Einmal-Kennwörter, richtig gemacht

Die meisten Ratgeber zur Internet-Sicherheit erteilen folgenden Rat: «Sichern Sie Ihre Online-Konten wenn immer möglich mit der 2-Wege-Anmeldung ab!»

Das heisst: Zur Anmeldung reichen Benutzername und Kennwort nicht. Es braucht ein weiteres Element, das nur Sie kennen. Dieses Vorgehen nennt sich «2-Wege-Anmeldung», auf Englisch «2-Factor-Authentication» oder kurz «2FA». Im Folgenden werden wir das Verfahren mit diesem Kürzel benennen.

Die 2FA ist beim Online-Banking seit jeher Pflicht: Die Geldhäuser schicken bei der Anmeldung eine SMS, zeigen einen QR-Code oder verteilen Zugangskarten, die einen Code generieren (etwa das «gelbe Kästchen» der PostFinance). Ohne diese Zusätze bleiben Sie draussen. Das gilt allerdings auch für einen Datendieb, der mit Kennwort allein nichts anfangen kann.

Es gibt also verschiedene Verfahren zur 2FA. Relativ einfach und komfortabel sind die Einmal-Kennwörter, im Englischen «One-Time-Password» genannt und mit OTP abgekürzt. (Das ist die zweite und letzte Abkürzung, die Sie in diesem Fall kennen müssen, versprochen!)

Ein Einmal-Kennwort oder OTP ist – wer hätte es geahnt – ein Kennwort, das nur einmal gültig ist und nach seiner Verwendung sofort entwertet wird. Ein typisches Beispiel vergangener Tage sind die Streichlisten mit Codes, die von der Bank ausgehändigt wurden und nach ihrer Verwendung durchgestrichen wurden.

Die Verwendung solcher Streichlisten wäre heutzutage nicht nur aufwendig, sondern schlichtweg unmöglich. So wird Googles kostenloser Dienst Gmail von mehr als einer Milliarde Menschen genutzt. Es ist kaum vorstellbar, dass Google Streichlisten in die hintersten Ecken der Welt per Post verschickt.