Bösen Buben keine Chance! 24.03.2020, 11:34 Uhr

Einmal-Kennwörter, richtig gemacht

Die 2-Wege-Anmeldung verhindert den Missbrauch von Kennwörtern – und mit Wegwerf-Kennwörtern wird sie erst noch komfortabel. Eine Anleitung.
Alles beginnt mit einem QR-Code
(Quelle: Screenshot / ze )

Crashkurs 2-Wege-Anmeldung

Die meisten Ratgeber zur Internet-Sicherheit erteilen folgenden Rat: «Sichern Sie Ihre Online-Konten wenn immer möglich mit der 2-Wege-Anmeldung ab!»
Das heisst: Zur Anmeldung reichen Benutzername und Kennwort nicht. Es braucht ein weiteres Element, das nur Sie kennen. Dieses Vorgehen nennt sich «2-Wege-Anmeldung», auf Englisch «2-Factor-Authentication» oder kurz «2FA». Im Folgenden werden wir das Verfahren mit diesem Kürzel benennen.
Die 2FA ist beim Online-Banking seit jeher Pflicht: Die Geldhäuser schicken bei der Anmeldung eine SMS, zeigen einen QR-Code oder verteilen Zugangskarten, die einen Code generieren (etwa das «gelbe Kästchen» der PostFinance). Ohne diese Zusätze bleiben Sie draussen. Das gilt allerdings auch für einen Datendieb, der mit Kennwort allein nichts anfangen kann.
Ein Klassiker der 2FA, aber auf einen Dienst beschränkt und deshalb unpraktisch
Quelle: Screenshot / ze

Einmal-Kennwörter

Es gibt also verschiedene Verfahren zur 2FA. Relativ einfach und komfortabel sind die Einmal-Kennwörter, im Englischen «One-Time-Password» genannt und mit OTP abgekürzt. (Das ist die zweite und letzte Abkürzung, die Sie in diesem Fall kennen müssen, versprochen!)
Ein Einmal-Kennwort oder OTP ist – wer hätte es geahnt – ein Kennwort, das nur einmal gültig ist und nach seiner Verwendung sofort entwertet wird. Ein typisches Beispiel vergangener Tage sind die Streichlisten mit Codes, die von der Bank ausgehändigt wurden und nach ihrer Verwendung durchgestrichen wurden.
Die gute alte Streichliste: Diese Form der 2FA vermisst wohl niemand
Quelle: PCtipp / ze
Die Verwendung solcher Streichlisten wäre heutzutage nicht nur aufwendig, sondern schlichtweg unmöglich. So wird Googles kostenloser Dienst Gmail von mehr als einer Milliarde Menschen genutzt. Es ist kaum vorstellbar, dass Google Streichlisten in die hintersten Ecken der Welt per Post verschickt.

Zeitbasierte OTP

Zu den populärsten Methoden heute zählen die zeitbasierten OTP: Der sechsstellige Zahlencode läuft nach etwa 30 Sekunden ab, um sogleich einem neuen Platz zu machen – ganz egal, ob der Vorgänger in der Zwischenzeit zum Einsatz kam.
Dieser Code ist nur eine halbe Minute lang gültig
Quelle: Screenshot / ze
Token. Für die Erzeugung diese Codes wird ein «Token» verwendet: Dieses nicht zu übersetzende Wort beschreibt Geräte oder Programme, die Sicherheitselemente anfertigen können. Bei privaten Anwendern handelt es sich dabei meistens um das Smartphone, das meistens nur eine Armlänge entfernt herumliegt. Das Smartphone wird also zum Token.
Zeitkritisch. Der Server des Anbieters generiert diese Codes ebenfalls und wird Sie nur einlassen, wenn der Code übereinstimmt. Dazu ist es wichtig, dass die Uhrzeit des Servers mit jener des Tokens übereinstimmt, wobei unterschiedliche Zeitzonen kein Problem sind. Da ein Smartphone die Uhrzeit automatisch und präzise nachjustiert, können Sie diesen Aspekt getrost ignorieren.

Vorteile in der Praxis

OTPs bieten einige angenehme Eigenschaften.
Komfort. Zum einen ist der Code sehr komfortabel abzulesen und einzugeben – denn eine aktivierte 2FA sollte so wenig Arbeit machen, wie nur möglich.
Keine Telefonnummer. Ausserdem müssen Sie für die 2FA Ihre heilige Mobilnummer nicht preisgeben, wie es zum Beispiel bei einer SMS der Fall wäre. Mehr noch: Sie brauchen überhaupt keine Mobilnummer, sondern generieren diese Codes bei Bedarf auch am Tablet. Die Mobilnummer ist kein Bestandteil dieses Systems. Sie wird jedoch bei einigen Apps für die Registrierung verlangt, wie wir noch sehen werden.
Synchronisierung. Wenn die verwendete App dazu in der Lage ist, lassen sich die Token zwischen mehreren Geräten synchronisieren. Das kann neben dem Smartphone auch das eigene Tablet oder das Smartphone des Partners sein.

Wer macht mit?

Voraussetzungen. Die erste Voraussetzung besteht natürlich darin, dass der Dienst diese Form der 2FA überhaupt anbietet. Nicht alle machen dabei mit; so verwendet Apple ein eigenes System. Andere Dienste wie Google bieten gleich mehrere Formen der 2FA, darunter auch OTP. Und wieder andere, meist kleinere Dienste bieten überhaupt keine 2FA: Ob es sinnvoll ist, das Konto unter «bettybossi.ch» mit einer 2FA abzusichern, ist Ansichtssache – angeboten wird es jedenfalls nicht.
Tatsächlich ist vor allem die Absicherung der grossen Dienste wichtig, die oft auch persönliche und finanzielle Details speichern, etwa Kreditkarten oder persönliche Daten. Auch Cloud-Dienste müssen unbedingt abgesichert werden.
Sie könnten jetzt bei jedem Dienst nachsehen, ob und welche 2FA er anbietet – oder Sie sehen zuerst auf der Website https://twofactorauth.org nach:
Die Website gibt Auskunft darüber, wer welche Form der 2FA bietet
Quelle: Screenshot / ze
Tippen Sie den Namen des Dienstes ein. Anschliessend sehen Sie, ob und welche Form der 2FA angeboten wird. Das Häkchen der Begierde steckt in der Spalte «Software Token» ganz rechts:
Die gesuchte Information befindet sich in der Spalte ganz rechts
Quelle: Screenshot / ze

Die Apps

Authenticator-Apps. Um diese Form der 2FA einzurichten, benötigen Sie für das Smartphone eine fähige App. Diese sind zahlreich und meistens kostenlos. Zu ihnen gehören der Microsoft Authenticator für iOS und Android oder der etwas vernachlässigte Google Authenticator für iOS und Android.
Authy. Vorzeigbar, leistungsfähig und kostenlos ist die App «Authy» für iOS und Android. Sie speichert die Daten verschlüsselt in der eigenen Cloud. Damit ist es möglich, dass Sie diese Zugangsdaten zwischen mehreren Geräten synchronisieren. Ausserdem bietet Authy die Möglichkeit, Backups der Token in der Cloud anzufertigen, damit der Token schnell wiederhergestellt werden können, wenn das Gerät abhandenkommt.
Unpraktisch: 1Password & Co. Zugegeben: Ich bin ein glühender Verehrer von 1Password. Meiner Meinung nach sind die Apps und Desktop-Anwendungen die beste Lösung überhaupt, um Kennwörter zu verwalten. Natürlich bietet 1Password auch die Möglichkeit, solche OTPs zu generieren. Über die Cloud werden diese Token sogar unter beliebigen Geräte abgeglichen.
Auch 1Passwort bietet OTPs, aber sie sind tief vergraben
Quelle: Screenshot / ze
Allerdings ist diese Integration unpraktisch, wenn Sie häufiger OTPs verwenden. 1Passwort starten, den Dienst suchen, antippen: Das nervt mit der Zeit. Bei anderen Kennwort-Verwaltern ist es ähnlich. Wenn Sie also auf dieses Verfahren setzen, ist eine spezialisierte App komfortabler: Sobald sie gestartet wird, präsentiert sie auch schon die Codes aller Dienste – und das sind selten so viele, dass es dazu eine Datenbank-Struktur braucht.

Authy einrichten

Wenn Sie unser Beispiel gleich nachvollziehen möchten, laden Sie eine der erwähnten Apps herunter. Das Prinzip ist immer dasselbe. Die folgenden Abbildungen zeigen die App «Authy» unter iOS. Sie ist zurzeit nur in Englisch verfügbar, aber die Interaktion ist minimal.
Starten Sie Authy auf Ihrem Smartphone. In einem ersten Schritt müssen Sie Ihre Mobilnummer und eine E-Mail-Adresse eingeben. Danach erhalten Sie eine SMS, um die Nummer zu bestätigen. Das ist alles. Später werden Sie gefragt, ob Sie ein Backup in der Cloud ablegen möchten, aber das ist freiwillig.
Die Installation von Authy ist ein Klacks
Quelle: Screenshot / ze
Wenn Sie ein weiteres Gerät unter demselben Konto laufen lassen, melden Sie sich auf dem anderen Gerät ebenfalls mit Ihrer Mobilnummer an – selbst dann, wenn diese gar nicht geprüft werden kann, etwa auf einem Tablet ohne SIM-Karte. Bestätigen den Zugang entweder über eine SMS oder eine Abfrage auf Ihrem Smartphone. So getan, werden alle Zugänge synchronisiert.

Einmal-Kennwörter einrichten

Damit sind die Voraussetzungen geschaffen. Jetzt geht es darum, einen Dienst abzusichern. Falls OTPs angeboten werden, finden Sie die Einrichtung in den jeweiligen Konto-Einstellungen im Bereich «Sicherheit» – oder wie auch immer er heissen mag.
Die folgende Prozedur sichert ein Google-Konto durch OTPs ab. Das dauert nur wenige Minute und sorgt anschliessend für gute Gefühle. Dabei gehen wir davon aus, dass die 2FA noch nicht aktiviert wurde.
Melden Sie sich unter der Adresse https://myaccount.google.com/ mit Ihrem Google-Konto an. Klicken Sie links auf den Bereich «Sicherheit» und danach auf «Bestätigung in zwei Schritten».
Quelle: Screenshot / ze
Klicken Sie sich durch den Assistenten, bis Sie aufgefordert werden, Ihre Mobilnummer einzugeben. Bestätigen Sie via SMS:
Quelle: Screenshot / ze
Nachdem die 2FA durch die SMS bestätigt wurde, klicken Sie auf die Schaltfläche «Authenticator App». Google meint damit natürlich den eigenen «Google Authenticator», aber das Verfahren funktioniert mit jeder anderen App genauso:
Quelle: Screenshot / ze
Beantworten Sie die Frage nach dem Smartphone-System, damit ein QR-Code angezeigt wird. (Warum hier diese Abfrage kommt, weiss nur Google allein.)
Quelle: Screenshot / ze
Diesen QR-Code lesen Sie nun mit Authy (oder einer anderen Software) ein und benennen den Dienst, damit Authy sofort ein sechsstelliges OTP ausspuckt. Geben Sie diese Ziffernfolge ein, um die Einrichtung abzuschliessen.
Quelle: Screenshot / ze
Ab sofort benötigen Sie diese Codes, wenn Sie sich zum ersten Mal an einem neuen Rechner mit Ihrem Google-Konto anmelden. Wie oft ein OTP verlangt wird, hängt aber allein vom jeweiligen Dienst ab.

Fazit: zurzeit das Beste

Sicherheit ist immer auch mit Arbeit verbunden. Doch mit Einmal-Kennwörtern und einer fähigen App verliert das Thema viel von seinem Schrecken. Nehmen Sie den Aufwand einmal in Kauf und wiegen Sie sich anschliessend in der beruhigenden Sicherheit, dass Sie bestmöglich abgesichert sind.

Kommentare

Es sind keine Kommentare vorhanden.