Das sicherste Passwort ist ein Schlüssel!

Lasst mich mal eben eines klarstellen, es gibt Menschen, die verwenden für jedes Benutzerkonto das gleiche Passwort. Gerade jene, welche nicht in der IT-Branche arbeiten. Das ist aber auch gar nicht weiter schlimm. Egal welches Passwort du auch verwendest. Jedes kann mithilfe der nötigen Ressourcen gehackt werden.

Wie kann ich mich denn dann am besten schützen?

Seit einigen Jahren bieten verschiedenste Plattformen die Möglichkeit auf 2FA an.

Was genau ist 2FA?

2FA steht für Two-Factor Authentication zu deutsch Zwei-Faktor-Authentisierung. Dieses verfahren erweitert den Identitätsnachweis um einen weiteren Faktor.

Standardmäßig ist das Passwort oder Kennwort für die Anmeldung bei einer Plattform nötig. Mit 2FA kommt nun eine weitere Abfrage hinzu. Hier kann man unterscheiden, ob man per SMS eine Code bestätigen muss, eine E-Mail mit einem Code bestätigen muss oder einen physischen Schlüssel einsteckt.

Erst wenn beide Faktoren gültig sind, wird die Anmeldung bestätigt.

Welches 2FA Verfahren ist am sichersten?

SMS-TAN und die Bestätigung via E-Mail kann verwendet werden und ist auch besser als keine 2FA. Zu beachten ist hier jedoch, dass SMS sehr unsicher in der Übertragung ist und E-Mail Konten auch gehackt werden können.

Du hast es vermutlich schon erahnt, der physische Schlüssel ist hier am sichersten. Niemand bekommt ohne deinen U2F FIDO Security Key Zugriff auf dein Benutzerkonto. Wenn also jemand dein Passwort herausfinden sollte, müsste der Angreifer dich finden und deinen Schlüssel klauen. Was aber wahrscheinlich 99,9% niemand machen wird.

Moment, was ist denn jetzt FIDO und U2F schon wieder?

Also, FIDO ist eine nicht-kommerzielle Allianz, die unteranderm von großen Unternehmen wie PayPal und Lenovo gegründet wurde.

FIDO steht hier für Fast IDentity Online und wurde bereits 2013 gegründet.

U2F steht für Universal Second Factor und ist eine Industriestandard für eine allgemeine Zwei-Faktor-Authentisierung.

Das wiederum wurde von Google in kooperation mit Yubico gegründet. Für die Weiterentwicklung von U2F ist die FIDO Allianze zuständig.

Wie funktioniert so ein FIDO U2F Sicherheitsschlüssel?

Die Schlüssel schauen meistens aus wie ein normaler USB-Stick mit einem Knopf.

Beim Einrichten wird bei der jeweiligen Plattform ein öffentlicher und privater Schlüssel erstellt und verschlüsselt auf dem Stick gespeichert. Mit dem öffentlichen Schlüssel erfolgt die Anmeldung.

Das hört sich jetzt vielleicht etwas kompiliziert an, in der Praxis ist das aber sehr einfach.

Stick einstecken, Button drücken und fertig!

Warum wird 2FA nicht öfter verwendet?

Das ist eine sehr gute Frage, bei der ich mir auch noch nicht wirklich schlüssig geworden bin. Natürlich erfordert die Umsetzungen der 2FA mittels einem U2F Schlüssel ein gewisses Know-How. Die public und private Keys sollen ja nicht irgendwo für 24 Stunden im Internet herumirren, sondern am besten so schnell wie nur möglich mit der nötigen Verschlüsselung auf dem Stick gespeichert werden.

Klein und auch große Firmen kann ich hier auch gut verstehen, man will schließlich keine neuen Sicherheitslücken öffnen. Ein Parade-Beispiel für 2FA ist auch jeden Fall Google bzw. die Alphabet Inc, aber auch Amazon bietet hier bereits mehr Sicherheit an.

Bei Google hast du sogar die Möglichkeit einen Ersatzschlüssel zu hinterlegen, sollte der Schlüssel aus irgendeinem Grund nicht mehr funktionieren oder er geht einfach verloren.

Was ich sehr schade finde, ist der Fakt, dass es bei PayPal nicht mehr diese Möglichkeit gibt. Warum wurde von seitens PayPal noch nicht bekanntgegeben.

Wo verwende ich die 2FA?

Da ich persönlich viel mit Google Produkte arbeite, z.B GSuite, GMail, YouTube, Analytics, Search Console usw., möchte ich natürlich, dass das Konto besonders gut gesichert ist. Google bietet sogar MFA an, also die Multi-Factor-Authentication, hier kommt einfach noch der Faktor des Standortes hinzu. Meistens bekommt man eine E-Mail wenn sich jemand aus Texas bei deinem Konto anmelden möchte. Google erkennt anhand deines letzten Standortes bzw. von den GPS Daten deines Handys, wo du dich gerade aufhältst.

Genau also Google, Amazon, PayPal (via SMS Tan), Steam (E-Mail Code).

Benutzt du auch schon die 2FA? Wenn ja welche Methode und bei welchem Anbieter? Wie ist deine Erfahrung damit?

Wenn du noch Fragen bzgl. den Keys hast, schreib mir einfach bei Instagram unter @michster eine Nachricht. Ansonsten möchte ich abschließend nur mitteile, dass sich jeder mit diesem Thema beschäftigen sollte. Täglich werden Benutzerkonten gehackte und fälschlicherweise missbraucht.