Das Zeitalter der automatisierten Authentifizierung durch biometrisches Scannen ist fast da. Doch selbst in dieser Zeit von Apples Face ID, Windows 10’s Hello und der aufstrebenden FIDO2-Spezifikation sind Passwörter immer noch die wichtigste Möglichkeit, sich bei unseren verschiedenen Konten anzumelden. Aus diesem Grund ist die Zwei-Faktor-Authentifizierung (2FA) ein wichtiger sekundärer Schritt zum Schutz Ihrer Online-Daten und -Dienste.
Was ist Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor- oder Multifaktor—Authentifizierung ist ein zusätzlicher Anmeldecode für ein Konto – eine zweite Verteidigungslinie für Ihre vertraulichen Informationen.
Die Grundidee ist, dass ein einziges Passwort für Ihre wichtigen Konten einfach nicht ausreicht. Wenn Ihr Passwort erraten wird oder Hacker eine Datenbank mit Ihren Anmeldeinformationen im Klartext stehlen, ist Ihr Konto eine sitzende Ente. Die Zwei-Faktor-Authentifizierung versucht, diesen Fehler zu beheben, indem ein sekundärer Code namens One-Time Password (OTP) erforderlich ist — normalerweise sechs Zeichen lang und von einer Smartphone—App generiert -, bevor Sie auf Ihr Konto zugreifen können. Auf diese Weise muss ein Hacker, selbst wenn er Ihr Passwort hat, immer noch einen sekundären Code knacken, was den Einstieg viel schwieriger macht.
Es gibt auch eine einfachere Möglichkeit, 2FA zu verwenden, den FIDO U2F-Standard, der von Google, Facebook und vielen anderen unterstützt wird. Bei dieser Art der Authentifizierung verwenden Sie einen physischen Sicherheitsschlüssel, fügen diesen in Ihren PC ein, berühren die Taste des Schlüssels und sind „automatisch“ angemeldet.
2FA ist jedoch nicht narrensicher. Wenn Sie sich beispielsweise dafür entscheiden, Ihre 2FA-Codes per SMS zu erhalten, kann der Code möglicherweise von Hackern abgefangen werden, wie Forscher für Positive Technologies in 2017 gezeigt haben. Das heißt, SMS-Authentifizierung ist immer noch viel besser als nichts. Im Mai 2019 kündigte Google eine einjährige Studie an, die in Zusammenarbeit mit der New York University und der University of California in San Diego durchgeführt wurde. Das Trio stellte fest, dass die SMS-Authentifizierung 96 Prozent der Massen-Phishing-Angriffe und 76 Prozent der gezielten Angriffe blockierte, die versuchten, in Ihr Google-Konto einzudringen. Das ist kein schlechter Schutz, aber Googles On-Device-Prompt-Strategie (wir werden das später behandeln) war noch besser und blockierte 99 Prozent der Massen-Phishing-Angriffe und 90 Prozent der gezielten Angriffe. Die App-basierte Zwei-Faktor-Authentifizierung ist insofern ähnlich, als der zweite Schritt auf dem Smartphone selbst generiert wird. Obwohl in dieser Studie 2FA-Apps nicht speziell erwähnt wurden, erwarten wir, dass die Ergebnisse denen einer Eingabeaufforderung auf dem Gerät entsprechen, wenn nicht sogar besser.Tatsache ist, dass die Verwendung einer software- oder hardwarebasierten 2FA-Lösung auf einem Gerät, das Sie besitzen, eine großartige Möglichkeit ist, Ihr Konto zu schützen, und weitaus besser als die einfache Verwendung von SMS.
Softwareoptionen
Jeder Dienst, der den Standard-OTP-2FA-Ansatz unterstützt, funktioniert mit allen folgenden Apps, einschließlich der meisten gängigen Websites und Dienste. Eine bemerkenswerte Ausnahme ist Steam, das in seiner mobilen App eine hausgemachte 2FA-Option bietet.
Google Authenticator: Best overall
Eine der gebräuchlichsten Methoden zur Verwendung der Zwei-Faktor-Authentifizierung ist Google Authenticator. Dies ist eine kostenlose Smartphone-App von Google für Android und iOS.
Die Verwendung ist sehr einfach und kann Anfänger in die Grundvoraussetzung der meisten 2FA-Apps einführen. Was Sie tun, ist die Zwei-Faktor-Authentifizierung auf Ihren Diensten wie Facebook, Google Mail, Dropbox aktivieren. etc. Sobald es aktiviert ist, fordert der Dienst Sie auf, einen Schnappschuss eines QR—Codes mit der App zu machen – Android-Nutzer müssen eine QR-Code-Lese-App herunterladen, um mit Google Authenticator zu arbeiten.Hinweis: In einigen Fällen wird 2FA auch als zweistufige Überprüfung bezeichnet, was eine Unterscheidung ist, auf die wir hier nicht eingehen werden.
Sobald der QR-Code gelesen wurde, beginnt Authenticator mit der Generierung von Codes und der Dienst fordert Sie normalerweise auf, den aktuellen Code einzugeben, um zu überprüfen, ob 2FA funktioniert. Sie können Google Authenticator beliebig viele Konten hinzufügen, sofern diese 2FA unterstützen.
LastPass Authenticator: Zweiter
Die kostenlose Authentifizierungs-App von LastPass verwendet eine Funktion namens One-Tap-Push-Benachrichtigungen, mit der Sie sich mit einem Klick bei ausgewählten Websites auf PCs anmelden können, anstatt eingabe von Codes. LastPass hat ein Video auf YouTube, das die Funktion demonstriert.One-Tap-Logins funktionieren mit LastPass selbst und auch mit fünf Websites von Drittanbietern, darunter Amazon (ohne AWS), Google, Dropbox, Facebook und Evernote. Um One-Tap-Benachrichtigungen verwenden zu können, muss die LastPass-Erweiterung in Ihrem Browser installiert und aktiviert sein. Das bedeutet, dass Sie ein LastPass-Konto haben müssen, aber ein kostenloses Konto reicht aus. Wenn Sie sich also einmal in Chrome anmelden, müssen Sie sich erneut anmelden, wenn Sie beispielsweise Microsoft Edge verwenden.
Es mag alles ziemlich mysteriös erscheinen, aber hier ist, was hinter den Kulissen mit One-Tap-Logins auf Websites von Drittanbietern vor sich geht. Wenn sich ein Benutzer bei einer kompatiblen Site anmeldet, sendet die LastPass-Browsererweiterung eine Push-Benachrichtigung an das Telefon des Benutzers, die den Benutzer benachrichtigt, dass eine Anmeldung angefordert wird. Der Benutzer tippt auf dem Telefon auf Zulassen, und eine Bestätigungsnachricht wird an die Nebenstelle zurückgegeben, die den erforderlichen 2FA-Code enthält. Die Erweiterung erhält diese Informationen, stellt sie der Website zur Verfügung und der Benutzer ist angemeldet.LastPass Authenticator lässt sich auch in mehrere Websites integrieren, die der Muttergesellschaft des Passwort-Managers LogMeIn gehören, um eine ähnliche Art der One-Tap-Anmeldung anzubieten. Zu diesen Websites gehören LastPass, LogMeIn Pro / Central, GoToAssist, LogMeIn Rescue und Xively.
Microsoft Authenticator
Microsoft hat auch eine kostenlose Authenticator-App für Android, iOS und Windows 10 Mobile. Es greift Codes für Websites wie Facebook und Dropbox durch einen QR-Code schnappen genau wie die anderen. Für persönliche Microsoft-Konten unterstützt es jedoch One-Tap-Benachrichtigungen ähnlich wie LastPass.
Mit der Funktion von Microsoft können Sie sich auf jedem Gerät bei Ihrem Konto anmelden. Alles, was Sie tun müssen, ist das Login zu genehmigen und es ist so gut wie die Eingabe des Kurzcodes. Es ist keine große Zeitersparnis, aber es ist etwas bequemer.
Authy: Beste Multi-Device-Lösung
Wenn Sie 2FA für längere Zeit verwendet haben, wissen Sie, dass einer der Nachteile darin besteht, dass Sie Ihre Authentifizierungscodes bei jedem Wechsel zu einem neuen Smartphone erneut aktivieren müssen.
Wenn Sie 10 Konten mit 2FA haben, bedeutet dies, dass Sie 10 QR-Codes erneut einrasten. Wenn Sie ein Smartphone-Süchtiger sind, der gerne alle ein oder zwei Jahre das Gerät wechselt, kann dieser Vorgang mühsam sein.Der kostenlose Service von Authy zielt darauf ab, dieses Problem zu lösen, indem alle Ihre 2FA—Token — die Daten hinter den Kulissen, die Ihre 2FA-Codes funktionieren lassen – in der Cloud auf seinen Servern gespeichert werden. Um diese Funktion nutzen zu können, müssen Sie zuerst verschlüsselte Backups aktivieren und dann werden Ihre Token auf den Servern von Authy gespeichert.Auf diese Weise haben Sie Zugriff auf Ihre Codes, wenn Sie sich bei einer Authy-App anmelden, sei es auf Ihrem Smartphone, Tablet oder Windows- oder Mac-Laptop. Es gibt sogar eine Chrome-App für Chrome OS-Benutzer.
Multi-Device-Zugriff auf Ihre 2FA-Codes ist genial, aber es kommt mit einem Nachteil. Laut Authy werden Ihre Backups basierend auf einem Passwort verschlüsselt, das Sie auf Ihrem Smartphone eingegeben haben, bevor Sie in die Cloud gelangen. Das bedeutet, dass Ihr Passcode die einzige Möglichkeit ist, sie zu entschlüsseln, und Authy hat ihn nicht in der Datei. Wenn Sie Ihren Passcode vergessen, können Sie von Ihren Konten gesperrt werden, da Sie die 2FA-Codes nicht haben. Wie Sie den Zugriff auf jedes Konto wiederherstellen, hängt von den Kontowiederherstellungsrichtlinien der einzelnen Dienste ab.
Wenn Sie neu in 2FA sind, ist dies möglicherweise nicht die App für Sie, es sei denn, Sie sind bereit, die richtigen Schritte zu unternehmen, um sicherzustellen, dass Sie nie den Zugriff auf Authy verlieren — wie das Aufschreiben Ihres Passcodes und das Speichern an einem sicheren Ort.
Hardware-Optionen
Der absolut sicherste Weg, Ihre Konten mit Zwei-Faktor-Authentifizierung zu sperren, ist die Verwendung eines physischen Sicherheitsschlüssels. In der zuvor erwähnten Google-Studie wurde festgestellt, dass Sicherheitsschlüssel 100 Prozent der Massen-Phishing- und gezielten Angriffe blockieren. Der Nachteil der Verwendung eines Sicherheitsschlüssels besteht jedoch darin, dass Sie, wenn Sie jemals Ihren Schlüssel verlieren oder brechen, von Ihren Konten ausgeschlossen werden können — und Sie müssen Ihre Second-Factor-Authentifizierungsmethode auf einen neuen Schlüssel umstellen.
Yubico Authenticator
Diese option ist mein persönlicher favorit. Yubico YubiKey ist eine Hardware-basierte 2FA-Lösung. Es ist ein kleines kartenähnliches Gerät mit einem Ende, das in einen Standard-Typ-A-USB-Anschluss geschoben wird. Es kann die Authentifizierung mit einem Tastendruck überprüfen, anstatt manuell einen Kurzcode einzugeben. YubiKeys sind auch sehr langlebig und wasserdicht, was es schwierig macht, diese Geräte zu ruinieren.
Dieser One-Tap-Ansatz funktioniert nur für Konten, die den oben genannten FIDO U2F-Standard unterstützen, wie Google und GitHub. Für Dienste, die den Standard nicht unterstützen, kann ein YubiKey auch 2FA-Token speichern und Codes in der Yubico Authenticator-App anzeigen.
Wie Sie Yubico Authenticator verwenden, um einen 2FA-Code zu erhalten, hängt davon ab, ob Sie die Authenticator-App auf einem PC oder einem Android-Smartphone verwenden. Auf dem Desktop stecken Sie den Schlüssel einfach in einen USB-Anschluss, und der Authenticator zeigt sofort Ihre Kurzcodes an und lässt Sie neue hinzufügen. Entfernen Sie Ihren YubiKey und die App zeigt keine Codes mehr an. Yubico Authenticator auf dem Desktop funktioniert mit den meisten YubiKey-Modellen mit Ausnahme des grundlegenden FIDO U2F-Schlüssels.
Unter Android benötigen Sie einen YubiKey, der NFC unterstützt, und die Yubico Authenticator-App, bei der es sich zum jetzigen Zeitpunkt um den YubiKey 5 NFC (45 US-Dollar) und den jetzt eingestellten (aber immer noch unterstützten) YubiKey Neo handelt. Mit diesen Tasten öffnen Sie einfach Authenticator auf Ihrem Telefon, tippen auf den Schlüssel in der Nähe des NFC-Chips Ihres Telefons und Ihre Codes werden in der App angezeigt. Es gibt auch einen $ 27 Sicherheitsschlüssel NFCRemove Nicht-Produkt-Link, aber es unterstützt nur FIDO U2F-Authentifizierung (und FIDO2 Passwort-weniger Logins), nicht Einmal-Passwort-Funktionalität.Ähnlich wie bei Authy besteht das Schöne an YubiKey darin, dass Sie Ihre Authentifizierungscodes einfach von einem Gerät auf das nächste übertragen können.
Titan-Sicherheitsschlüssel
Google hat 2018 seinen eigenen Hardware-Sicherheitsschlüssel vorgestellt, den Titan Security KeyRemove Non-product Link. Dieser Schlüssel kommt in einem $ 50 Bundle mit zwei physischen Geräten. Der erste ist ein Schlüssel mit einem USB-A-Einsatz ähnlich YubiKey. Der zweite ist ein Bluetooth-Dongle, der drahtlos mit Ihrem Telefon verbunden werden kann. Der Titan-Sicherheitsschlüssel hat einige Nachteile. Erstens unterstützt es nur Websites, die den FIDO- und FIDO2F-Standard verwenden, was bedeutet, dass Sie nicht auf OTP-Codes für Websites zurückgreifen können, die 2FA unterstützen, aber keine FIDO-One-Touch-Eingabe. Google musste kürzlich auch seine Bluetooth-Dongles zurückrufen, nachdem eine schwerwiegende Sicherheitslücke entdeckt wurde. Yubico hat im Vergleich dazu noch keine Bluetooth-Version seines Sicherheitsschlüssels veröffentlicht, da es nicht glaubt, dass die Technologie sicher genug ist.
Bonus: Google Eingabeaufforderungen auf dem Gerät
Ein Beispiel für Eingabeaufforderungen auf dem Gerät von Google.
Wenn Ihnen das Eintauchen in die Welt der 2FA gerade zu viel ist, warum tauchen Sie dann nicht in die Erfahrung mit Google On-Device-Eingabeaufforderungen ein? Dies ist eine einfache Sicherheitsmaßnahme zum Schutz Ihres Google-Kontos.
Wann immer Sie sich auf einem neuen Computer bei Google anmelden möchten, müssen Sie es mit einem Klick auf Ihrem Android- oder iOS-Gerät autorisieren. Damit dies auf Android funktioniert, benötigen Sie die neueste Version der Google Play-Dienste, die die meisten Benutzer automatisch haben sollten. Jeder auf iOS-Geräten benötigt eine aktuelle Version der Google- oder Google Mail-Apps.
Die Zwei-Faktor-Authentifizierung ist ein wichtiger Schritt, um Ihre wichtigen Konten nach Möglichkeit zu schützen. Es mag manchmal schmerzhaft erscheinen, diesen zusätzlichen Code einzugeben — was Sie möglicherweise nur einmal pro Gerät oder alle 30 Tage tun müssen —, aber es ist ein Preis, den Sie zahlen sollten, um Ihre Online-Konten sicherer zu machen.