Double Security for Online Services
Double Security for Online Services
© Getty Images/iStockphoto

Knowhow

Wie man Online-Dienste doppelt absichert

Warum ist E-Banking sicher? Neben der Verschlüsselung des Datenverkehrs vom eigenen Computer zur Bank gibt es ein zweites Sicherheitsnetz. Erlangt jemand Zugriff auf Benutzername und Passwort, können dennoch keine Überweisungen durchgeführt werden, weil dazu auch der TAN-Code nötig ist. Dieser steht nicht mehr auf einem Zettel, sondern wird zeitnah per SMS zugesandt. Das Gleiche bieten auch immer mehr Webdienste. Dies kann beispielsweise bei Google, Facebook oder Dropbox optional in den Sicherheitseinstellungen zum Account aktiviert und auch wieder deaktiviert werden.

Zwei-Weg-Authentifizierung
Um sich anzumelden, braucht man zwei Dinge: etwas, das man weiß (den Benutzernamen und das Passwort) sowie etwas, das man hat (das Handy). Fortan kann sich ein Dritter selbst dann nicht einloggen, wenn er Benutzername und Passwort kennt.

Warum dies wichtig ist, zeigen immer mehr Fälle von Account-Diebstählen: Der Hack des

, die Datenpanne bei
oder ein Passwortdiebstahl bei
sind nur einige Beispiele von vielen. Erst unlängst forderte Dropbox seine Nutzer per E-Mail zur "zweistufigen Überprüfung" auf und bat um die Eingabe einer Handynummer.

Fatal ist die herkömmliche Anmeldung vor allem dann, wenn vielfach dieselbe Kombination aus Benutzername und Passwort verwendet wird. Jemand, der im Besitz eines Passworts ist, kennt gleichzeitig Zugangsdaten vieler anderer Dienste.

Sicherheit bei Maildiensten ist besonders kritisch. Selbst wenn man überall unterschiedliche Passwörter nutzt, kann der Angreifer bei vielen anderen Angeboten über den Link "Passwort vergessen" mit Hilfe der Mailbox quasi alle anderen Zugangsdaten ändern. Bei einigen Anbietern ist der Zugang zur Mailbox sogar über ein paar einfach herauszufindende Angaben (Sicherheitsfragen) zu bekommen.

Wie einfach dieses "Social Engineering" - etwa das Erschleichen von Zugangsdaten mit Hilfe von Wikipedia & Co. - vonstattengehen kann, zeigte der Fall von Wired-Redakteur

, dessen vollständiges digitales Leben mit Hilfe der Beantwortung weniger Sicherheitsfragen geknackt wurde.

Und schlussendlich gilt: In Zeiten immer stärkerer Rechenleistung ist selbst das komplexeste Passwort potenziell unsicher.

So funktioniert`s
Ist die „Zwei-Faktor-Authentifizierung“ aktiviert, wird nach der Eingabe von Benutzername und Passwort ein sechsstelliger Code per SMS zugesandt. Erst wenn auch dieser eingegeben wurde, hat man Zugang zum Konto.

Das bedeutet: Ein Dritter, der sowohl den Benutzernamen als auch das Passwort kennt, muss zudem Zugang zum Handy haben. Der Hacker in China oder der eifersüchtige Ex-Partner sind so zuverlässig ausgesperrt. Ein Freibrief für Passwörter à la "susi1980" ist dies freilich nicht.

Vertrauenswürdige Computer
Weil die Anmeldeprozedur etwas umständlicher ist, bewerten diese Dienste einzelne Computer - etwa das Smartphone, iPad, den PC zu Hause oder jenen in der Arbeit - auf Wunsch als "sicher". Die erneute Eingabe des Sicherheitscodes kann eine Zeitlang unterbleiben. Wie lange diese Zeitspanne ist, ist von Betreiber zu Betreiber unterschiedlich.

Bestätigung in zwei Schritten bei Google
Bei Google wird die "Bestätigung in zwei Schritten" in den Kontoeinstellungen unter Sicherheit aktiviert. Der Internetkonzern ist allerdings nicht konsequent. So wird die sichere Anmeldung längst nicht von der gesamten Fülle an Google-Diensten durchgängig unterstützt.

Für alle noch nicht unterstützten Angebote (etwa Google Reader oder Google Talk) gibt es sogenannten "anwendungsspezifische Passwörter". Dabei handelt es sich um sichere Passwörter, die nur für einen bestimmten Dienst gelten.

Wer die Anmeldebestätigung per SMS nicht mag, kann sich die Authenticator-App herunterladen, die es für iOS, Android, Windows Phone oder Blackberry (Installation über die mobile Website m.google.com/authenticator) gibt. Die App errechnet die ansonsten per SMS zugesandten Zufallscodes im Minutentakt neu. Für die Authenticator-App bietet Google Programmierschnittstellen für andere Webdienste, weshalb sie sich als Quasi-Standard etabliert hat.

Doch was, wenn man das Handy verloren oder nicht dabei hat? Für diesen Fall gibt es Backup-Codes, die man über die Sicherheitsseite der Kontoeinstellungen bekommen kann und ausdrucken sollte.

Wem das doppelte Sicherheitsnetz zu umständlich ist, kann dies jederzeit auch deaktivieren. Die Einstellung dazu befindet sich im hellblauen Balken über den Sicherheitseinstellungen.

Zweistufige Überprüfung bei Dropbox
Der Cloudspeicherdienst Dropbox gilt als einer der heikleren, weil dort viele wichtigen und oft auch persönlichen Dateien abgelegt und synchronisiert werden. Daher sollte es selbstverständlich sein, den Zugang dazu doppelt zu schützen.

In den Sicherheitseinstellungen findet sich dazu den Punkt "zweistufige Überprüfung". Hier klickt man auf "ändern" und wird durch die Einstellungen geführt. Dauer: wenige Sekunden.

Bei Dropbox erhält man die Sicherheitscodes wahlweise per SMS oder über die Googles Authenticator App (siehe oben). Zur Konfiguration der Authenticator-App dient wie bei Google ein QR-Code.

Anmeldebestätigung bei Facebook
Bei Facebook gibt es lediglich die Möglichkeit, sich per SMS doppelt anzumelden

Aktiviert werden die Anmeldebestätigungen in den Sicherheitseinstellungen. Auch hier gilt: Man muss sich am Heim-PC nicht ständig authentifizieren. Man muss dies lediglich hin und wieder tun.

Two-step verfication bei Apple
Gut acht Monate nach einem aufsehenerregenden Fall von

hat es gedauert, bis Apple Ende März damit begann, seine "two-step verification" auszurollen.

Wenn diese verfügbar ist, finden sich die Einstellungen auf den Seiten zur Verwaltung der Apple ID unter "Kennwort und Sicherheit".

Apple nutzt als zweites Sicherheitsnetz SMS und die App Mein iPhone suchen.

Google Authenticator für die eigene Website
Wer eine eigene Website betreibt, hat ebenfalls großes Interesse daran, dass sich kein Unbefugter einloggen kann. Ein praktisches Plugin für das Content Management System (CMS) WordPress sichert den Zugang ebenfalls über die Authenticator-App von Google ab.

Entsprechende Erweiterungen gibt es auch für Typo3 und Drupal.

Weitere Anbieter
Bei PayPal nennt sich diese Anmeldemethode Security Key, Amazon Web Services bietet Multi-Factor Authentication an. Der Notizdienst Evernote arbeitet noch an seiner Two-Factor Authentication. Beim Online-Passwortmanager LastPass setzt man wie beim Hostinganbieter Dreamhost auf den Google Authenticator. Administratoren von Windows Computern können diese mit Passwort (was man weiß) und Smartcards (was man hat) ebenfalls absichern.

Hat dir der Artikel gefallen? Jetzt teilen!

Georg Holzer

Geek aus dem Süden, der mindertalentiert aber dafür umso lieber fotografiert und kocht. Den Kopf immer voller Ideen hat, kaum etwas davon umsetzt und dennoch einen richtig fetten digitalen Fußabdruck hinterlässt. Liebt (das nun befreite) Kärnten und mag Wien immer noch nicht. Private Webseite: http://georgholzer.at

mehr lesen
Georg Holzer

Kommentare