Informationssicherheitsexperten sind sich schon lange einig, dass die zuverlässigste Form der Zwei-Faktor-Authentifizierung per Einmalcode eine Authentifizierungs-App ist. Die Mehrzahl der Dienste bietet diese Methode als zusätzliche Stufe des Kontoschutzes an, während in einigen Fällen die Zwei-Faktor-Authentifizierung mit einem Code aus einer App die einzig verfügbare Option ist.
Aber die Gründe, warum Einmalcodes als so sicher gelten, werden nur selten diskutiert, sodass berechtigterweise Fragen auftauchen, wie zuverlässig sie wirklich sind, welche Gefahren zu berücksichtigen sind und was Sie bei der Verwendung dieser Zwei-Faktor-Authentifizierungsmethode beachten müssen. In diesem Beitrag geht es hauptsächlich darum, diese Fragen zu beantworten.
So funktionieren Authenticator-Apps
In der Regel funktionieren solche Apps wie folgt: Der Dienst, für den Sie sich authentifizieren, und der Authenticator selbst teilen sich eine Zahl – einen geheimen Schlüssel (der in einem QR-Code enthalten ist, den Sie verwenden, um die Authentifizierung für diesen Dienst in der App zu aktivieren). Der Authenticator und der Dienst nutzen zeitgleich denselben Algorithmus, um einen Code auf der Grundlage dieses Schlüssels und der aktuellen Uhrzeit zu erzeugen.
Sobald Sie den von Ihrer App generierten Code eingeben, vergleicht der Dienst diesen mit dem von ihm selbst generierten Code. Stimmen beide Codes überein, ist alles in Ordnung und Sie können auf das Konto zugreifen (wenn nicht, dann nicht). Wenn Sie die Authentifizierungs-App über einen QR-Code verknüpfen, werden neben dem geheimen Schlüssel auch eine Menge Informationen übertragen. Unter anderem die Verfallszeit des Einmalcodes (normalerweise 30 Sekunden).
Die wichtigste Information – der Geheimschlüssel – wird nur ein einziges Mal übertragen, nämlich dann, wenn sich der Dienst mit dem Authenticator koppelt – beide Parteien merken ihn sich dann. Bei jeder neuen Kontoanmeldung werden also keine Informationen mehr vom Dienst an den Authenticator übertragen, sodass es nichts abzufangen gibt. Tatsächlich benötigen Authenticator-Apps nicht einmal Internetzugang, um ihre Hauptaufgabe zu erfüllen. Alles, was ein Hacker theoretisch abfangen kann, ist der Einmalcode, den das System generiert und den Sie dann eingeben müssen. Und dieser Code ist nur etwa eine halbe Minute lang gültig.
Wir haben bereits in einem separaten Beitrag ausführlicher beschrieben, wie Authentifizierungs-Apps funktionieren. Dort erfahren Sie mehr über Authentifizierungsstandards, die in QR-Codes enthaltenen Informationen zur Verknüpfung dieser Apps und über Dienste, die mit den gängigsten Authentifizierungsanwendungen nicht kompatibel sind.
Wie sicher ist 2FA mit Einmalcode?
Fassen wir die wichtigsten Vorteile der Authentifizierung per Einmalcode über eine App zusammen:
- Guter Schutz vor Datenlecks: Ein Passwort allein reicht nicht aus, um Zugang zu einem Konto zu erhalten – man benötigt auch einen einmaligen Code.
- Anständiger Schutz vor dem Abfangen dieses Einmalcodes. Da dieser Code nur 30 Sekunden lang gültig ist, bleibt Hackern nicht viel Zeit, ihn zu verwenden.
- Es ist nicht möglich, einen Geheimschlüssel aus einem Einmalcode wiederherzustellen. Selbst wenn also der Code abgefangen wird, können Angreifer den Authenticator nicht klonen.
- Das Gerät, das Einmalcodes generiert, benötigt keine Internetverbindung. Es kann unabhängig von ihr betrieben werden.
Sie sehen, das System ist gut durchdacht. Die Entwickler haben alles Erdenkliche getan, um es möglichst sicher zu gestalten. Aber keine Lösung ist 100 % sicher. Auch bei der Authentifizierung per Code über eine App gibt es einige Risiken zu beachten und Vorkehrungen zu treffen. Darauf werden wir als Nächstes zu sprechen kommen.
Datenlecks, E-Mail-Hacking und mögliche Lösungen
Ich habe oben bereits erwähnt, dass die Authentifizierung mittels Einmalcodes durch eine App ein hervorragender Schutz gegen den Verlust von Passwörtern ist. Und in einer perfekten Welt wäre das auch so. Leider bleibt es aber nicht dabei. Es gibt einen entscheidenden Punkt, der sich aus dem Umstand ergibt, dass Anbieter ihre Nutzer in der Regel nicht wegen eines so kleinen, ärgerlichen Details wie dem Verlust des Authenticators (was jedem passieren kann) verlieren wollen. Daher stellen sie in der Regel eine alternative Möglichkeit zur Kontoanmeldung bereit: das Senden eines Einmalcodes oder eines Bestätigungslinks an eine verknüpfte E-Mail-Adresse.
Wenn also ein Datenleck auftritt und Angreifer sowohl das Kennwort als auch die damit verknüpfte E-Mail-Adresse kennen, können sie versuchen, sich mit dieser alternativen Methode bei einem Konto anzumelden. Und wenn Ihre E-Mail-Adresse schlecht geschützt ist, ist es sehr wahrscheinlich, dass Hacker die Eingabe eines Einmalcodes aus einer App umgehen können.
So kann man Abhilfe schaffen:
- Halten Sie Ausschau nach Datenlecks und ändern Sie umgehend die Passwörter der betroffenen Dienste.
- Verwenden Sie niemals das gleiche Passwort für verschiedene Dienste. Dies gilt insbesondere für E-Mail-Konten, mit denen andere Konten verknüpft sind.
- Bei einigen Diensten können Sie zusätzliche Anmeldemethoden deaktivieren. Bei wichtigen Konten kann sich dies lohnen (vergessen Sie aber nicht, ein Backup des Authenticators zu erstellen – mehr dazu weiter unten).
Physischer Zugang und neugierige Blicke
Jemand könnte Ihnen über die Schulter schauen, wenn Sie eine Authentifizierungs-App verwenden, und den Einmalcode dabei sehen. Und nicht nur einen einzigen Code, denn Authentifikatoren zeigen oft mehrere Codes hintereinander an. Ein Eindringling könnte sich also bei jedem dieser Konten anmelden, sofern er den Code zu Gesicht bekommt. Selbstverständlich bliebe den Hackern nicht viel Zeit, um daraus einen konkreten Nutzen zu ziehen. Aber man sollte kein Risiko eingehen – 30 Sekunden könnten für einen Cyberkriminellen mit geschickten Fingern ausreichen…
Noch gefährlicher wird die Situation, wenn es jemandem gelingt, ein entsperrtes Smartphone mit einem Authenticator in die Hände zu bekommen. In diesem Fall könnte diese Person die Gelegenheit nutzen, um sich ohne viel Aufwand bei ihren Konten anzumelden.
So minimieren Sie solche Risiken:
- Verwenden Sie eine Authentifizierungs-App, bei der die Codes nicht standardmäßig auf dem Bildschirm angezeigt werden (es gibt eine ganze Reihe davon).
- Legen Sie ein starkes Passwort fest, um das Smartphone zu entsperren, auf dem die Authentifizierungs-App installiert ist, und schalten Sie die Funktion der automatischen Bildschirmsperre nach einer kurzen Zeit der Inaktivität ein.
- Verwenden Sie eine App, bei der Sie zusätzlich ein Passwort für die Anmeldung festlegen können (solche Apps gibt es auch).
Phishing-Seiten
Die meisten Phishing-Seiten, die für Massenangriffe entwickelt wurden, sind recht primitiv. Ihre Ersteller beschränken sich in der Regel auf den Diebstahl von Anmeldedaten und Passwörtern, die sie dann irgendwo im Dark Web zu Spottpreisen weiterverkaufen. Natürlich ist die Zwei-Faktor-Authentifizierung ein perfekter Schutz vor solchen Hackern: Selbst wenn jemand Ihre Anmeldedaten in die Hände bekommt, sind sie ohne einen Einmalcode von einer App völlig nutzlos.
Auf sorgfältiger und glaubwürdiger gestalteten Phishing-Seiten, insbesondere solchen, die für zielgerichtete Angriffe ausgelegt sind, können Phisher jedoch auch den Überprüfungsmechanismus der Zwei-Faktor-Authentifizierung imitieren. In diesem Fall fangen sie nicht nur den Benutzernamen und das Passwort ab, sondern auch den Einmalcode. Danach loggen sich die Angreifer schnell in das echte Konto des Opfers ein, während die Phishing-Website möglicherweise eine Fehlermeldung ausgibt und einen weiteren Anmeldeversuch vorschlägt.
Leider ist Phishing trotz der scheinbaren Simplizität ein äußerst wirksamer Trick für Kriminelle, und es kann schwierig sein, sich gegen raffinierte Betrugsversuche zu schützen. Die allgemeinen Ratschläge lauten hier wie folgt:
- Öffnen Sie keine Links in E-Mails – insbesondere nicht solche, die von unbekannten oder verdächtigen Adressen stammen.
- Prüfen Sie sorgfältig die Adresse der Seiten, auf denen Sie Ihre Kontodaten eingeben.
- Verwenden Sie eine zuverlässige Lösung mit automatischem Phishing-Schutz.
Stealer-Malware
Um es gelinde auszudrücken: Die meisten Menschen mögen es nicht, den gesamten Authentifizierungsprozess durchlaufen zu müssen. Deshalb versuchen Dienste, ihre Nutzer nicht unnötig zu belästigen. In Wirklichkeit müssen Sie in den meisten Fällen nur dann mit einem Passwort und einem Bestätigungscode vollständig authentifiziert werden, wenn sie sich auf einem Gerät zum ersten Mal bei Ihrem Konto anmelden. Oder eventuell ein weiteres Mal, wenn Sie versehentlich die Cookies in Ihrem Browser gelöscht haben.
Nach der erfolgreichen Anmeldung speichert der Dienst ein kleines Cookie auf Ihrem Computer, das eine lange Geheimnummer enthält. Diese Nummer wird Ihr Browser dem Dienst von nun an zur Authentifizierung vorlegen. Falls es also jemandem gelingt, diese Datei zu entwenden, kann er sie verwenden, um sich bei Ihrem Konto anzumelden. Ein Passwort oder ein Einmalcode sind dafür überhaupt nicht erforderlich.
Solche Dateien (zusammen mit einer Reihe anderer Informationen wie im Browser gespeicherte Passwörter, Schlüssel für Krypto-Wallets und andere ähnliche Dinge) können von Stealer-Trojanern gestohlen werden. Wenn Sie das Pech haben, einen Stealer auf Ihren Computer zu schleusen, besteht eine sehr gute Wahrscheinlichkeit, dass Ihre Konten trotz aller anderen Vorsichtsmaßnahmen gehijackt werden.
Um dies zu verhindern:
- Installieren Sie keine Programme aus dubiosen Quellen.
- Verwenden Sie eine [Kaspersky Premium placeholder]zuverlässige Schutzlösung[/Kaspersky Premium placeholder] auf all Ihren Geräten.
Fehlende Authenticator-Backups
Der Zugang zu Ihren Konten kann auch durch einen zu starken Schutz verloren gehen. Zum Beispiel, wenn, nachdem Sie den Zugang zu Ihren Konten ohne einen Code aus einer App verboten haben, der Authenticator irgendwie abhandenkommt. In diesem Fall könnten Sie Ihre Konten und die darin gespeicherten Informationen für immer verlieren. Immerhin sind Ihnen ein paar spaßige Tage mit tränenreichen Korrespondenzen mit dem Kundendienst zur Wiederherstellung des Zugangs sicher.
Es gibt tatsächlich etliche Umstände, unter denen Sie Ihren Authenticator verlieren können:
- Ein Smartphone kann so beschädigt werden, dass man keine Informationen daraus entnehmen kann.
- Sie können es verlieren.
- Und natürlich könnte es gestohlen werden.
All diese Ereignisse sind unvorhersehbar, daher ist es besser, sich im Voraus zu schützen, um unangenehme Folgen zu vermeiden:
- Stellen Sie sicher, dass Sie die Daten des Authenticators sichern. Viele Apps ermöglichen ein Backup in der Cloud; bei einigen kann man sie auch als lokale Datei speichern.
- Es kann sinnvoll sein, den Authenticator auf zwei verschiedenen Geräten zu installieren oder sogar mehrere verschiedene Apps zu verwenden. Dies schützt Sie davor, dass Ihr Backup nicht zur Verfügung steht, wenn die Cloud-Infrastruktur eines einzelnen Authenticators im unpassendsten Moment unerreichbar ist.
So schützen Sie sich
Fassen wir noch einmal zusammen. Die Zwei-Faktor-Authentifizierung selbst reduziert das Risiko, dass Ihre Konten in die falschen Hände geraten, aber sie garantiert keine absolute Sicherheit. Es lohnt sich daher, zusätzliche Vorsichtsmaßnahmen zu ergreifen:
- Legen Sie ein Passwort für das Gerät fest, auf dem der Authenticator installiert ist.
- Verwenden Sie eine Authenticator-App, die Einmalcodes vor unerwünschten Zuschauern verbergen kann und es ermöglicht, für die Anmeldung bei der App selbst ein Passwort festzulegen.
- Vergessen Sie nicht, ein Backup des Authenticators zu erstellen.
- Verwenden Sie möglichst keine einfachen Passwörter und benutzen Sie nicht die gleichen Passwörter für verschiedene Konten. Ein [Kaspersky Password Manager placeholder]Passwort-Manager[Kaspersky Password Manager placeholder] hilft Ihnen, einzigartige und sichere Zeichensequenzen zu generieren und zu speichern.
- Achten Sie auf Datenlecks und ändern Sie umgehend die Passwörter der betroffenen Dienste, insbesondere wenn es sich um die E-Mail-Adresse handelt, mit der andere Konten verknüpft sind. Übrigens: Kaspersky Password Manager spürt Passwort-Leaks auf und warnt Sie vor ihnen.
- Um sich vor Phishing und Stealer-Malware zu schützen, sollten Sie auf all Ihren Geräten [Kaspersky Premium placeholder]eine zuverlässige Sicherheitslösung installieren[/Kaspersky Premium placeholder].
- Achten Sie auf Log-in-Versuche bei Ihren Konten und reagieren Sie schnell auf verdächtige Ereignisse. Übrigens, wir haben eine Anleitung, die Ihnen sagt, was zu tun ist, wenn Ihr Konto gehackt wurde.