SpardaSurfSafe: Doppelt hält besser – auch bei der Authentifizierung
Es vergeht kaum eine Woche, ohne dass neue Meldungen über gestohlene Kennwörter in Umlauf kommen. Den Nutzern der betroffenen Dienste bleibt dann nichts anderes übrig, als schnellstmöglich ihre Zugangsdaten zu ändern, wenn sie ihren Account sichern wollen. Doch es gibt noch eine andere Möglichkeit, um sein Konto trotz solcher Zwischenfälle zu schützen: Die Zwei-Faktor-Authentifizierung, bei der das Kennwort um eine weitere Sicherheitsstufe ergänzt wird. SpardaSurfSafe erklärt die wichtigsten Fakten.
Mit Kennwörtern ist es so eine Sache: Sind sie zu kompliziert, vergisst man sie schnell. Sind sie zu einfach, haben Hacker sie schnell geknackt. Und selbst ein sicheres Kennwort bietet nur unzureichenden Schutz, wenn man bei allen Diensten das gleiche einsetzt – vor allem, wenn die Log-in-Daten dann durch eine Sicherheitslücke beim Anbieter in die Hände von Kriminellen fallen. Leider passiert das aber mit schöner Regelmäßigkeit, wie ein Blick in die Schlagzeilen der letzten Monate zeigt. Vom Social Network über E-Mail-Accounts bis hin zu Cloud-Anwendungen und Spiele-Konten – es gibt kaum einen Bereich, in dem die Hacker nicht aktiv sind. Wird ein neues Datenleck bekannt, bleibt den Nutzern des betroffenen Dienstes nichts anderes übrig, als ihr Kennwort zu ändern. Und mit jeder Änderung steigt die Gefahr, dass man auf ein bereits vorhandenes Kennwort zurückgreift, denn man will es sich schließlich auch merken können.
„Es ist leider eine Tatsache, dass die meisten Nutzer schlechte oder unsichere Kennwörter wählen. Eine weitere große Gruppe hat ein sicheres Kennwort – aber eben nur eines, das dann überall zum Einsatz kommt. Ein Grund mag sein, dass man so relativ sicher sein kann, das Kennwort nicht zu vergessen, aber aus sicherheitstechnischer Sicht ist dieser Zustand äußerst bedenklich. Stellen Sie sich vor, bei einem Online-Shop kommt es zum Datendiebstahl, Ihre Log-in-Daten fallen Kriminellen in die Hände. Diese testen nun, ob sie mit den erbeuteten Daten auch auf andere Dienste zugreifen können – bei nur einem Kennwort haben Sie dann ganz schnell ein Problem!“, warnt Götz Schartner vom Verein Sicherheit im Internet e.V., einem der Mitveranstalter der Initiative SpardaSurfSafe. „Und selbst wenn Sie alles richtig gemacht, also ein sicheres Kennwort gewählt haben und bei jedem Dienst ein anderes nutzen, kann Ihr Konto kompromittiert werden, wenn der Anbieter gehackt wird oder Sie sich einen Keylogger-Virus eingefangen haben, der jede Tastatureingabe aufzeichnet. Gegen solche Fälle hilft nur eine weitere Sicherheitsstufe, also die sogenannte Zwei-Faktor-Authentifizierung, wie sie auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz-Katalogen empfiehlt.“
Dabei werden zwei voneinander unabhängige Faktoren genutzt, um sich auszuweisen. Ein allgemein bekanntes Beispiel ist die Bankkarte zusammen mit der PIN-Nummer am Geldautomaten. Nur wer über beides verfügt, kann auf das Konto zugreifen und Geld abheben. Die genutzten Faktoren können etwas sein, das man hat (wie ein Schlüssel oder ein Handy), etwas, das man weiß (wie ein Passwort, eine PIN oder eine TAN) oder aber etwas, das untrennbar mit dem Nutzer verbunden ist, wie ein Fingerabdruck oder die Netzhaut. Nur wer über zwei der genannten Faktoren verfügt, kann sich dann Zugang zu den Daten und Konten verschaffen. Das klingt erstmal kompliziert und vor allem unbequem, doch das ist es dank neuer Technik nicht.
„Die einfachste Variante der Zwei-Faktor-Authentifizierung ist per Smartphone-App durchführbar, wie beispielsweise via kostenlosem Google Authenticator. Bei jedem Einloggen erstellt die App eine neue, einmalig gültige Zahlenreihe, den sogenannten Bestätigungscode, der dann entweder als SMS gesendet wird oder direkt in der App sichtbar ist. Zusammen mit dem Benutzernamen und dem herkömmlichen Kennwort kann man sich dann einloggen“, erklärt Schartner. „Und keine Angst: Man muss nicht für jeden Dienst eine eigene App installieren. Die generierten Codes funktionieren bei allen an die App angeschlossenen Diensten.“ Um die Zwei-Faktor-Authentifizierung nicht unnötig kompliziert und unbequem zu machen, lassen sich auch Regeln erstellen, bei welchen Geräten sie abgefragt wird. Wer also keine Lust hat, auf seinem eigenen Rechner jedes Mal den gesamten Authentifizierungsvorgang zu durchlaufen, kann nach einmaliger Eingabe des Codes festlegen, dass er nicht erneut abgefragt wird. Zu den unterstützten Anwendungen zählen Snapchat, Dropbox, Amazon, Microsoft oder Facebook.
Andere Dienste wie Twitter oder Instagram bieten an, eine Telefonnummer zu hinterlegen, an die dann ein Bestätigungscode versandt wird. „Das Problem von Bestätigungscodes per SMS ist die Abhängigkeit von einem Mobilfunknetz. Nur ist das beispielsweise im Urlaub nicht unbedingt verfügbar, wenn man im Internetcafé kurz seine Mails checken will. Viele nutzen ihr Handy im Urlaub auch vorwiegend über W-LAN um Kosten zu vermeiden – eine SMS kommt dann aber nicht an“, führt Schartner aus. Auch Apple bietet für ältere Geräte noch die Zwei-Faktor-Authentifizierung per SMS an. Neuere Geräte ab iOS9 oder OS X El Capitan brauchen hingegen keine gesonderte Software, sondern können als „Vertrautes Gerät“ markiert werden und dann selbstständig Bestätigungscodes generieren.
Neben diesen am häufigsten verwendeten Methoden, kann man darüber hinaus auch auf ein sogenanntes Token zurückgreifen. Dieses kleine Gerät generiert während des Einloggens auf Knopfdruck Einmal-Kennwörter, die parallel an den Dienstanbieter, bei dem man sich gerade einloggt, übergeben werden. Sobald das Kennwort einmal benutzt wurde verfällt es direkt. Sollte ein Keylogger mitlesen, kann er mit den erbeuteten Daten nicht viel anfangen, da das eingegebene Kennwort ja nicht mehr gültig ist. Außerdem bieten die meisten Geräte Zusatzfunktionen wie NFC. Damit kann das Token mit einem Kennwortmanager auf dem Smartphone kommunizieren und diesen freigeben, ohne dass man ein ellenlanges, sicheres Kennwort händisch eingeben muss. Der Nachteil: Es entstehen zusätzliche Kosten für die Anschaffung, je nach Anbieter können das durchaus um die 50 Euro oder sogar mehr sein. Außerdem muss das Gerät natürlich auch ständig mitgeführt werden, um es nutzen zu können.