Passwort-Sicherheit durch Zweifaktor-Authentifizierung

Ein Passwort allein genügt heute nicht mehr, um sich vor Hackern und Datendieben zu schützen. Sicherer unterwegs ist man im Netz mit einer Zweifaktor-Authentifizierung (2FA). Davon spricht man, wenn man beim Einloggen zum Cloudspeicher oder E-Mail-Konto oder zum Bestätigen einer Überweisung beim Online-Banking neben dem Passwort noch einen weiteren Beleg dafür braucht, dass man berechtigter Nutzer ist. "Es ist ein zusätzlicher Schutz", erklärt Marc Fliehe vom IT-Verband Bitkom. Folgendes sollte man über 2FA wissen:

Passwörter nerven genug. Warum soll ich auch noch 2FA einsetzen?

Niemand will sich viele verschiedene komplizierte Passwörter merken. Aber schlimmer noch: "Passwörter sind kaputt", sagt Jürgen Schmidt von der Fachzeitschrift "c't". Viele nutzen im Alltag schlechte oder unsichere Passwörter - und schlimmstenfalls überall das gleiche Passwort. Geraten Dritte in dessen Besitz, haben sie schnell Zugriff auf wichtige Onlinekonten, mit ganz unterschiedlichen Folgen vom Onlineshopping auf Rechnung des Opfers über Diebstahl persönlicher Daten bis hin zur möglichen Veröffentlichung privater Fotos. So wie 2014, als vermehrt Nacktbilder von US-Prominenten im Netz auftauchten. Ursache: erratene oder geknackte schwache Passwörter. Mit 2FA sind Onlinekonten gegen solche Angriffe besser geschützt.

Welche Dienste sollte man unbedingt schützen?

Besonders das E-Mail-Konto ist wichtig. "Es ist Schaltzentrale für viele Accounts", sagt Jürgen Schmidt. Schließlich ist die Mailadresse auch häufig der Nutzername oder kann zum Ändern von Passwörtern anderer Dienste genutzt werden. Android- und iPhone-Nutzer sollten auf jeden Fall ihre Konten bei Google und iCloud schützen. Allerdings bieten längst noch nicht alle E-Mail-Dienstleister 2FA an.

Welche gängigen Formen der 2FA gibt es?

Wer Onlinebanking macht, nutzt schon seit Jahren 2FA. Etwa über die TAN-Listen auf Papier oder die TAN-Generatoren. Sehr beliebt ist auch der Versand von Sicherheitscodes per SMS auf das Mobiltelefon. "Man kann die TAN auch über eine App auf dem Smartphone erzeugen", sagt Marc Fliehe. Dann gibt es noch die sogenannten Token. Das können etwa USB-Sticks sein, auf denen Code-Schlüssel liegen oder kleine Geräte, die alle paar Sekunden einen neuen Sicherheitscode erzeugen. Auch Biometrie kann ein zweiter Faktor sein. Dann legt man etwa nach Eingabe des Passworts einen Finger auf den Scanner oder lässt das Muster der Augen-Netzhaut durch eine Kamera scannen.

Gibt es vergleichsweise unsichere Arten der 2FA?

Ja, Sicherheitsfragen wie "Was war Ihr erstes Auto?" oder "Wie lautet der Mädchenname Ihrer Mutter?". "Diese Fragen lassen sich relativ leicht recherchieren", warnt Jürgen Schmidt. Ebenfalls unsicher ist es, wenn man sich Sicherheitscodes auf das Gerät senden lässt, mit dem man sich gerade auch in ein Onlinekonto einloggen will. Denn ist der Computer beispielsweise mit einem Trojaner infiziert, kommen Angreifer dennoch nicht an den aufs Smartphone gesendeten Sicherheitscode. Empfängt man diesen jedoch auf dem infizierten Computer, wäre der Schutz dahin. "Dann sind die Kanäle nicht mehr unabhängig", erklärt Schmidt. Auch Sicherheitscodes per SMS werden allmählich zum Auslaufmodell. Das US-Institut für Standards und Technology (NIST) empfiehlt in einem aktuellen Gutachten, SMS nicht mehr als Teil von 2FA zu nutzen. Grund: Sie können vergleichsweise einfach abgefangen werden. "Ein Luxusproblem", sagt allerdings Marc Fliehe. Sicherheitscodes per SMS seien schon wesentlich sicherer als gar keine 2FA.

Wie geht es weiter mit 2FA?

"Die gängige Maßnahme für mehr Sicherheit ist die 2FA", sagt Jürgen Schmidt. Er ist überzeugt, dass es künftig noch mehr 2FA geben wird. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Technik in seinen IT-Grundschutzkatalogen. In einem Diskussionspapier zur Absicherung von Telemediendiensten regt das Amt an, 2FA zum Standard zu machen. Auch Marc Fliehe rechnet mit einer weiteren Verbreitung. "Das erhöht die Anwendersicherheit, ohne den Komfort einzuschränken", sagt er. "Und man wird dadurch viel entspannter." Dass 2FA auch noch einfacher geht, zeigt etwa Google seit einigen Wochen. Statt einen Code einzugeben, müssen Nutzer von Android-Telefonen oder einer entsprechenden iOS-App nun nur noch eine Meldung auf ihrem Telefon per Fingertipp bestätigen.