Zwei-Faktor-Authentifizierung (auch 2FA genannt)
Zwei-Faktor-Authentifizierung: (auch 2FA genannt) hierbei wird zusätzlich zum Kennwort eine zweite Komponente benötigt um einen Zugriff zu erhalten. Ein bekanntest Beispiel von einer 2FA ist das mobile TAN beim Online Banking.
Zwei-Faktor-Authentifizierung – Wikipedia (auch 2FA genannt) hierbei wird zusätzlich zum Kennwort eine zweite Komponente benötigt um einen Zugriff zu erhalten.
Ein bekanntes Beispiel von einer 2FA ist das mobile TAN beim Online Banking. Du brauchst Benutzernamen und Kennwort zum Anmelden, um aber eine Überweisung durchzuführen brauchst du auch noch ein TAN welches dir die Bank mittels SMS schickt.
Es gibt mehrere Möglichkeiten der 2FA. Die zwei bekanntesten sind SMS und Google Authenticator. Es gibt auch eine weitere Möglichkeit und zwar mittels USB Schlüssel, z.B. YubiKey.
Zwei-Faktor-Authentifizierung mittels SMS vermeiden
Wenn möglich solltest du die SMS 2FA meiden. Das zugrunde liegende SS7 Protokoll wurde schon vor Jahren als unsicher eingestuft (siehe Mitlesen, abhören: Brisante Sicherheitslücke im Handynetz UMTS - IT-Security - derStandard.at › Web) es gibt aber auch noch das Problem von Social Engineering.
In 2017 hat ein Coinbase User - Coinbase ist ein Exchange für Kryptowährungen - 8.000 US$ in kürzester Zeit verloren trotz aktiver 2FA.
Hierbei haben Diebe beim Netzanbieter (Verizon) angerufen und den Hotline Mitarbeiter dazu gebracht, eine neue SIM mit der Rufnummer zu aktivieren.
Damit konnten sich die Diebe bei Coinbase anmelden und sämtliche Kryptowährungen auf eigene wallets transferieren, damit war das Geld weg, trotz Zwei-Faktor-Authentifizierung. Original Blog dazu kann man auf medium lesen. How to lose $8k worth of bitcoin in 15 minutes with Verizon and Coinbase.com
2FA mit Google Authenticator
Google Authenticator kannst du sehr schnell und einfach einrichten und kann auf Facebook, Google und viele andere Dienste aktiviert werden.
Als erstes brauchst du die Google Authenticator App.
Für iPhone: Google Authenticator on the App Store
Für Android: Google Authenticator - Apps on Google Play
Details zum Einrichten von Google Authenticator findet man direkt bei Google: Google 2-Step Verification
Google Authenticator bei Facebook einrichten
Unter Einstellungen -> Sicherheit -> “User two factor authentication” findest du bei Facebook die Option 2FA aktivieren.
Hier musst du unter “Code Generator” die “third party app” Option wählen und dir wird ein QR Code angezeigt.
Jetzt musst du in der Google Authenticator App auf “Einrichtung starten” klicken und “Barcode Scannen” auswählen, dann den QR Code von Facebook scannen.
Danach wird dir ein 6-Stelliger Code angezeigt, dieser Code ist nur für kurze Zeit gültig, du musst mit diesem Code die Einrichtung bei Facebook bestätigen.
Das wars, ab jetzt musst du bei jedem Facebook login auf einem neuen Gerät dein 2FA Code eingeben. Sollte also mal dein Kennwort erraten werden, wird sich dennoch niemand bei deinem Facebook Konto anmelden können, ohne den 2FA Code aus dem Google Authenticator.
Mögliche Probleme mit Google Authenticator
Du brauchst unbedingt für jeden Dienst auch eine Recovery Methode im Falle, dass der Google Authenticator nicht funktioniert. Das kann z.B. passieren wenn du das Smartphone verlierst oder dein Smartphone kaputt wird.
Bei Facebook findet man diese Möglichkeit gleich unter der Option um den Google Authenticator einzurichten.
Aber auch bei anderen Diensten wie Slack oder Google gibt es die Option für recovery codes. Diese kannst du z.B. in 1Password verschlüsselt abspeichern oder ausdrucken und irgendwo sicher aufbewahren.
Ein zweites Problem ergibt sich wenn du dein Handy zur Reparatur schickst. Solltest du ein neues Smartphone haben dann musst du vor dem einschicken des alten Smartphones die Google Authenticator App auf das neue Smartphone umsiedeln. Eine Anleitung dazu findest du direkt bei Google. Mit einem neuen Smartphone Codes für die Bestätigung in zwei Schritten erhalten - Google-Konto-Hilfe
Nicht vergessen: Lösche dein altes Smartphone bevor du es zur Reparatur schickst!
Solltest du noch kein neues Smartphone haben musst du sicherstellen, dass du für jeden Dienst ein Recovery Code hast. Notfalls kannst du temporär die 2FA deaktivieren, ich rate jedoch davon ab.
2FA mit YubiKey
YbuKey (Discover YubiKeys | Strong Two-Factor Authentication for Secure Login | Yubico) kannst du dir wie einen Autoschlüssel vorstellen, ohne Autoschlüssel kannst du dein Auto nicht starten.
So ähnlich funktioniert es auch mit dem YubiKey. Auch diesen kannst du bei Diensten wie Facebook einrichten. Versucht nun jemand sich von einem neuen Gerät anzumelden ist eine Anmeldung ohne YubiKey nicht möglich, auch wenn derjenige dein Kennwort kennt.
Um dich anzumelden musst du den YubiKey am USB von deinem Computer anschließen oder mittels NFC mit dem Smartphone verbinden.
Leider ist das mit NFC bei iPhone nicht so einfach, daher solltest du dich vorher bei yubico.com (der Hersteller von Yubikey) informieren ob das funktioniert.
Mehrere 2FA Methoden verwenden
Du bist keinesfalls an nur einer Methode limitiert! Man kann auch mehrere Methoden einrichten. Damit kannst du dich dann bei Facebook mit Google Authenticator oder YubiKey oder Recovery Code anmelden.
Somit hast du auch eine Möglichkeit dich anzumelden, falls etwas mit deinem Smartphone passiert ist und deine Authenticator App nicht mehr funktioniert.