Sowohl in der Arbeit als auch im Privatleben: Digitale Geräte wie das Smartphone sind längst zu einem allgegenwärtigen Werkzeug in unserem Alltag geworden. Wir verwenden eine Vielzahl von Konten auf unseren Smartphones. Nicht nur um uns in sozialen Netzwerken anzumelden, sondern auch für Online-Banking, Shopping oder für die Verwaltung unserer Domains. Bei der Sicherung unserer Accounts spielen Passwörter natürlich eine wichtige Rolle. Geht es um sensible und persönliche Daten, wie bei Zahlungsdiensten oder dem persönlichen Cloud-Speicher, wird eine zusätzliche Sicherheitsebene dringend empfohlen. Viele Unternehmen – von Facebook über PayPal bis hin zu Google – um nur die bekanntesten zu nennen – bieten mittlerweile Zwei-Faktor-Authentifizierung für ihre Dienste an. InterNetX bildet hier keine Ausnahme und bietet ebenfalls 2FA in AutoDNS an. Wir werden die Sicherheit digitaler Konten genauer betrachten und gleichzeitig das Schutzniveau der verschiedenen Zwei-Faktor-Authentifizierungsmethoden (2FA) näher beleuchten.
Was ist Zwei-Faktor-Authentifizierung (2FA)?
Um sich vor unbefugtem Zugriff Dritter zu schützen, bietet die Zwei-Faktor-Authentifizierung ein höheres Sicherheitsniveau. Dieser Prozess beinhaltet mehrere Methoden, die parallel angewendet werden. Dabei basiert die Authentifizierung nicht nur auf einem Benutzernamen und einem Passwort. Die zusätzliche Sicherheitsebene fußt auf wenigstens einem der folgenden Kriterien:
- Wissen: Der am häufigsten verwendete Faktor. Hierbei wird die Kenntnis über eine "geheime Information" – z. B. eines zusätzlichen Passworts oder die Antwort auf eine bestimmte Frage – nachgewiesen.
- Besitz: Darauf hat nur der Benutzer Zugriff. Hier wird die Sicherheitsschicht durch ein Gerät wie ein Smartphone oder ein Hardware-Token verkörpert.
- Charakteristika: Persönliche Merkmale des Benutzers. Normalerweise geht es hier um biometrische Merkmale wie z. B. Fingerabdrücke oder Iris-Scans.
- Ort und Zeit: In letzter Zeit werden auch der physische Aufenthaltsort des Benutzers und die Uhrzeit vermehrt zu Authentifizierungsfaktoren. Ein Benutzer kann beispielsweise nur dann authentifiziert werden, wenn er innerhalb eines bestimmten Zeitfensters das lokale Netzwerk des Unternehmens verwendet.
Die ersten drei oben genannten Faktoren sind die aktuell am häufigsten verwendeten Methoden und umfassen normalerweise das Versenden eines Einmalkennworts (engl. one-time password oder kurz OTP) gemäß RFC 6238. Dieses Passwort besteht aus sechs oder acht Ziffern und ist nur für eine kurze Zeit (bspw. 30 Sekunden) verfügbar.
Um eine Zwei-Faktor-Authentifizierung einsetzen zu können, muss der Benutzer die beiden Faktoren beim zuständigen Service-Provider einrichten. Natürlich sollten entsprechende Informationen immer über eine sichere Verbindung (wie z. B. HTTPS) übertragen werden. Nachdem die Zwei-Faktor-Authentifizierung aktiviert wurde, ist es nicht mehr möglich, sich nur mit einem Benutzernamen und einem Kennwort anzumelden – der zweite Sicherheitsfaktor ist dann immer zusätzlich erforderlich. Die Sicherheitseinstellungen zur Anmeldung können jedoch bei Bedarf auf nur eine Sicherheitsstufe zurückgesetzt werden.
Warum bietet ein Passwort allein keine ausreichende Sicherheit?
Sichere und ausreichend komplexe Passwörter bilden die Voraussetzung für digitale Sicherheit. Es wird jedoch zunehmend schwieriger, sich alle Passwörter zu merken, die wir für unsere genutzten Onlinedienste benötigen. Aus diesem Grund verlassen sich viele Nutzer auf Passwortmanager oder halten die Passwörter gar auf Papier oder in einer auf ihrem Computer gespeicherten Datei fest. Das sind jedoch durchweg Maßnahmen mit einem sehr geringem Sicherheitsniveau. Ganz zu schweigen von der Gefahr, die ein Keylogger mit sich bringt – eine Software, die Tastenanschläge auslesen und aufzeichnen kann. Auf diese Weise kann ein Hacker auch komplexe Passwörter immer noch vergleichsweise leicht knacken.
Dieses Risiko wird noch größer, wenn öffentliche Netzwerke wie z. B. das WLAN in einem Café, in öffentlichen Verkehrsmitteln oder Computer in Bibliotheken oder einem Internetcafé verwendet werden. Überprüfen Sie immer, ob Sie tatsächlich auf verschlüsselten Websites surfen oder ein SSL-Zertifikat für Ihre eigene Webpräsenz bereitsteht, um eine verschlüsselte Kommunikation sicherzustellen.
Jetzt das passende SSL-Zertifikat bestellen
Warum reicht der Benutzername für 2FA nicht aus?
Ein Benutzername wie der Name einer Person, einer Organisation oder eine E-Mail-Adresse stellt kein Sicherheitselement dar. Der Benutzername spielt lediglich die Rolle des "Labels" oder "Personal Identifiers". Es handelt sich häufig um Informationen, die möglicherweise allgemein bekannt bzw. öffentlich zugänglich sind oder leicht erraten werden können. Als Sicherheitselement sind ein oder zwei zusätzliche Faktoren erforderlich, um einen sicheren Authentifizierungsprozess zu gewährleisten.
Warum ist ein elektronisches Postfach nicht 100%ig sicher?
Ähnlich dem Benutzernamen wird auch die E-Mail-Adresse häufig als persönliche Kennung angesehen. Und ganz ähnlich wie ein Smartphone zum Empfangen von Textnachrichten verwendet wird, dient das elektronische Postfach dem Empfang von E-Mails. Im Gegensatz zum Smartphone, das auch in der Offline-Welt physisch existiert, ist E-Mail ein reines Produkt des Internets und leidet dementsprechend unter den gängigen Problemen im Zusammenhang mit der digitalen Sicherheit. Die Verwendung einer E-Mail-Adresse lässt sich daher nicht mit dem physischen Besitz von Hardware vergleichen. Aus diesem Grund ist das elektronische Postfach als Methode für 2FA weitgehend ungeeignet.
Für eine höhere digitale Sicherheit in der E-Mail-Kommunikation sorgt die S/MIME-Technologie. Dieses Zertifikat signiert und verschlüsselt E-Mails, garantiert deren Integrität und gewährleistet den Datenschutz der Nachrichten.
Schützen Sie Ihre E-Mail-Kommunikation mit einem S/MIME-Zertifikat
Diese vier Methoden können als Authentifizierungsfaktor dienen
Es gibt verschiedene Möglichkeiten, einen zusätzlichen Authentifizierungsfaktor anzuwenden und so eine bessere Sicherheitsumgebung für Ihre digitalen Konten sicherzustellen. Lassen Sie uns zunächst einen Blick auf die am häufigsten verwendeten 2FA-Methoden werfen.
1. Textnachricht via Smartphone
Das Token für die zweite Sicherheitsstufe wird häufig per SMS an ein mobiles Gerät gesendet. Dies ist eine sehr bequeme und einfach zu verwendende Methode.
Sie birgt jedoch einige Nachteile: Benachrichtigungen werden häufig auch auf dem Smartphone-Sperrbildschirm angezeigt, sodass das Token auch von nicht autorisierten Dritten gelesen werden kann. Außerdem können SIM-Karten durch Social Engineering dupliziert und die Netzwerke, auf dem die Mobilfunkkommunikation basiert, unterbrochen werden. Ebenso können SMS leicht von Hackern abgefangen werden. Kurz gesagt, die Verwendung von SMS ist für den Benutzer sicherlich einfach und komfortabel, aber nicht die sicherste Methode auf dem Markt.
2. Smartphone-App
Heutzutage ermöglichen eine Vielzahl von Smartphone-Apps die Zwei-Faktor-Authentifizierung, z. B. Google Authenticator oder Yandex.Key. Diese Apps basieren auf demselben Prinzip: Sie generieren ein Einweg-Token und fallen unter die Open Authentication-Architektur (OATH).
Dieses Verfahren ist besonders vorteilhaft, da der Betrieb nicht auf eine Telefonverbindung angewiesen ist. Probleme bereiten hier nur der eventuelle Verlust oder ein Defekt des Smartphones, wodurch dessen Verwendung verhindert würde. Im schlimmsten Fall müssen Sie sich an Ihren Service-Provider wenden und die Zwei-Faktor-Authentifizierung löschen oder zurücksetzen, um wieder auf die von Ihnen genutzten Dienste zugreifen zu können.
Welche App sollten Sie für die Zwei-Faktor-Authentifizierung wählen? Eine Open-Source-App ist immer empfehlenswert, da der Quellcode öffentlich zugänglich ist. Dies erhöht die Sicherheit erheblich, da jeder die von den Entwicklern vorgenommenen Änderungen nachverfolgen kann. So kann beispielsweise ausgeschlossen werden, dass keine Hintertüren hinzugefügt werden.
3. Hardware-Token
Hardware-Token sind Zwei-Faktor-Authentifizierungsmethoden, die hauptsächlich im Online-Banking und im Finanzwesen verwendet werden. Es handelt sich um kleine Hardwaregeräte, die Token intern berechnen. Dieses System hat einen großen Vorteil: Die Token werden offline gespeichert und sind daher nicht mit digitalen Sicherheitsrisiken verbunden. Sie können jedoch von Dritten gestohlen oder abgerufen werden. Daher ist es wichtig, sie an einem sicheren Ort vor neugierigen Blicken aufzubewahren.
4. Biometrische Funktionen
In den letzten Jahren wurden weitere Methoden, die auf einzigartigen persönlichen Merkmalen beruhen, immer beliebter. Beispiele hierfür sind der Fingerabdruck- oder Iris-Scan. Viele Smartphones und Computer verfügen jetzt über integrierte Fingerabdruckscanner, sodass sie beim Zugriff auf Konten oder Apps als zusätzliche persönliche Schutzschicht verwendet werden können.
5. Push-basierte Benachrichtigungen
Um zu überprüfen, ob der Anmeldeversuch tatsächlich vom Eigentümer des Kontos durchgeführt wurde, versenden einige Dienste eine Benachrichtigung. Normalerweise beinhalten diese einen Hinweis auf die versuchte Anmeldung, eine Einschätzung über Ort und Zeitpunkt und teilweise auch die IP-Adresse. Anschließend kann bestätigt werden, ob die Anmeldung wirklich von Ihnen ausgeführt wurde. Alternativ ist es auch möglich, den Anmeldeversuch zu blockieren. Diese Methode ist für den Benutzer sehr einfach und bequem, da kein gesondertes Kennwort empfangen und eingegeben werden muss. Es ist auch weniger anfällig gegen Phishing-Angriffe. Push-basiertes 2FA wurde noch nicht standardisiert, sodass sich die Prozesse ggfs. nicht einfach skalieren lassen. Darüber hinaus ist immer eine aktive Datenverbindung erforderlich.
Wie hoch ist das Sicherheitsniveau der Zwei-Faktor-Authentifizierung?
Um diese Frage zu beantworten, muss die angewandte Methode berücksichtigt und genauer betrachtet werden, da das von 2FA garantierte Sicherheitsniveau entsprechend variiert. Die Verwendung von SMS bietet das geringste Sicherheitsniveau, da hierbei das größte Abfangrisiko besteht. Der Hacker kann einen auf dem Smartphone befindlichen Trojaner einsetzen oder versuchen, sich vom Telefondienstleister eine zweite SIM-Karte zu erschleichen.
Auch Authentifizierungs-Apps sind nicht zu 100% sicher. Wenn es dem Angreifer beispielsweise mit Malware gelungen ist, remote auf das Gerät zuzugreifen, kann er problemlos den zweiten Sicherheitsfaktor abgreifen oder die entsprechenden Token selbst generieren.
Die höchste Sicherheitsstufe bieten Hardware-Token, die häufig durch einen PIN-Code geschützt sind, der lokal eine zusätzliche Sicherheitsstufe bietet. Das alles findet in einer Offline-Umgebung statt und kann daher nicht digital manipuliert werden.
2FA ist nicht perfekt, bietet jedoch zusätzlichen Schutz
Alles in allem bleibt 2FA anfällig für Phishing-, Man-in-the-Browser- und Man-in-the-Middle-Angriffe. Es könnte sich auch gegen moderne Bedrohungen wie ATM-Skimming und Malware als wenig wirksam erweisen. Beispielsweise musste der deutsche Telefonanbieter O2-Telefonica im Mai 2017 eine Sicherheitslücke im Signaling System 7-Protokoll (SS7) eingestehen, die es Angreifern ermöglichte, Malware auf den Computer des Opfers zu spammen. Schließlich konnten sie so sensible Informationen wie den Kontostand, Anmeldedaten und die Handynummer ergattern und so die Bankkonten der Telefonica-Kunden belasten.
Warum also 2FA? Obwohl auch 2FA keinen 100%igen digitalen Schutz gewährleisten kann, bietet auch die Verwendung von 2FA mit einer der weniger sicheren Methoden immer noch ein deutlich höheres Sicherheitsniveau! Zu viele Nutzer haben nach wie vor eine passive Einstellung zur digitalen Sicherheit und behandeln ihre Benutzerdaten und Passwörter nicht mit der notwendigen Sorgfalt und Aufmerksamkeit. Es besteht kein Zweifel daran, sie durch das Hinzufügen eines zweiten Sicherheitsfaktors ihre Konten deutlich besser schützen könnten.
Schützen Sie Ihre Domains: 2FA in AutoDNS aktivieren
In unserer Domain-Plattform AutoDNS können Sie die gewünschte Authentifizierungsmethode für den Anmeldevorgang selbst wählen. Sie haben dabei die Wahl zwischen der Standardeinstellung, bei der lediglich ein Benutzername und ein Kennwort verwendet werden, oder der Zwei-Faktor-Authentifizierung. Hierbei wird ein zusätzliches 6-stelliges Token verwendet, das über eine Smartphone-Anwendung generiert wird. Für die Zwei-Faktor-Authentifizierung sind ein Smartphone und eine entsprechende Authentifizierungsanwendung erforderlich.
Und so geht’s:
- Laden Sie die entsprechende Anwendung auf Ihr Smartphone und öffnen Sie diese.
- Scannen Sie mit der App den QR-Code unter "Authentifizierungsmethode verwalten". Alternativ können Sie den Schlüssel manuell in die App eingeben. Klicken Sie auf das Dreieck neben "Secret", um den Schlüssel anzuzeigen.
- Die App zeigt nun Token an. Geben Sie das Token und Ihr Anmeldekennwort in die entsprechenden Felder unten im Formular ein.
- Klicken Sie auf „Zwei-Faktor-Authentifizierung bestätigen“. Eine Seite mit zehn Service-Token wird angezeigt.
Die Authentifizierungsanwendung generiert jede Minute ein neues Token, das Sie anschließend in das Token-Eingabefeld eintragen können. Bitte bewahren Sie diese Service-Token an einem sicheren Ort auf, um Ihr Konto vor dem Zugriff durch unbefugte Personen zu schützen. Deaktivieren Sie vor dem Wechsel auf ein neues Smartphone die 2FA in Ihrem Konto und starten Sie den Prozess vom neuen Smartphone erneut.
