Zwei-Faktor-Authentifizierung: Passwörter gehören verboten

Heutzutage wird ja glücklicherweise etwas mehr Wert auf Sicherheit gelegt. SSL-Zugriff auf Login-Seiten von Web-Angeboten sind mittlerweile Standard. Und es wird auch immer öfter Zwei-Faktor-Authentifizierung angeboten.

Normalerweise hat man ja eine Benutzerkennung und ein Passwort. Da die meisten Leute faul sind, nehmen sie ein einfaches, gut zu merkendes Passwort. Das ist natürlich nicht sonderlich sicher.

Hier hilft die Zwei-Faktor-Authentifizierung. Dabei benutzt man weiterhin Benutzername und Passwort, bekommt aber zusätzlich z. B. eine SMS mit einem Einmalpasswort geschickt, das man auch noch eingeben muss.

Man kennt das Prinzip vom Online-Banking, dort benutzt man schon immer Einmalpasswörter. Diese nennt man dort TAN. Früher gab’s die auf Papier, mittlerweile werden sie häufig auch per SMS verschickt.

Vorteil ist in beiden Fällen, dass man zusätzlich zu Benutzername und Passwort auch noch das Handy der Person haben muss. Das macht die Sache natürlich ungleich schwieriger.

Leider bringt das Prinzip genau dann nichts mehr, wenn man den Zugang auf dem Handy nutzen will. Denn dann empfängt man die SMS auf demselben Gerät. Und das ist nicht mehr sicher.

Doch auch dafür gibt es eine Lösung: sogenannte TAN-Generatoren oder Tokens. Diese generieren einfach Einmalpasswörter, die man dann auch problemlos auf dem Handy nutzen kann. Natürlich hat man so wieder ein zusätzliches Gerät.

2217488184_4d2b97c618_bNatürlich kann man SMS auch für andere Sicherheitsfunktionen nutzen. So wird z.B. beim größten Online-Pokeranbieter eine SMS verschickt, wenn ungewöhnliche Aktionen mit dem Konto des Nutzers passieren. Außerdem wird das Konto temporär gesperrt. In dieser SMS befindet sich ein Code, den man auf der Webseite bestätigen muss. Das sollte man natürlich nur tun, wenn wirklich alles in Ordnung ist.
Dieses Prinzip kennt man von Kreditkarten-Anbietern, die gerne man die Karte sperren, wenn z.B. ein Kauf in den USA getätigt wird und man vorher immer nur in Deutschland gekauft hat. Dann reagiert dort ein Überwachungsprogramm und benachrichtigt den Kunden. Sagt dieser dann: „alles ok“ wird die Karte wieder freigeschaltet. Manchmal nervig, aber bevor Geld verlorengeht ist das sicher sinnvoll.

Gerüchteweise soll das nächste iPhone einen Fingerabdruckssensor enthalten. Damit könnte man auch eine Zwei-Faktor-Authentifizierung machen. So könnte das iPhone per Bluetooth mit dem PC verbunden werden und wenn man eine Webseite besucht, muss man wie immer Benutzername und Passwort eingeben und zusätzlich einmal seinen Finger über den Sensor ziehen.

So hätte man nämlich das „kleine“ Problem umgangen, dass zumindest unter Android, SMS von Schadsoftware (Trojaner, Viren, etc.) abgefangen und an Betrüger weitergeleitet werden kann. So können dort Online-Banking TANs abgefangen werden und die Betrüger räumen das Konto leer.
Das Problem gibt es zwar so beim iPhone nicht (solange man keinen Jailbreak macht), aber 100% sicher ist kein System.

Und auch wenn es keine Zwei-Faktor-Authentifizierung werden soll, wäre das eine Erleichterung, weil man damit auch komplett auf Passwörter verzichten könnte. Wäre zwar nicht so sicher, aber enorm komfortabel.

Da könnte man sich vorstellen, dass man jede Webseite mit einem Fingerabdruck und einer PIN, die man auf dem iPhone eingibt, aufrufen kann.

PayPal hat so ein System angekündigt. Ich bin gespannt, ob und wann das kommt. Passwörter sind auf jeden Fall keine Lösung.

Bildnachweis: Schlüssel von Knipsofix (Flickr)

4 Gedanken zu „Zwei-Faktor-Authentifizierung: Passwörter gehören verboten“

  1. Ich schließe mich meinem Vorgänger an, die Zwei-Faktor-Authentifizierung ist über eine App am praktischsten. Die Einrichtung ist auch allzu kompliziert, das aufwändigste ist es höchstens, die Einmalpasswörter für Anwendungen zu generieren, die die Eingabe von Codes (noch) nicht unterstützen. Ich hoffe, dass Amazon und ebay in nächster Zukunft Zwei-Faktor-Authentifizierung anbieten, hab das bisher nur bei Google, Microsoft, Facebook und so weiter gesehen …

  2. Vielen Dank für diesen Artikel, Sebastian!

    Zwei-Faktor-Authentifizierung (2FA) ist in der Tat ein sehr wichtiges Thema. Zuletzt hat Vint Cerf (einer der Väter des Internets) Entwickler gebeten, 2FA bei jedem Loginsystem zu verwenden. In Singapur ermöglichen Banken den Login in Online-Banking-Systeme nur noch per 2FA. Die größten amerikanischen Portale ermöglichen es ihren Nutzern bereits, ihre Accounts mit 2FA zu schützen, um gegen Phishing, Bruteforce-Attacken und Passwortdiebstahl immun zu sein.

    Betreibern von WordPress-Webseiten möchte ich Rublon empfehlen, weil es die weltweit einfachste 2FA Lösung ist, die zudem kostenlos angeboten wird:
    http://wordpress.org/plugins/rublon/

    Rublon schützt deinen Account vor Zugriff von unbekannten Geräten, sogar wenn dein Passwort gestohlen wird. Das ist unsichtbare Zwei-Faktor-Authentifizierung. Im Vergleich zu anderen Lösungen, musst du mit Rublon dein Smartphone nur ein mal verwenden, um deine Vertrauenswürdigen Geräte zu definieren. Besuche unsere Webseite, um mehr zu erfahren: http://www.rublon.com/de/.

    Unsere Nutzer sind begeistert und schreiben 5-Sterne Empfehlungen:
    https://rublon.com/de/clients
    http://wordpress.org/support/view/plugin-reviews/rublon

    Bei Fragen stehe ich jederzeit zur Verfügung 🙂

Kommentar verfassen