Sicheres Anmelden: Die Zwei-Faktor-Authentifizierung
Wir alle wollen Datensicherheit – und manchmal muss man dafür auch seine Angewohnheiten ändern. Über gute Passwörter und die Erkennung von Phishing schrieb ich bereits, heute geht es um die sichere Anmeldung. Zwei-Faktor-Authentifizierung klingt, als wenn deutsche Bürokraten das Raumschiff Enterprise im Handstreich übernommen hätten, doch macht sie Ihre Konten erheblich sicherer. Selbst im schlimmsten Fall, wenn Ihre Login-Daten bereits gestohlen wurden!
Wer sich mit unserer Identität bei Google, Microsoft, Dropbox, Amazon, Apple, Facebook, Twitter und anderen Dienstleistern anmeldet, kann viel Unfug anstellen. Mit etwas Pech wird es teuer, weil jemand unter unserem Namen einkauft oder es steht irgendwann die Polizei vor der Tür, weil Illegales damit unternommen wurde. Durch einen Trojaner, Phishing oder auch einen gehackten Firmen-Server, auf dem Ihre Daten lagen, kann dies durchaus passieren. Umso wichtiger ist es, die Anmeldung nicht nur auf den Benutzernamen und das Passwort zu beschränken. Die Zwei-Faktor-Authentifizierung stellt einen weiteren Schritt dar und ist Ihnen vielleicht schon vom Online-Banking bekannt.
Zwei-Faktor-Authentifizierung bedeutet, dass Sie nicht nur Benutzername und Passwort eingeben, sondern zusätzlich einen Code, der vorher von der Seite (also z.B. Google) an Ihr Handy geschickt wird. Es ist also ein erweiterter Identitäts-Nachweis, der all jene aussperrt, die vielleicht Ihre Daten ergaunert, aber nicht Ihr Handy haben. Um diese sichere Anmeldung zu nutzen, muss man diese Option erst bei den jeweiligen Seiten freischalten. Wie das funktioniert? Alles schön der Reihe nach.
1.) Zuerst loggt man sich bei der Seite, die man absichern will (nehmen wir als Beispiel Google), ganz normal ein, also mit Benutzername und Passwort.
2.) Geht man dann in die Konto-Einstellungen, findet man dort den Punkt Anmeldung (oder auch Sicherheit, Authentifizierung, etc.), es heißt bei jedem Anbieter leider etwas anders. Bei Google heißt es z.B. "Anmeldung und Sicherheit".
3.) Dort angekommen, findet man bei Google die „Bestätigung in zwei Schritten“, bei Amazon ist es die „Zwei-Schritt-Verifizierung“, bei Facebook die „Two-Factor Authentication“.
4.) Aktiviert man die Option, möchten die Anbieter die Nummer des Handys haben. Man gibt sie also ein, falls vorher noch nicht geschehen.
5.) Nun bekommt man eine SMS mit dem Sicherheits-Code an das Handy geschickt. Man gibt den Code auf der Seite (hier: Google) am Computer ein und – fertig. Das Handy ist nun im System und wird nun bei jedem Einloggen mit eingebunden.
Fortan geben Sie zuerst Benutzername und Passwort ein, erhalten dann sofort eine SMS mit dem Code und geben diesen dann zusätzlich ein. Ein Schritt mehr – der mehr Sicherheit garantiert. Denn wer auch immer in Zukunft Ihren Benutzernamen plus Kennwort auf dubiosen Wegen erhält, kann nichts damit anfangen. Ohne Ihr Handy kann sich niemand anmelden. Wem das auf Dauer zu anstrengend ist: man kann den heimischen Rechner auch als sicher kennzeichnen (bei Google: Computer registrieren), dann kommt der Code nur, wenn man sich auf einem anderen Computer anmeldet. Das ist dann noch um einiges komfortabler und man muss nicht immer das Handy suchen, wenn man daheim auf einen Dienst zugreifen will. Doch was passiert, wenn man im Urlaub oder im Funkloch ist? Auch da haben Anbieter wie Google mitgedacht.
Denn man kann die Codes nicht nur per SMS erhalten. Spezielle Apps der Anbieter können auch Codes erstellen, wenn das Handy offline ist, die Google Authenticator App ist hier ein gutes Beispiel. Man kann ebenso Ersatztelefonnummern einrichten, falls z.B. das Handy kaputt oder außer Reichweite ist. Manche Anbieter erlauben auch die Erstellung von Sicherheitsschlüsseln (also USB-Sticks mit einer kleinen Software darauf), die die Anmeldung ermöglichen. Ich persönlich hätte keine Lust auf so einen zusätzlichen Stick, den ich immer dabeihaben müsste, andere schwören darauf. Für Fans der Papierform erlaubt Google auch den Ausdruck von Codes in Listenform. Das ähnelt dann einer frühen Form des Online-Bankings, mag aber Traditionalisten durchaus gefallen.
Ob Handy, Sicherheitsschlüssel oder Liste, bleibt Ihnen überlassen
Wer Schwierigkeiten mit dem Vorgang hat – Suchmaschinen und die Hilfeseiten der Anbieter helfen. Die großen Firmen haben ein erhebliches Interesse daran, den Zugang sicher zu gestalten und haben sich ziemlich ins Zeug gelegt, es möglichst einfach zu halten. Wichtig: Beim SMS-Versand können Kosten entstehen, die Übermittlung der Codes über Apps ist hingegen kostenlos. Es muss natürlich jeder selbst entscheiden, ob man diesen Schritt gehen will. Zusätzlicher Aufwand oder Herausgabe der Handynummer, nicht jeder mag das! Ebenso werden Zeitgenossen ohne Handy (nein, es muss kein Smartphone sein) hier ausgeschlossen.
Wer damit aber keine Probleme hat und bislang in Furcht um seine Daten lebte, sollte sich mit der Zwei-Faktor-Authentifizierung beschäftigen. Man gewöhnt sich sehr schnell daran und letztendlich kann der Aufwand am heimischen Rechner gegen Null gehen, wenn die Sicherheits-Anmeldung dort deaktiviert ist. Und letztendlich: Der Gedanke, dass ein Widerling irgendwo da draußen fremde Daten in die Hände bekommt, sie dann aber nicht nutzen kann, hat doch seinen Reiz.
Was mich interessieren würde: Nutzen Sie die Zwei-Faktor-Authentifizierung bereits oder denken Sie daran, Ihr eine Chance zu geben?