Jedes Mal, wenn eine gehackte Webseite in den Medien auftaucht, von denen Accounts (Kombination aus z.B.  E-Mail-Adresse und Passwort) entwendet wurden, wird einem mulmig zumute. Gerade erst, hat man die Millionen Accounts vergessen, die mit Collection #1 veröffentlicht wurden (773 Millionen Accounts geklaut), muss man erneut tätig werden und schauen, ob man dieses Mal selbst betroffen ist oder nicht (Das neue Digital Schutzpaket – Jetzt mit ID-Alarm). Oft vergisst man dabei, dass diese Daten vor der Veröffentlichung bereits in den Händen von Hackern waren: Was diese damit angestellt haben, ob die Daten schon genutzt wurden, z.B. um die Accounts zu übernehmen? Dieses bekommt man meist erst im Nachhinein mit, wenn man versucht auf der Webseite das eigene Passwort zu ändern.

 

Viele größere Anbieter haben bereits vor langer Zeit schon reagiert und versuchen zumindest den Zugang zum eigenen Service, für den Fall eines Datenlecks, sicherer zu machen. Sie bieten dazu eine Zwei-Faktor-, Zwei-Schritt- oder Mehrfach-Authentisierung an. Sinn dieser Authentisierung ist, zu überprüfen, ob die eingebende Person auch die Person ist, die sie vorgibt zu sein. Hierzu wird nach Eingabe des Passwortes (1. Faktor) eine Authentisierung durch den 2. Faktor angestoßen. Schlägt die Authentisierung über den 2. Faktor fehl, wird der Nutzer nicht eingeloggt. Der Angreifer hat somit keine Möglichkeit, den Account zu missbrauchen.

 

Wie genau funktioniert das?

Dienste, welche die Zwei-Faktor-Authentisierung einsetzen, verlangen zuerst den Benutzernamen bzw. E-Mail-Adresse und das zugehörige Passwort (Sichere Passwörter erstellen). Ist beides korrekt eingegeben, erfolgt eine weitere Authentisierung durch den 2. Faktor. Hierbei wird zum Beispiel eine SMS mit speziellem Zahlencode an die hinterlegte Handynummer gesendet, der dann bei dem Dienst eingetragen werden muss. Erst wenn auch diese Authentisierung als korrekt akzeptiert wurde, ist der Zugang zum gewünschten Dienst möglich.

 

Dabei muss die Zwei-Faktor-Authentisierung nicht unbedingt über eine SMS geschehen. Viele Diensteanbieter setzen hierbei auf eine breite Palette von Möglichkeiten. Hierzu zählen z.B.:

 

• Textnachricht ( mTAN , smsTAN)
• E-Mail
• Sprachanruf (Mit Code Nennung, ähnlich wie SMS)
• Authenticator-App
• Fingerabdruck, Retina, Gesicht (FaceID)
• USB-Token (Kryptografisch)
• Chipkarte (Kryptografisch)
• TAN, eTAN, chipTAN (Generatoren)

 

Die Faktoren müssen hierzu immer aus verschiedenen Kategorien stammen. Also eine Kombination aus Wissen (Benutzername, Passwort oder Pin), dem Besitz (Chipkarte oder USB-Token) oder Biometrie (Fingerabdruck). Einige Verfahren kombinieren dabei auch mehrere Faktoren miteinander. So muss bei einer Authentisierung durch die Online-Ausweisfunktion des Personalausweises (Personalausweis wird mit Kartenlesegerät eingelesen) auch der PIN des Personalausweises eingegeben werden. Erst mit dieser Kombination findet die Authentisierung beim Diensteanbieter statt.

 

Wichtig: Bei der Verwendung von mTAN ist es wichtig, nicht das gleiche Gerät für den Empfang der mTAN und dem Login bei dem Dienst (zum Beispiel Bank App oder Webseite) zu verwenden. Durch die nicht ausreichende Trennung, ist es Angreifern möglich, diese Daten abzugreifen.

 

Mit der Zwei-Faktor-Authentisierung steht uns eine Möglichkeit offen, Accounts noch besser vor einem Angriff dritter zu schützen. So kann es zwar weiterhin sein, dass das Passwort „erraten“ wird oder im Internet auffindbar, ein Login aber aufgrund der fehlenden zweiten Authentisierung nicht möglich ist. Sollte Ihr Anbieter die Zwei-Faktor-Authentisierung unterstützen, ist es ratsam, diese zu aktivieren und somit zu nutzen.