Online-Account schützen: Zwei-Faktor-Authentifizierung (2FA) bei Mastodon

Die Plattform Mastodon ist mittlerweile nicht nur das „bessere Twitter“ in Open-Source, sondern für viele Menschen – nicht nur Datenschützer – auch das soziale Netwerk für Freiheit und den freundlichen Austausch mit Menschen. Über Mastodon habe ich coole Menschen kennengelernt und mittlerweile folgen mir circa 300 Leute auf dem Mr.Datenschutz-Account. Solche Verbindungen möchte man erhalten, sodass das Thema Account-Sicherheit an Bedeutung gewinnt, sodass ich die Zwei-Faktor-Authentifizierung (2FA) eingerichtet habe. Ich empfehle Ihnen diese auch einzurichten. Wie das geht, erfahren Sie in diesem Artikel.

Ziel ist es, dass der Zugriff auf den Mastodon-Account nicht mehr allein über die E-Mail-Adresse und das Passwort (erster Faktor) erfolgt, sondern unter Zuhilfenahme eines zweiten Faktors. Dafür eignet sich ein Hardware-Schlüssel (z.B. Nitrokey FIDO2*) oder ein Software-Schlüssel (z.B. OTP-App andOTP [FDroid]). Auf diese Weise können Dritte, selbst wenn Sie die E-Mail-Adresse und das Passwort des Nutzers (z.B. durch Phishing) erlangt haben, nicht auf dem Mastodon-Account zugreifen, da Ihnen meist der zweite Faktor zur Anmeldung fehlt.

Anleitung: Einrichtung der Zwei-Faktor-Authentifizierung

Zutaten: Zweiter Faktor (Hardware- oder Software-Schlüssel); ca. 4 Minuten

1. Anmeldung im Mastodon-Account

Zunächst müssen Sie sich – wie bisher auch – in Ihrem Mastodon-Account anmelden. Geben Sie hierzu die festgelegte E-Mail-Adresse und Ihr (im besten Fall sicheres) Passwort ein.

2. Zwei-Faktor-Authentifizierung aktivieren

a) Profil bearbeiten => Konto => Zwei-Faktor-Auth

Eingeloggt bei Mastodon klicken Sie auf die Schaltfläche „Profil bearbeiten„. Links erscheint eine Navigations-Leiste. Hier navigieren Sie zu „Konto“ und wählen „Zwei-Faktor-Auth“ aus.

Nachdem Sie auf „Einrichten“ gedrückt haben, werden Sie gebeten Ihr Passwort nochmals einzugeben. Macht Sinn bei wichtigen Einstellungen („Du betrittst einen sicheren Bereich„).

Nach korrekter Eingabe erscheint ein QR-Code und ein sogenanntes Klartext-Geheimnis.

b) Eingabe des QR-Codes bzw. des Klartext-Geheimnisses

Zur Aktivierung der Zwei-Faktor-Authentifizierung können Sie den QR-Code in Ihrer genutzten OTP-App einscannen oder das aus Buchstaben und Zahlen bestehende Klartext-Geheimnis in der OTP-App bzw. in der Nitrokey App für Ihren Nitrokey Pro 2* eingeben bzw. abspeichern.

Ist das erfolgreich geschehen, erscheint in der OTP- bzw. Nitrokey App ein „2FA Code„. Dieser besteht aus einer Zahlenreihe, die sich im regelmäßigen Zeitabstand ändert. Geben Sie diesen generierten Code in das Mastodon-Freifeld unter den Worten „Zwei-Faktor-Authentifizierung“ ein („Gib zur Bestätigung den Code ein, den deine Authenticator-App generiert hat.„).

Hat es geklappt, erscheint folgender Dialog: „Zwei-Faktor-Authentisierung erfolgreich aktiviert„. Gratulation, Sie haben Ihren Account mit 2FA sicherer gemacht! Wie wäre es mit folgender Idee: Machen Sie sich die Sicherheit Ihrer Online-Accounts zum Vorsatz für das Jahr 2020.

c) Wichtig: Wiederherstellungscodes / Backups!

Außerdem werden Ihnen an dieser Stelle sogenannte „Wiederherstellungscodes“ angezeigt.

Diese sollten Sie sich ausdrucken oder anderweitig notieren und vor dem Zugriff Dritter geschützt aufbewahren. Wichtig ist auch, dass Sie diese nicht digital auf Geräten speichern, die mit dem Internet verbunden sind und / oder ein Betriebssystem der Datenkraken nutzen. Schließlich ermöglichen die zehn bereitgestellten Wiederherstellungscodes, dass man sich im Mastodon-Account anmelden kann, obwohl der zweite Faktor kaputt oder verloren gegangen ist. Denken Sie daher an eine sichere Aufbewahrung der Wiederherstellungscodes und an rechtzeitige Backups der Nitrokeys bzw. der OTP-Software. Nur so kann sichergestellt werden, dass nur derjenige, der sowohl den zweiten Faktor als auch die Login-Daten hat, auf den Account zugreifen kann und Sie sich nicht selbst aus dem eigenen Account aussperren.

3. 2FA-Test im Mastodon-Account

Zum Testen der Zwei-Faktor-Authentifizierung melden Sie sich nochmals in Ihrem Mastodon-Account an. Bei erfolgreicher Einrichtung erscheint nach Eingabe von Kundennummer und Passwort ein Dialog-Fenster zur Eingabe des 2FA-Codes. Wunderbar, es hat also geklappt!

Sofern das „Worst-Case“ eintritt, Sie also sowohl den Hardware- bzw. Software Schlüssel (zweiter Faktor) verloren haben als auch die Wiederherstellungscodes nicht mehr auffinden können, bieten einige Betreiber von Mastodon-Instanzen die Möglichkeit an, sich mit diesen in Kontakt zu setzen, um eine Lösung zu finden. Wie das konkret abläuft und wie sodann die Authentisierung erfolgt, kann ich mangels Erfahrungswerten nicht beurteilen. Da mich diese Frage aus Sicherheitsaspekten allerdings interessiert, setze ich mich in meinem Fall mit GGC-Project in Verbindung. Ich halte euch in dieser Frage auf dem Laufenden. GGC-Project bietet neben der Mastodon-Instanz „Social.Dev-Wiki“ eine Vielzahl freier Internetprojekte an und kann bei Liberapay mit einer Spende unterstützt werden. Mein Mastodon-Account ist dort, nachdem „Mastodon.at“ zu meinem Bedauern entschieden hat, die Pforten zu schließen.

An dieser Stelle ein Reminder: Server-Betreiber haben große Macht und große Verantwortung. Vertrauen ist daher ein wichtiges Kriterium bei der Wahl der Mastodon-Instanz.


Hat Ihnen dieser Beitrag gefallen? Dann hinterlassen Sie ein Kommentar und unterstützen Sie den Einsatz für Datenschutz und Freiheit auf dem Blog mit einer Spende. Je finanziell freier ein Projekt ist, desto unabhängiger kann es agieren.

Tranparenz: Mit „*“ gekennzeichnete Links sind Affiliate-Links. Mit jedem vermittelten Kauf eines Nitrokeys stärken Sie Ihre Sicherheit und unterstützen den Blog finanziell!

Beitragsbild: Screenshot; Mastodon von Eugen Rochko

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.