Online-Accounts mit Zwei-Faktor-Authentifizierung (2FA) sichern

Willst Du deine Online-Accounts vor dem Zugriff potentieller Angreifer besser schützen? Dann sollte dich das Thema „Zwei-Faktor-Authentisierung (2FA)“ interessieren. Dabei handelt es sich um ein Verfahren, bei dem sich Nutzer mit einem zusätzlichen zweiten Faktor authentisieren und gegenüber einem System authentifizieren. In diesem Beitrag stelle ich Dir unterschiedliche Methoden der Zwei-Faktor-Authentisierung bzw. Zwei-Faktor-Authentifizierung vor und erläutere, wie sich diese auf die Sicherheit deiner Online-Accounts auswirken können.

I. Was ist der Sinn von Zwei-Faktor-Authentisierung?

Zunächst sollten wir uns klar werden, welchen Sinn und Zweck die Zwei-Faktor- Authentisierung hat. Ziel ist es, dass unbefugten Dritten der Zugang zu Online-Accounts und den dort enthaltenden Nutzerdaten erschwert werden soll, indem beim Anmeldeprozess eine weitere Schranke bzw. Komponente – der zweite Faktor – eingebaut wird. Das bedeutet, dass es zur Anmeldung in einem mit Zwei-Faktor-Authentifizierung geschützten Online-Account nicht mehr genügt, in den Besitz des Passwortes zu gelangen. Vielmehr wird nach der Eingabe des richtigen Passwortes nach dem hinterlegten zweiten Faktor gefragt. Diesen benötigt ein Angreifer, um auf gewünschte Daten oder Funktionen zuzugreifen. Ohne Ihn, kann er im Regelfall nicht auf den Online-Account zugreifen! Der Nutzer kann sich daher mit einer Kombination aus sicheren Passwörtern und 2FA besser vor unberechtigten Zugriffen auf genutzte Online-Accounts schützen. Schließlich ist es nicht selten, dass Anbieter Passwörter ungehasht, also im Klartext speichern, und wegen Ihrer großen Datenbestände ein attraktives Angriffsziel für Kriminelle sind. Tür und Tor für Datendiebe und Datenleaks.

II. Welche 2FA-Verfahren gibt es? Wie sicher sind Sie?

Viele Online-Dienste haben mittlerweile erkannt, dass ein zweiter Faktor die Account-Sicherheit erhöhen kann. Die Diensteanbieter offerieren daher vermehrt in den Einstellungen die Möglichkeit, dass der Nutzer die Zwei-Faktor-Authentisierung (2FA) aktiviert.

Dabei unterscheiden sich die Dienste dahingehend, dass unterschiedliche Verfahren zur Zwei-Faktor-Authentisierung unterstützt werden. Gängig ist die Authentisierung über Software- (z.B. Authenticator-Apps) und/oder Hardware-Tokens (z.B. Nitrokey) im OTP-Verfahren. Vermehrt wird das U2F-Verfahren unterstützt und das unsichere SMS-basierte Verfahren verdrängt.

1. SMS-basierte Verfahren (Unsicher!)

Zutat: Mobilfunknummer

Eine verbreitete, aber heutzutage als nicht mehr sicher geltende Methode ist die Zwei-Faktor-Authentisierung über SMS-basierte Verfahren. Dabei teilt der Nutzer einem Dienst seine Mobilfunknummer mit und erhält bei jeder (verdächtigen) Anmeldung im Account eine SMS mit einem Einmalpasswort, welches er dann zusätzlich zum üblichen Passwort eingeben muss.

Jedoch rate ich an dieser Stelle ausdrücklich von der Verwendung SMS-basierter Verfahren ab. Zum einen handelt es sich bei dem zweiten Faktor (Mobilfunknummer) um ein personenbezogenes Datum. Schließlich dürfen in Deutschland seit dem 01.Juli 2017 SIM-Karten nicht mehr anonym aktiviert werden. In Europa sieht die Lage ähnlich aus: Immer mehr Länder fordern eine SIM-Karten-Registrierungspflicht. Zum anderen ist es nicht selten, dass Unternehmen die bereitgestellten Mobilfunknummern auch für andere Zwecke, etwa zur Schaltung von personalisierter Werbung, missbrauchen. Ein solches Vorgehen beweist z.B. die Vergangenheit von Facebook (Englisch) und Twitter (Englisch). Am bedeutsamsten ist aber, dass die Übertragung via SMS keinen sicheren Übermittlungsweg darstellt: Personen in der Nähe können einen Blick auf per SMS übermittelte Einmalpasswörter erlangen, sofern die Sperrbildschirmbenachrichtigungen aktiviert sind. Darüber hinaus kann eine SIM-Karte entfernt und in ein anderes Smartphone eingelegt werden, um auf die SMS zuzugreifen. Kriminelle können sich etwa mittels SIM-Swapping, also der erschlichenen Freischaltung einer Ersatz-SIM-Karte in einem Handyladen oder über die Hotline, Zugriff auf die SMS verschaffen. Diese werden dann an die Ersatz-SIM-Karte gesendet und das Telefon des Opfers wird vom Netzwerk getrennt. Ferner können SMS-Nachrichten abgefangen werden, indem Schwachstellen im SS7 Protokoll, das zur Übertragung der Nachrichten dient, ausgenutzt werden. Zudem sollte nicht vergessen werden, dass die Berechtigungen von Smartphone-Apps ein Sicherheitsrisiko darstellen. Mit Berechtigungen wie „permission.RECEIVE_SMS“ und „permission.Internet“ bzw. „permission.SEND_SMS“ können Sie SMS abfangen und deren Inhalt an Kriminelle weiterleiten.

Dass SMS-basierte Verfahren unsicher sind, veranschaulichen folgende Beispiele: Mithilfe von SMS-Authentifizierung hat das BKA Telegram-Accounts gehackt. Zudem ist es anderen Angreifern gelungen den Account des Twitter Chef Jack Dorsey zu hacken.

2. One-Time-Passwort (OTP)

Zutat: Hardware-Token oder Software Token (z.B. App)

Eine Möglichkeit zur Sicherung der Online-Accounts stellt das OTP-Verfahren dar. Hierfür muss zunächst in den Einstellungen des jeweiligen Online-Dienstes die Zwei-Faktor-Authentifizierung aktiviert und der angezeigte QR-Code eingescannt bzw. die Passphrase eingetippt werden (vgl. Einrichtung von 2FA bei Amazon, Mastodon, Netcup). Am häufigsten wird das Time based OTP-Verfahren (TOTP) verwendet. Dabei wird mit einem Hardware- oder Software Token das Einmalpasswort, welches sich alle 30 Sekunden ändert, generiert und mit demjenigen des Servers abgeglichen. Bei Übereinstimmung erfolgt dann die Anmeldung. Der OTP-Schlüssel ist dem Nutzer und dem Server bekannt.

a) Software-Token

Entscheidest Du dich für die Nutzung von Software-Tokens, musst Du zunächst eine 2FA-App herunterladen. Oftmals wird explizit nur der „Google Authenticator“ erwähnt. Da der Großteil der 2FA-Apps allerdings denselben Algorithmus verwendet, empfiehlt es sich auf Authenticatoren zu setzen, die OpenSource-Software sind. Im App-Store F-Droid finden sich z.B. die kostenlosen Open-Source-Apps andOTP, Aegis und FreeOTP (RedHat). Schau, was Dir gefällt.

Wenn Du dein Smartphone mit einer 2FA-App ausstattest, braucht ein Angreifer also dein Passwort und das OTP-Einmalpasswort, um auf deinen Account zuzugreifen. Beachte allerdings, dass Du auf deinem Telefon die Displaysperre und die Speicherverschlüsselung in den Einstellungen aktiviert hast und die OTP-App mit einem Passwort schützst. Zudem darfst Du nicht vergessen, dass dein Smartphone trotz dieser Maßnahmen mittels eines Trojaners ausgespäht werden kann. Deshalb solltest Du weiterhin für jeden Dienst individuelle starke Passwörter verwenden.

Vereinzelt kann es vorkommen, dass manche Anbieter den Einsatz proprietärer 2FA-Apps fordern und nicht mit freien 2FA-Apps von Drittanbietern kompatibel sind. Dies ist etwa bei eBay oder bei Videospiel-Publishern (z.B. Steam Mobile, Blizzard Authenticator) anzutreffen. Hier bleibt zu hoffen, dass bei diesen Anbietern ein Sinneswandel hin zu akzeptablen 2FA-Möglichkeiten stattfindet.

b) Hardware-Token

Alternativ kannst Du sogenannte Hardware-Tokens nutzen, welche die OTP-Einmalkennwörter generieren. Marktführer ist das schwedisch-amerikanische Unternehmen YubiKey, gefolgt vom chinesischen Unternehmen Feitian, das auch den Google Titan-Sicherheitsschlüssel produziert. Ich setze auf quelloffene Hardware-Tokens des deutschen Anbieters Nitrokey (Transparenz: Ich kooperiere mit Nitrokey, da ich das Unternehmen und die quelloffenen Produkte feiere). Mit dem Nitrokey Pro2 und der Nitrokey App können u.a. die OTP-Passwörter generiert werden. Dagegen setzt Yubico mit YubicoOTP unter anderem auf ein proprietäres Protokoll zur Generierung der OTP-Passwörter.

Wenn Du einen Hardware-Token nutzt, braucht ein Angreifer dein Passwort und das OTP-Eimalpasswort (im Regelfall den Zugriff auf den Hardware-Token), um auf deinen Account zuzugreifen.

c) Risiken von OTP

Das OTP-Verfahren stellt also einen zusätzlichen Schutz vor Angreifern dar, da neben dem Passwort zudem ein zweiter Faktor benötigt wird. Allerdings hat auch dieses Verfahren seine Schwachstellen, die man sich vor Augen führen sollte: Bei OTP führen der Server und der Client den gleichen Algorithmus zur Berechnung und Verifizierung des OTP-Einmalkennwortes aus. Wenn ein Angreifer erfolgreich auf den Server eines Unternehmens einbricht und die Parameter ausliest, kann er gültige OTP-Einmalkennwörter berechnen. Daher schützt das TOTP-Verfahren nicht vor Einbrüchen auf dem Server, sodass man wieder dem Anbieter vertrauen muss, dass dieser den „Schlüssel“ schützt. Problematisch ist auch, dass der QR-Code bzw. die Passphrase im Klartext angezeigt und evtl. so auf dem Server gespeichert werden. Eine weiteres Einfallstor stellen die Backup-Codes dar. Diese sollen es dem Nutzer zwar ermöglichen, sich bei Verlust des Zweitfaktors weiterhin anmelden zu können. Da diese online versandt werden, können sie aber auf dem Übertragungsweg abgefangen werden.

3. FIDO-U2F (Universal Second Factor)

Diese Schwächen hat man erkannt und daher an dem Verfahren FIDO-U2F (Fast IDentity Online – Universal Second Factor) gearbeitet. Dabei handelt es sich um ein im Jahr 2014 standardisiertes kryptografisches Public Key Verfahren der FIDO-Allianz zur Nutzer-Authentifizierung. Nachdem der Nutzer seine regulären Zugangsdaten eingegeben hat, prüft der Dienstanbieter den vor dem Login angeschlossenen Zweitfaktor (U2F-Stick). Der Server des Dienstanbieters sendet ein aus zufällig gewählten Zahlen (Challenge) bestehendes Datenpaket an den Nutzer-Client (Browser). Der Browser gibt diesen Input zusammen mit der Login URL, die er sieht, an den U2F-Stick weiter. Dieser berechnet mit einem geheimen Schlüssel die Signatur über diese Daten und schickt diese als Antwort an den Server zurück. Dort kann sie mit dem passenden öffentlichen Sitzungsschlüssel verifiziert werden. Dabei wird für jeden Account ein anderer Schlüssel verwendet.

Ausführlich: Privacy Handbuch, FIDO-Alliance, Wikipedia

a) U2F-Sticks

Zur Nutzung dieses Verfahren benötigt man einen U2F Stick. Diese unterscheiden sich v.a. anhand der Schnittstellen (USB, Bluetooth, NFC). Verbreitet sind Lösungen von YubiKey, Feitian (z.B. Google Titan-Sicherheitsschlüssel) oder Nitrokey (z.B. Nitrokey FIDO2).

b) Vorteile von U2F

Mit diesen Eigenschaften hebt sich das FIDO-U2F gegenüber dem OTP-Verfahren hervor. Der private Schlüssel wird nicht über das Internet gesendet und nicht aus der Hand gegeben. Der Server kennt nur den öffentlichen Schlüssel. Dank dieser asymmetrischen Kryptografie kann ein Angreifer die U2F-Schranke nicht aushebeln, selbst wenn er den Server kompromittiert hat. Vielmehr muss er den U2F-Stick des individuellen Nutzers ausfindig machen, was bei mehreren Zielpersonen zeit- und kosteninventiv sein kann. Zudem schützt das U2F-Verfahren vor Angriffen mit Phishing Webseiten, da die Login URL auch in die Berechnung der Signatur einfließt.

c) Weiterentwicklung

Zudem wurde 2019 vom World Wide Web Consortium (W3C) der Standard WebAuthn veröffentlicht. Er soll den Login mittels Username und Passwort ersetzen und FIDO-U2F weiterentwickeln.

III. Fazit

Mithilfe der Zwei-Faktor-Authentisierung hast Du eine Methode, deine Online-Accounts vor potentiellen Angreifern abzusichern und persönliche Daten zu schützen. Zeit aktiv zu werden und die Chance zu nutzen, Online Accounts mit Software- bzw. Hardware Tokens abzusichern.


Danke, dass Du auf meinem Blog vorbeigeschaut hast. Ich hoffe, Dir hat dieser Beitrag gefallen. Mit einem Kommentar kannst Du mir konstruktives Feedback mitgeben und mit einer Spende meinen Einsatz für Datenschutz und Freiheit finanziell unterstützen.

Bildquelle: Pixabay

2 Replies to “Online-Accounts mit Zwei-Faktor-Authentifizierung (2FA) sichern”

  1. Vielen Dank für die Zusammenstellung!
    Wenn ich mir jetzt einen Nitrokey zulegen möchte, gibt es den allrounder, der also nahezu jede übliche 2FA abdeckt nicht. Man benötigr dann also einen Pro2 und einen FIDO2 ?
    Habe ich das richtig verstanden. Oder anders gefragt, welcher Stick deckt zur Zeit die meisten Bedürfnisse ab?
    Mit Dank und Gruß
    Götz

    1. Den größten Funktionsumfang bzw. den „Allrounder“ stellt der Nitrokey Pro 2 dar. Soweit der Schwerpunkt auf Verschlüsselung liegt, eignet sich der Nitrokey Pro 2. Er bietet auch eine Funktion für Einmalpasswörter und einen Passwort-Manager an. Wer eine Vielfalt an Zwei-Faktor-Authentisierung möchte, setzt auf den Nitrokey FIDO2, da dieser 2FA und FIDO U2F anbietet. Für die meisten ist der Nitrokey Pro 2 der Einstieg. Kommt natürlich auf die Bedürfnisse an! LG

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.