in die Einstellungen Ihrer 2FA-Dienste gehen und das verlorene Smartphone aus der Liste der vertrauenswürdigen Geräte entfernen.

Relevant: Phishing-Mails erkennen - Tipps zur Schadenbegrenzung

3. Die 2FA-App wird neu installiert

Problem: Sie nutzen als 2FA-Methode eine Authenticator-App. Beim Wechsel auf ein neues Smartphone müssen Sie auch die Authenticator App neu installieren. In der Folge sind alle Zusatzcodes – und damit der zweite Faktor – aus der App verschwunden.

Hintergrund: Das liegt an der Funktionsweise der Authenticator-Apps. Wenn Sie einen 2FA-Dienst mit der App verbinden, wird in dieser App ein einmaliger Schlüssel erzeugt. Dieser erstellt alle 30 Sekunden neue Zusatzcodes für den Log-in in den Dienst. Aus Sicherheitsgründen bleibt der einmalige Schlüssel bei den meisten Authenticator-Apps in der App gespeichert und wird nicht mit anderen Geräten synchronisiert.

Die Folge: Wenn Sie Ihre Authenticator-Apps auf ein neues Gerät umziehen, wandern die einmaligen Schlüssel nicht mit. Leserberichten zufolge kann das auch passieren, wenn das Smartphone ein Betriebssystem-Update bekommt: Nach dem Update startete die Authenticator-App ohne Zusatzcodes.

Lösung: Sie müssen auf dem neuen Smartphone die 2FA-App neu bei Ihren 2FADiensten anmelden. Dafür benötigen Sie zunächst noch Ihr altes Smartphone, um sich mit der alten Authenticator-App bei den Diensten einloggen zu können. Erst wenn Sie alle 2FA-Dienste in der neuen Authenticator-App angemeldet haben, dürfen Sie die alte App löschen.

Ist es bereits zu spät und die alte 2FA-App ist bereits gelöscht, dann hilft die Lösung von Punkt 2

Alternativ können Sie auch eine Authenticator-App mit Backup-Funktion verwenden, etwa Authy . Diese speichert auf dem Server des Herstellers ein Backup der Schlüssel. So ein Backup schwächt allerdings den 2FA-Schutz. Denn wenn der Hersteller-Server gehackt wird, können Ihre 2FA-Codes in falsche Hände geraten.

4. Der Token passt nicht mehr

Google bietet drei Hardware- Token für den 2FASchutz an. Allerdings verkauft Google diese noch nicht im deutschen Google-Store. Alternativen gibt es etwa bei Yubikey.
Vergrößern Google bietet drei Hardware- Token für den 2FASchutz an. Allerdings verkauft Google diese noch nicht im deutschen Google-Store. Alternativen gibt es etwa bei Yubikey.
© Google

Problem: Sie nutzen einen Hardware-Token mit Bluetooth-Verbindung. Dann können gleich zwei Probleme auftreten. Der Akku des Token ist leer oder die Bluetooth-Verbindung zu einem neuen Smartphone kommt nicht zustande.

Lösung: Laden Sie den Akku des Bluetooth-Token wieder auf. Und sollte es zu Verbindungsproblemen kommen, versuchen Sie es mit einem beliebigen anderen Smartphone.

5. 2FA-Konten und Phishing 

Problem: Klassisches Phishing, also das Stehlen von Zugangsdaten, ist auch bei 2FA-Konten möglich. Grundsätzlich läuft auch dieser Angriff über eine gefälschte Website, mit der ein Angreifer die Log-in-Daten abfischt. Die Besonderheit in diesem Fall besteht darin, dass der Diebstahl in Echtzeit stattfinden muss. Denn der Zusatzcode für den Log-in ist meist nur für sehr kurze Zeit gültig. Die Kriminellen müssen sich also in dem Moment in das Konto des Opfers einloggen, in dem das Opfer seinen Code an sie sendet. Weniger eilig haben es die Kriminellen, wenn sie den SMS-Code mit einer verseuchten App stehlen können. Solche Apps haben es sogar in den Google Play Store geschafft.

Lösung: Gegen Angriffe per Phishing hilft nur allergrößtes Misstrauen gegen alle Mails, die von Ihnen Log-in-Daten fordern. Es gibt aber auch 2FA-Methoden, die als sicher gegen Phishing-Angriffe gelten. Das sind Hardware-Token, die den Zusatzcode direkt an den 2FA-Dienst senden. So bekommen ihn die Phisher nicht zu sehen.

6. SIM-Swapping stiehlt SMS-Codes 

Hinter dieser Bitcoin-App steckt ein Schadcode, der SMS-Codes stehlen kann und somit den 2FA-Schutz aushebelt. Entdeckt hat sie der Antivirenspezialist Eset in Googles Play Store.
Vergrößern Hinter dieser Bitcoin-App steckt ein Schadcode, der SMS-Codes stehlen kann und somit den 2FA-Schutz aushebelt. Entdeckt hat sie der Antivirenspezialist Eset in Googles Play Store.

Problem: Sie nutzen SMS-Codes als zweiten Faktor. Kriminelle können sich aber Ihre SIM-Karte ergaunern, indem sie bei Ihrer Telefongesellschaft eine Ersatzkarte beantragen. Sobald sie diese erhalten haben, bekommen die Kriminellen die 2FA-Codes auf ihr Handy zugeschickt. Der Trick nennt sich SIM-Swapping und wurde bereits gegen viele Onlinebankingkunden und Nutzer von Online-Bitcoin-Wallets angewendet. Mit dem Aufkommen der neuen eSIM-Karten gibt es nun wieder mehr Versuche des SIM-Swappings. Da kein Versand der SIM-Karte mehr nötig ist, gelingt der SIM-Swapping-Trick bei der eSIM leichter.

Lösung: Wichtige 2FA-Konten sollten Sie nicht per SMS-Code schützen. Setzen Sie für wichtige Konten eher auf einen Hardware-Token, etwa einen USB-Key oder nutzen Sie zumindest eine Authenticator-App.

7. Kein Passwort-Reset möglich 

Problem: Sie nutzen einen Dienst, der nach dem Zero-Knowledge-Prinzip arbeitet, und haben Ihr Zugangspasswort vergessen. Sie können sich entsprechend nicht mehr anmelden.

Lösung: Für dieses Problem gibt es genau genommen keine Lösung, außer der, dass Ihnen Ihr Passwort wieder einfällt. Denn solche Dienste bieten prinzipbedingt keine Passwort-Zurücksetzen-Funktion.

Allerdings haben einige Zero-Knowledge-Dienste noch eine Notlösung in petto. Sie haben einen persönlichen Wiederherstellungsschlüssel auf dem Gerät des Nutzers hinterlegt. Das ist etwa bei den Passwort-Tresoren Lastpass  und – nur für Firmen – Dashlane Business der Fall. 

Um den Wiederherstellungsschlüssel nutzen zu können, benötigen Sie einen weiteren Schlüssel vom Hersteller. Dieser rückt ihn aber nur heraus, wenn Sie sich als Inhaber des fraglichen Kontos ausweisen können. Ist Ihnen das gelungen, sendet Ihnen zum Beispiel Lastpass den Schlüssel per SMS an Ihre Handynummer, die Sie aber zuvor bereits in Ihrem Lastpass-Konto hinterlegt haben müssen. Sie können mit diesem Schlüssel allerdings nur auf dem Rechner etwas anfangen, den Sie mit Lastpass bereits genutzt haben. Denn nur dort befindet sich der individuelle Wiederherstellungskey.

Vorsicht: Die meisten Zero-Knowledge-Dienste bieten keine Notfall-Lösungen wie Lastpass, da sie damit das Zero-Knowledge-Prinzip schwächen würden. 

Tipps für Zwei-Faktor-geschützte Dienste

Wenn Sie für einen Dienst die 2-Faktor-Authentifizierung einrichten, sollten Sie diese Punkte berücksichtigen.

1. Erstellen Sie Notfallcodes, drucken Sie diese aus und verwahren Sie sie sicher. Einer der Codes sollte auf Reisen immer mit dabei sein.

2. Aktivieren Sie mehr als eine 2FA-Methode. Nutzen Sie etwa eine Authenticator-App und zusätzlich einen Hardware-Token. So haben Sie Ersatz, falls die Notfallcodes nicht zur Hand sind.

3. Für besonders schützenswerte Konten sollten Sie keine 2FA-Codes per SMS nutzen. Denn Kriminelle können die SIM-Karte stehlen oder per Phishing an die SMS-Codes gelangen.

4. Für alle anderen 2FA-Dienste sollten Sie Ihre Handy-Nummer als Notfallkontakt hinterlegen. So kann Sie der Dienst bei Zugangsproblemen erreichen.

5. Kontrollieren Sie regelmäßig, welche Geräte als vertrauenswürdig in einem 2FA-Dienst gespeichert sind.


+++ WERBUNG: Reduzierte Lenovo Gaming-Notebooks mit Core i5 9300H und Nvidia GTX 1650:
► mit 15"-Display, 8 GB RAM und 512 GB SSD für nur 666 Euro: otto.me/32zxV8t
► mit 17"-Display, 8 GB RAM und 512 GB SSD für nur 699,99 Euro: otto.me/3cciCXS
► mit 15"-Display, 16 GB RAM und 1 TB SSD für nur 777 Euro: otto.me/32zxOK5
► mit 17"-Display, 16 GB RAM und 1 TB SSD für nur 799,99 Euro: otto.me/2wd5XDq
► Weitere reduzierte Notebooks von Lenovo: otto.me/32z724w
+++ WERBUNG ENDE +++

Die Themen in Tech-up Weekly #179:

► Google Pay: So deaktiviert Ihr Paypal als Bezahlart:
www.pcwelt.de/2489362

► AMD: GPU mit 5.120 Kernen und 24 GB RAM geleakt:
www.pcwelt.de/2489670

► Milliarden WLAN-Geräte unsicher:
www.pcwelt.de/2490078

► Xperia 1 II: Erstes Sony-Smartphone mit 5G:
www.pcwelt.de/2489465

► Disney+ jetzt vorbestellen für 5 Euro pro Monat:
www.pcwelt.de/2489253

► iPhone 12: Mögliche Verzögerungen:
www.macwelt.de/2489893

► Xbox Series X mit 12-Teraflops-GPU & weitere Infos:
www.pcwelt.de/2487999

► Erfinder des Konami Code ist gestorben:
www.pcwelt.de/2490062

► BSI: 5 Jahre Sicherheits-Updates für alle Smartphones:
www.pcwelt.de/2489880

► Flat-Earth-Anhänger stirbt in eigener Rakete:
www.pcwelt.de/Forschung 2489194

Fail der Woche:

► Kurt0411: YouTuber wegen Beleidigungen für sämtliche EA-Games gesperrt:
www.pcwelt.de/2489673

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

PC-WELT Marktplatz

2491415