Zwei-Faktor-Authentifizierung: Was man bedenken sollte

Originalartikel von Jonathan Leopando (Technical Communications)

In den zurückliegenden Wochen haben einige bekannte Sites in der einen oder anderen Form eine Zwei-Faktor-Authentifizierung eingeführt. Twitter kam zuerst, schon bald gefolgt von Evernote und LinkedIn.

Aus Anwendersicht stellt dies eine begrüßenswerte Verbesserung in Sachen Sicherheit dar. Für den Fall, dass Passwörter (irgendwie) kompromittiert wurden, müssen Angreifer nun eine zusätzliche Hürde überwinden, bevor sie Zugriffsrechte erlangen.

Freilich besteht immer noch Raum für weitere Verbesserungen. Alle drei genannten Dienste verifizieren auf der Basis von Textnachrichten, d.h. dass sie einen Zugangscode auf das Handy eines Anwenders schicken, wenn jemand versucht, sich anzumelden. Unglücklicherweise ist mobile Schadsoftware durchaus in der Lage, Textnachrichten abzufangen: Für einen geschickten Angreifer ist es also möglich, sich diese Nachrichten anzueignen.

Eine Alternative, die einige Sites bereits verfolgen, stellt eine Authentifizierungs-App dar, die einen Verifikationscode auf dem Gerät selbst erzeugt. Einige Sites erfordern die Nutzung ihrer eigenen App, andere wiederum halten sich an den Standard RFC 6238, so dass eine einzige App verschiedene Dienste authentisieren kann.

Darüber hinaus aber gibt es einige Herausforderungen, was die Bedienung betrifft. Nicht alle Apps oder Betriebssysteme erlauben den Nutzern, Authentifizierungscodes einzugeben (in der Tat erlauben es nur einige wenige). In diesen Fällen muss der Anwender ein applikations- oder gerätespezifisches Passwort erstellen – falls der Dienst das unterstützt. (Theoretisch könnte auch dies bei einer schlechten Implementierung Risiken verursachen). Außerdem stellt der Verlust des Handys ein reales Problem dar. Allein im Jahr 2012 verloren 1,6 Millionen Menschen in den USA ihr Handy. Ein weit verbreiteter Dienst, der eine Zweifaktorauthentifizierung allgemein zur Verfügung stellt, muss sich irgendeinen Weg überlegen, wie ein Anwender sich ausweisen kann, wenn er das Handy verloren hat.

Dies wirft ein weiteres Schlaglicht auf die Brisanz des Gerätediebstahls, die hier vor kurzem diskutiert wurde. Mobile Endgeräte sind nicht nur für sich betrachtet wertvoll und enthalten die persönlichen Daten der Anwender, sondern können auch buchstäblich als Schlüssel zu deren Online-Konten dienen.

Selbstverständlich sind die erwähnten drei Dienste nicht die einzigen, die eine Zweifaktorauthentifizierung einführen. Viele andere bekannte Unternehmen wie Blizzard, Facebook, Google und Microsoft unterstützen irgendeine Ausprägung der Zweifaktorauthentifizierung. Die Anwender sollten prüfen, welcher der von ihnen genutzten Dienste diese Art der Authentifizierung anbieten, und diese auf jeden Fall aktivieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*