E-Mail-Konten können leicht von Kriminellen geknackt werden. Die „Zwei-Faktor-Authentifizierung“ soll davor nun besseren Schutz bieten – dank einer kombinierten mehrfachen Absicherung.
Der Zugang zum eigenen E-Mail-Postfach wird von Kriminellen erobert, und der Schaden besteht nicht nur darin, dass Fremde unbefugt die private Post mitlesen. Die Umleitung von Bestellungen kann weitaus schlimmere Konsequenzen haben. Zuletzt wurden im Januar in sogenannten Botnetzen 16 Millionen E-Mail-Adressen mitsamt der zugehörigen Kennwörter entdeckt. Wenn die vollständigen Zugangsdaten gestohlen werden, helfen auch die einschlägigen Tipps für die Wahl eines guten Kennworts nicht weiter.
Man kann jedoch solchen Fällen des Identitätsdiebstahls vorbeugen. Das Stichwort lautet „Zwei-Faktor-Authentifizierung“. Hinter dem sperrigen Begriff steckt die Idee einer kombinierten mehrfachen Absicherung. Am Geldautomaten benötigt man die Bankkarte und die Pin-Nummer. Wer sich in sein Unternehmens-Netz einwählt, verwendet die Login-Daten und ein Sicherheits-Token, eine kreditkartengroße Karte, die auf ihrem Display einen Code anzeigt, der alle fünf Minuten wechselt. Selbst wenn der Token in falsche Hände gerät, kann er für den unerlaubten Zugriff nicht missbraucht werden, weil für den Zugriff auch die Login-Informationen benötigt werden.
Keine Zwei-Faktor-Authentifizierung bei deutschen Anbietern
Eine Zwei-Faktor-Authentifizierung für E-Mail-Konten ist kein Allheilmittel gegen sämtliche Gefahren. Aber sie schafft deutlich mehr Sicherheit als die umstrittene Marketing-Aktion „E-Mail made in Germany“. Wer sein elektronisches Postfach besser schützen will, kommt um den Einsatz des zweistufigen Verfahrens nicht herum. Und es ist bezeichnend, dass deutsche Anbieter wie die Telekom, GMX oder Web.de zwar plakativ mit „Sicherheit“ werben, aber diese grundlegende Technik nicht einmal gegen Entgelt anbieten.
Für höchsten Schutz muss man also, ob man sie nun mag oder nicht, auf amerikanische Anbieter wie Google, Microsoft, Yahoo wechseln. Die erste Möglichkeit besteht darin, zusätzlich das Handy für die erweiterte Authentifizierung einzusetzen. Die entsprechenden Menüs zur Einrichtung heißen „Bestätigung in zwei Schritten“, „Zweite Anmeldeüberprüfung“ oder „Sicherheitsschlüssel“.
Zweiter Schritt kann bei privatem PC ausgesetzt werden
Man gibt seine eigene Rufnummer an, und nach jedem erfolgreichen ersten Schritt mit Login-Name und Kennwort wird automatisch ein mehrstelliger Zahlencode per SMS ans Telefon geschickt. Erst nachdem dieser Zusatzcode ebenfalls eingegeben wurde, ist der Weg zum Konto frei. Auf einem vertrauenswürdigen Rechner, etwa dem PC im eigenen Haushalt, kann man den zweiten Schritt temporär, etwa für 30 Tage, aussetzen lassen. Nach einer erfolgreichen Authentifizierung wird ein Cookie gesetzt, das einem einen Monat lang den Griff zum Handy erspart. Will man sich mit seinem E-Mail-Konto anderswo anmelden, kommt jedoch abermals die SMS.
- Twitter plant wohl Umbau im Management
- Für ein offenes, freies, stabiles Internet: Fragen an Experten auf der Netzkonferenz EuroDIG
Auch wenn es sich kompliziert anhört: Die Zwei-Faktor-Authentifizierung sollte man zumindest bei jenen E-Mail-Konten aktivieren, über die Bestellungen oder gar geschäftliche Transaktionen laufen. Auch Facebook und Twitter sowie die Konten bei Apple, Dropbox, Ebay und Paypal lassen sich auf diese Weise schützen.
Schwierige Einrichtung bei Smartphones
Etwas diffizil kann die Einrichtung eines mit Zwei-Faktor-Authentifizierung laufenden Kontos auf dem Smartphone sein, um unterwegs beispielsweise an die E-Mail zu kommen. Hier gibt es zwei Verfahren. Entweder wird bei der Einrichtung des Kontos auf dem Mobilgerät eine Umleitung in den Web-Browser gestartet, auf dass man auf der gewohnten Website noch einmal Login, Kennwort und SMS-Zugangscode eingibt. Oder der Anbieter arbeitet mit temporären (Einmal-)Kennwörtern, die zunächst im Web-Browser nach erfolgtem Login generiert werden und dann anstelle des Kennworts im entsprechenden Feld des Mobilgeräts eingegeben werden.
Wer öfter mit der Bahn fährt oder sich in anderen Funklöchern aufhält, kann bei einigen Anbietern anstelle der SMS-Codes auf Ersatzcodes zurückgreifen, die für den Einmalgebrauch auf der Website generiert werden. Ohne SMS arbeitet ferner der Google Authenticator, den es gratis als App für alle (mobilen) Betriebssysteme gibt. Er arbeitet wie die Tokens im Unternehmenseinsatz und zeigt alle 30 Sekunden ein neues Kennwort. Vor dem Einsatz des Authenticators generiert der Anbieter einen persönlichen 80-Bit-Geheimcode, der mit dem Einscannen eines QR-Codes auf das Smartphone übertragen wird.
Das anstelle der SMS generierte Einmalkennwort lässt sich jederzeit und selbst ohne Mobilfunkverbindung ablesen, allerdings muss die Uhrzeit des Smartphones halbwegs genau eingestellt sein, weil das Einmalkennwort aus der Uhrzeit und dem 80-Bit-Geheimcode errechnet wird.
Noch bestehen Schwachstellen
Mit der Zweit-Faktor-Authentifizierung geht ein hoher Schutz der eigenen Konten einher. Die weiterhin bestehende Schwachstelle sind Man-in-the-Middle-Angriffe, wenn zum Beispiel der Angreifer eine gefälschte Startseite präsentiert, um Login und SMS-Code oder Einmalkennwort abzufangen. Auch die SMS-Zustellung lässt sich abfischen, nicht nur durch den Diebstahl des Telefons, sondern mit einem Trick der beim Online-Banking mehrfach verwendet wurde: Der Angreifer beantragt im Namen des Opfers eine neue oder zusätzliche Sim-Karte und leitet die SMS um. Der dazu erforderliche Aufwand ist jedoch beträchtlich, und so wird man alles in allem nachdrücklich dazu raten, auf die zusätzliche Hürde der Zwei-Faktor-Authentifizierung nicht zu verzichten.