Kürzlich habe ich beschrieben, was sichere Passwörter sind, wie man sie erstellt und was gute Praktiken sind. Jetzt ist es an der Zeit, mit der Zwei-Faktor-Authentifizierung eine weitere Schutzebene hinzuzufügen. Klingt beängstigend? Keine Sorge, es wird bald alles klar werden 😊.
Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Bestätigung, dass Sie derjenige sind, der Sie vorgeben zu sein. „Aber ist ein Passwort nicht genug?“ Nein, das ist es nicht 🤪. Wenn jemand Ihr Passwort kennt und Sie keine Zwei-Faktor-Authentifizierung haben, hat er sofortigen Zugang zu Ihren Konten. Deshalb ist sie so wichtig. Heutzutage wird sie oft erzwungen (was eine gute Praxis ist), aber leider bieten nicht alle Websites sie an.
Welche 2FA-Optionen haben wir? Welche sind gut und welche sind mehr oder weniger „sicher“?
Es funktioniert wie eine Rubbelkarte. Auf der Website wird der Nutzer aufgefordert, den Code Nummer 2 einzugeben, und kratzt ihn dann ab, um eine Nummer freizugeben, die er auf der Website eingeben kann. Ja… ich glaube nicht, dass ich hier über Sicherheit schreiben muss 🫣….
Beispiele hierfür sind Google oder Apple. Beim Einloggen in ein Konto erhält der Nutzer eine Benachrichtigung von der App oder dem System, dass er versucht, sich einzuloggen. Hier gibt es mehrere Möglichkeiten: Klicken Sie auf die entsprechende Nummer, klicken Sie auf die Schaltfläche „Ja, ich bin’s“ oder lassen Sie sich einen Code anzeigen, den Sie eingeben müssen. Diese Option ist sicherlich besser als SMS. Es bleibt jedoch die Frage, wie lange eine solche Benachrichtigung aktiv ist. Schließlich möchten wir nicht, dass aus Versehen eine Login-Benachrichtigung auftaucht, während wir uns YouTube ansehen, und die unglückliche „Ja, ich bin’s“-Schaltfläche an der Stelle erscheint, wo eigentlich das Video sein sollte. Außerdem ist diese Methode nur so sicher, wie Ihr Telefon sicher ist. Viren, Angriffe, etc.
In der Vergangenheit hat man RSA SecureID verwendet.
Ein kleines USB-Gerät, das eine Ziffernfolge generierte, die wir auf der Anmeldeseite eingeben mussten. Natürlich änderten sich die Codes in regelmäßigen Abständen. Soweit ich weiß, wird dies heute nicht mehr sehr häufig verwendet, weil die Sicherheit einer solchen Lösung, gelinde gesagt, nicht sehr sicher war… Wie Sie sich denken können, reichte es aus, ein solches Gerät abzufangen, und man konnte den einzugebenden Inhalt leicht lesen.
Eine heutzutage recht beliebte Lösung ist ähnlich wie die oben beschriebene, aber in einer Telefon-App. Dies ist eine bessere Option, da die Apps, die unsere Verlängerungscodes speichern, oft über zusätzliche Sicherheitsfunktionen wie biometrisches Scannen (Fingerabdruck oder Gesichtsscan) verfügen. Sie geben diesen Code ein, um sich bei einer Website oder App anzumelden. Er ist jedoch nur so sicher wie das Gerät des Nutzers. Bitte beachten Sie, dass er immer noch anfällig für Angriffe, Viren usw. sein kann.
Alle oben beschriebenen Methoden haben ihre größte Schwachstelle: unsere eigene Dummheit und Leichtgläubigkeit. Wie werden zum Beispiel ältere Menschen heute betrogen? Ein Betrüger ruft eine ältere Frau unter einer Privatnummer an und gibt sich als Bankangestellter aus. Er fragt nach allen Einzelheiten, und die Frau, die nicht weiß, wie das funktioniert, vertraut dem netten Mann am Telefon blind und gibt die Informationen…. Glücklicherweise ist der FIDO-Schlüssel aufgetaucht. Dabei handelt es sich um ein einfaches Gerät, das als unser „Identifikator in der digitalen Welt“ dient. Das Prinzip ist sehr einfach. Wenn über dem Y-Symbol Striche zu sehen sind, bedeutet das, dass es sich um einen Schlüssel handelt, der mit NFC (Nahfeldkommunikation) ausgestattet ist und mit dem man sich auf dem Telefon anmelden kann. Nach Eingabe des Passworts erscheint eine Meldung, in der Sie aufgefordert werden, den Schlüssel zu verbinden (oder ihn zu berühren, wenn das Telefon/der Computer und der Schlüssel über NFC verfügen) und den gelben Kreis zu drücken. Und das war’s 😍. Dieser Schlüssel ist „intelligent“ genug, um zu erkennen, ob man sich auf der offiziellen Website befindet, auf der man sich registriert hat, oder auf einer gefälschten Website, die von einem Betrüger erstellt wurde. Auch wenn man aufgefordert wird, sich mit dem Schlüssel zu verifizieren, braucht man sich keine Sorgen zu machen; der Schlüssel überprüft alles für uns und lässt uns nicht weitermachen, wenn etwas falsch ist. Dies ist das perfekte Geschenk für ältere Menschen (und darüber hinaus). Und warum? Stellen Sie sich vor, ein Betrüger ruft an, die Oma hat bereits ihre Daten angegeben, aber der Betrüger erhält eine Benachrichtigung über den Schlüssel. Der Betrüger weiß, dass er in dieser Situation nichts mehr tun kann. Er kann allenfalls auf das Paket warten.
Die Biometrie, die von mobilen Geräten bekannt ist, ist heute der Standard für die Sicherung von Telefonen. Zur Verifizierung wird ein biometrischer Scan durchgeführt (Fingerabdruck, Gesichtsscan, seltener: Stimmverifizierung, Augenscan usw.) Diese Methode ist nur so sicher wie das Gerät, das sie implementiert. Einige ältere Geräte verwendeten eine einfache Methode, bei der einfach ein Fingerabdruck genommen und ein Abdruck gemacht wurde. Der Finger wurde nicht auf lebendes Gewebe untersucht. Ein anderes Beispiel waren die ersten Generationen von Fingerabdruckscannern, bei denen ein kleiner Kurzschluss am Scanner ausreichte. Die Verifizierung erfolgte direkt am Fingerabdruckscanner, was keine gute Praxis war. Heute ist die Biometrie auf einem relativ guten Stand.
Zusammenfassend lässt sich sagen, dass die Zwei-Faktor-Authentifizierung unsere nächste Sicherheitsstufe ist. Es lohnt sich zu prüfen, ob die von Ihnen genutzten Websites diese Option in ihren Einstellungen versteckt haben. Wenn Sie sich nicht sicher sind, können Sie dies online überprüfen, indem Sie „site_name/app_name two-factor authentication“ eingeben -> zum Beispiel „Google Zwei-Faktor-Authentifizierung“. Wenn Sie sie noch nicht haben, lohnt es sich, sie zu aktivieren.
Die Wahl der 2FA-Methode bleibt dem Nutzer überlassen.
Vergessen Sie nicht, Ihre E-Mails auf diese Weise zu sichern. Wenn ein Betrüger Zugang zu Ihren E-Mail-Konten hat, kann er sich jederzeit für Sie ausgeben und bei Ihren anderen Konten sagen: „Ich habe mein Passwort vergessen“ 😏.
Natürlich versuche ich immer, Links anzugeben, damit Sie nicht denken, ich hätte mir das alles aus Langeweile ausgedacht 🤪.
