Mit einer Zwei-Faktor-Authentifizierung schützen Sie wichtige Onlinedienste gut gegen Angreifer. Wenn Sie zudem noch die richtigen Einstellungen wählen, geht das sogar ohne Einschränkungen beim Komfort. Perfekt ist die Zwei-Faktor-Authentifizierung allerdings noch nicht.
Jeden Tag tauchen im Schnitt 859.971 geklaute Log-in-Daten im Internet auf. Das zeigt das Hasso-Plattner-Institut auf der Website zu seiner Leak-Datenbank . Dort können Sie selber den aktuellen Stand des Passwortdiebstahls prüfen und testen, ob Ihre Log-in-Daten bereits im Internet kursieren. Die Gefahr dafür ist hoch, denn Hacker machen sich meist nicht die Mühe, Ihren privaten PC zu attackieren und dort an Ihre Passwörter zu gelangen. Sie kapern stattdessen die Log-in-Datenbanken von großen Unternehmen, etwa Yahoo, Dropbox, Adobe, Sony und vielen weiteren und stehlen so auf einen Schlag Millionen von Nutzerkonten. Das Hasso-Plattner-Institut kennt bereits heute über 9 Milliarden gestohlene Log-ins, die im Internet kursieren. Dafür durchsucht das Institut die dunklen Ecken des Internets und lädt laufend neue Sammlungen mit Log-in-Infos in seine Datenbank.
Zum Glück gibt es aber eine zuverlässige Schutzmethode, um sich vor Angriffen mit gestohlenen Log-in-Daten zu schützen. Sie funktioniert über die sogenannte Zwei-Faktor-Authentifizierung.
So funktioniert die Zwei-Faktor-Authentifizierung
Mit der Zwei-Faktor-Authentifizierung (2FA) funktioniert der Zugriff auf ein Onlinekonto erst dann, wenn Sie nach der gewohnten Eingabe des Passworts einen Zusatzcode bei der Anmeldung eingegeben haben. Dieser Zusatzcode wird in der Regel für den aktuellen Log-in neu generiert und ist nur einige Sekunden oder Minuten lang gültig. Sie bekommen den Code etwa per SMS vom Anmeldeserver gesendet oder Sie erzeugen ihn über eine spezielle Handy-App selber. Auch ein Hardwaregerät, ein sogenannter Sicherheits-Token, kann als zweiter Faktor dienen. Solche Geräte gibt es ab 12 Euro für den USB-Anschluss oder ab 22 Euro mit Bluetooth, zum Beispiel bei Amazon . Für Notfälle lassen sich Zusatzcodes ausdrucken, die dann nur einmal gültig sind.
Ein per 2FA geschütztes Konto kann ein Hacker auch dann nicht öffnen, wenn er Ihre Log-in-Daten kennt. Denn es fehlt ihm der zweite Faktor, also Ihr Smartphone, auf dem Sie den Zusatzcode per SMS oder App empfangen.
2FA ist kaum umständlicher als gewohnte Log-ins
Wer bisher noch keine 2FA für ein Onlinekonto nutzt, hält die Methode vermutlich für aufwendig und kompliziert. Doch im Alltag ist sie das überhaupt nicht. Allerdings gibt es ein paar Haken, die wir weiter unten aufzeigen. In der Regel läuft der Log-in per 2FA nach der einmaligen Einrichtung wie ein gewöhnlicher Log-in ab. Denn für die meisten Dienste müssen Sie den Zusatzcode nicht bei jedem Log-in eingeben, sondern nur beim ersten Log-in mit einem neuen Programm. Meist ist das der Browser. Danach kann das Programm, also der Browser, auch ohne Zusatzcode den 2FA-geschützten Dienst nutzen.
Praktisch sieht das so aus: Wenn Sie zum Beispiel Ihr Gmail-Mailpostfach per 2FA schützen möchten, dann aktivieren Sie diesen Schutz einmalig unter https://accounts.google.com , „Sicherheit“. Das dauert nur wenige Minuten, wenn Sie als zweiten Faktor etwa die App Google Authenticator konfigurieren. Anschließend melden Sie sich im Browser auf Ihrem Heim-PC mit dem zweiten Faktor bei www.gmail.com an. Von nun an benötigen Sie für einen Log-in über diesen Browser keinen zweiten Code mehr. Wiederholen Sie die Anmeldung für alle Ihre privaten Geräte, etwa Ihr Smartphone oder Ihr Tablet, und Sie müssen sich nicht weiter um 2FA kümmern.
Das sind die Vorteile der Zwei-Faktor-Authentifizierung
Wie bereits angedeutet, bietet die Zwei- Faktor-Authentifizierung einen sehr guten Schutz gegen Angreifer, die in Ihr Konto einbrechen wollen. Solange Sie den zweiten Faktor, etwa das Smartphone, nicht verlieren, kann sich ein Hacker selbst dann nicht einloggen, wenn er Benutzername und Passwort kennt.
Darum sollten Sie alle wichtigen Konten per 2FA schützen. Allen voran das Mailkonto. Denn wer auf ein Mailkonto Zugriff hat, kann sich auch in fast alle anderen Onlinekonten des Nutzers einloggen. Die „Ich habe mein Passwort vergessen“-Funktion macht es möglich.
Wichtige Infos zur 2-Faktor-Authentifizierung
Die Aktivierung einer 2-Faktor-Authentifizierung (2FA) ist nicht besonders schwierig, erschließt sich allerdings auch nicht intuitiv. Wenn ein Dienst 2FA anbietet, dann stellt er immer auch einen geführten Schritt-für-Schritt-Dialog für die Einrichtung bereit. Wichtig dabei: Wenn Sie bei einem Dienst 2FA aktivieren, dann wird als zweiter Faktor meist ein SMS-Code, eine Authentifizierungs-App oder ein Hardware-Token angeboten. Für die SMS müssen Sie Ihre Handynummer angeben. Sie bekommen den Zusatzcode dann per SMS zugeschickt. Die Authentifizierungs-App wird einmalig mit Ihrem Konto verbunden und gibt von da an alle 30 Sekunden einen Zusatzcode aus, der 30 Sekunden lang gültig ist. Gut ist: Sie müssen meist nicht die Authentifizierungs-App des Anbieters nehmen, sondern können eine beliebige wählen. Das heißt, dass Sie etwa die App Google-Authenticator auch für Microsoft, Lastpass, Dropbox und andere Dienste als zweiten Faktor verwenden können.
Gemeinsam ist allen zweiten Faktoren, dass Sie diese bei der Aktivierung in einem Dienst einmal mit diesem Dienst verbinden müssen. Bei SMS bekommen Sie nach der Angabe Ihrer Handynummer beim Dienst eine SMS zugesendet, die Sie einmalig im Aktivierungsprozess angeben. Eine App verbinden Sie, indem Sie mit der App einen QR-Code der Anmeldeseite abfotografieren. Die App beginnt sofort mit der Generierung eines Codes, den Sie einmalig in die Anmeldeseite eingeben. Auch einen Hardware-Token stecken Sie bei der Aktivierung an den PC an oder verbinden ihn per Bluetooth. Zudem sollten Sie noch eine zweite Möglichkeit für die Übermittlung des Zusatzcodes einrichten. Das kann das Smartphone eines Familienmitglieds sein, eine Mailadresse, ein Hardware-Token oder ein Zettel mit Notfallcodes. Wählen Sie eine dieser Möglichkeiten spätestens vor einer Reise.
In der folgenden Liste finden Sie wichtige Dienste, die 2FA anbieten, sowie Links zu Tipps für den jeweiligen Dienst.
Für welche Dienste ist die Zwei- Faktor-Authentifizierung sinnvoll?
Neben dem Mailkonto sollten Sie auch Bezahldienste wie Paypal per 2FA schützen. Ihr Onlinebanking bietet übrigens schon seit Langem die Zwei-Faktor-Authentifizierung. Denn die TAN, die Sie für eine Überweisung eingeben müssen, ist nichts anderes als ein zweiter Faktor.
Die Onlineshopping-Site Amazon bietet ebenfalls 2FA an, was durchaus sinnvoll ist. Zwar kann ein Hacker die Lieferadresse einer Bestellung nur dann ändern, wenn er auch die Kreditkartendaten erneut eingeben kann. Doch reicht der Schutz eigentlich nicht aus. Denn ein Hacker kann in Ihrem Amazon-Account shoppen und die Ware an Ihre hinterlegte Adresse schicken lassen. Eine Umleitung der Warensendung nimmt er dann über den Lieferdienst vor. Je nach gewählter Versandart geht das mehr oder weniger einfach.
Wer darüber hinaus noch „wertvolle“ Onlinekonten hat, etwa eine Bitcoin-Onlinebörse mit vielen Bitcoins, der sollte auch diese per 2FA schützen. Eine Liste mit wichtigen Diensten, für die sich 2FA lohnt, finden Sie im Kasten.
Das sind die Nachteile der 2-Faktor-Authentifizierung
Einige Nachteile hat die Zwei-Faktor-Authentifizierung allerdings doch. Bei der Anmeldung an einem neuen Gerät müssen Sie Ihr Smartphone beziehungsweise eine ausgedruckte Liste mit Notfallcodes immer griffbereit haben. Daraus ergibt sich der wohl größte Nachteil der 2FA: Auf Reisen kann man sich selber aussperren. Wenn Sie zum Beispiel im Urlaub Ihr Smartphone verlieren, dann ist nicht nur das Handy, sondern auch der zweite Faktor weg. Passiert das zu Hause, haben Sie in der Regel immer noch den Browser Ihres PCs, in dem Sie für Ihre 2FA-Dienste dauerhaft legitimiert sind. Wenn Sie sich aber im Urlaub vom PC Ihres Hotels oder vom einem Familien-Smartphone aus einloggen wollen, wird das 2FA-geschützte Konto unweigerlich den zweiten Faktor verlangen. Das Problem verschärft sich schlagartig, wenn Sie als Alternative zum Smartphone-Code eine Mailadresse als zweiten Faktor angegeben haben, diese Mailadresse aber ebenfalls per 2FA geschützt ist. So können Sie sich zwar einen Ersatzcode per Mail zustellen lassen, diesen aber nicht öffnen, da auch der Maildienst einen zweiten Faktor verlangt.
Das Urlaubsproblem lässt sich lösen, wenn Sie sogenannte Notfallcodes für den 2FADienst ausdrucken und mitnehmen. Diese sind nur einmal gültig. Sie sollten dann in einem anderen Gepäckstück als das Smartphone verwahrt werden.
Tipps und Tricks zur 2-Faktor-Authentifizierung
App statt SMS: Auf den ersten Blick sieht die SMS als zweiter Faktor besonders sicher aus. Tatsächlich ist sie aktuell weniger sicher als eine Authenticator-App. Denn motivierte Angreifer können sich eine Ersatz- SIM-Karte von Ihrem Provider ergaunern und so an Ihre SMS kommen. Oder ein Smartphone-Virus stiehlt eine eingehende SMS in Echtzeit. Entsprechend sind Authenticator-Apps aktuell die bessere Wahl. Zudem können diese auch dann einen Zusatzcode generieren, wenn Sie gerade keine Mobilfunkverbindung haben.
Misstrauisch bleiben: Auch ein 2FA geschütztes Konto entbindet einen Nutzer nicht von einem gesunden Maß an Misstrauen. Denn mit Phishing-Tricks können Angreifer trotz 2FA in ein Konto einbrechen. Das ist tatsächlich schon vorgekommen. Die Angreifer bauten dafür die Website eines Maildienstes nach und ergaunerten von den Opfern nicht nur die Log-in-Daten, sondern auch den Zusatzcode, den sie umgehend für sich selbst nutzten. Bleiben Sie also immer dann wachsam, wenn Sie erneut nach einem Zusatzcode gefragt werden.
Einzelne Mails schützen: Wer bei Gmail ein Mailkonto hat, kann seit 2018 auch einzelne Mails per 2FA schützen. Damit legen Sie als Versender einer Mail fest, dass der Empfänger die Nachricht erst dann öffnen kann, nachdem er einen Zusatzcode eingegeben hat. Diesen Code erhält er per SMS auf eine Handynummer, die Sie beim Versand eingeben. Die SMS sendet Gmail erst dann, wenn der Empfänger die Nachricht öffnen möchte.
Den 2FA-Schutz für zu sendende Mails legen Sie so fest: Klicken Sie in der Weboberfläche vom Gmail wie gewohnt auf „Schreiben“, um eine neue Nachricht zu verfassen. Wählen Sie im „Schreiben“-Fenster vor dem Versand der Nachricht das Symbol mit Vorhängeschloss und Uhr. Legen Sie ein Ablaufdatum für die Nachricht fest und klicken Sie auf „SMS-Sicherheitscode“ und auf „Speichern“, um 2FA zu aktivieren. Nach einem Klick auf „Senden“ fordert Sie Gmail auf, die Handy-Nummer des Empfängers einzugeben.
Zweite Mailadresse ohne 2FA: Obwohl dieser Beitrag dafür plädiert, das Mailkonto per 2FA zu schützen, ist 2FA für manche Zwecke hinderlich. Das gilt zum Beispiel für Programme, die bei einer Störung eine Mail an Sie versenden sollen. Das macht etwa ein gutes Backup-Programm, um über den Erfolg eines Backup-Auftrags zu berichten. Dafür müssen Sie im Programm Ihre Login-Daten zum Mailkonto eingeben. Viele Programme kommen dabei mit 2FA geschützten Mailkonten nicht zurecht. In diesen Fällen ist es am einfachsten, ein zweites Mailkonto ohne 2FA zu nutzen. Oder Sie nutzen ein sogenanntes „App“-Passwort Ihres 2FA-Mailanbieters. Dieses ist nur einmal gültig und authentifiziert ein Programm dauerhaft.
Auch mit 2FA: Nutzen Sie einen Passwortmanager
Auch wenn Sie alle wichtigen Konten per 2FA geschützt haben, sollten Sie dennoch für jeden einzelnen Onlinedienst ein anderes, kompliziertes Passwort verwenden. Denn vielleicht möchten Sie 2FA manchmal vorübergehend ausschalten. Und auch dann soll Ihr Konto ja sicher sein. Möglichst lange und komplizierte Kennwörter erzeugt und verwaltet ein Passwortmanager am besten.
Online-Passwortmanager: Das Tool Lastpass merkt sich alle Ihre Passwörter und fügt sie auf Wunsch auch automatisch in die richtige Website ein. Lastpass erstellen Ihnen auch beliebig komplizierte Passwörter. Sie selbst müssen sich nur noch ein Passwort merken, nämlich das Master-Passwort für Lastpass. Die Passwörter lassen sich per Apps auch auf Android oder iOS nutzen.
Offline-Passwortmanager: Ein guter Passwortmanager ohne automatischen Cloudanschluss ist die Open-Source-Software Keepass .