Was ist Zwei-Faktor-Authentifizierung und wie nutze ich sie?

Die 2-Faktoren-Authentifizierung ist nicht zu verwechseln mit der Multi-Faktor-Authentifizierung. 2FA ist eine einfache und effektive Sicherheitslösung, die mittlerweile für zahlreiche Dienste verfügbar ist, darunter die Betriebssysteme von Apple, Google Drive, Windows 10 sowie 11 und einige soziale Netzwerke.

Um auf ein mit 2FA-geschütztes Profil zuzugreifen, benötigst du zwei Schritte:

• Ein Passwort oder einen PIN-Code
• Zugang zu einem bestimmten Gerät, z. B. das Smartphone

Mit 2FA wirst du jedes Mal, wenn du dich bei deinem Konto anmeldest, aufgefordert, dein Passwort einzugeben. Dann wird automatisch ein Einmal-Code an dein Mobiltelefon gesendet. Mit der Eingabe des Codes, den du per Nachricht erhältst, kannst du dich dann anmelden.

Selbst wenn ein Cyberkrimineller also dein Passwort (z.B. durch Shoulder Surfing) in Erfahrung bringt und versucht, in dein Konto einzubrechen, muss er auch physischen Zugang zu deinem Telefon haben, um den zweiten Schritt der Authentifizierung durchführen zu können.

Ist eine Zwei-Faktor-Authentifizierung notwendig, wenn du bereits eine zweistufige Verifizierung (2SV) hast? Die Antwort lautet: Ja.

Obwohl 2SV auch eine zusätzliche Schutzebene bietet, ist es nicht unbedingt erforderlich, dass man einen Code über das Handy erhält. Mit der 2SV kannst du entweder zwei USB-Sicherheitsschlüssel, zwei Passwörter oder eine Kombination aus einem Passwort und einer Sicherheitsfrage verwenden.

Hier sind die zwei wesentlichen Unterschiede:

• Wenn du 2FA verwendest, muss ein Angreifer, der dein Konto hacken will, zwei Arten von Diebstahl begehen: Er muss dein Smartphone und dein Passwort stehlen.
• Bei der 2SV braucht der Hacker hingegen nur eine Art Diebstahl begehen, und das gleich mehrfach. Er muss nur deine Informationen stehlen – etwa dein Kennwort und die Antwort auf deine Sicherheitsfrage. Über Spyware oder geleakte Daten kann ein Verbrecher ganz einfach an diese Informationen gelangen.

Obwohl beide Sicherheitsmaßnahmen eine zusätzliche Sicherheitsstufe für dein Konto darstellen, bietet die 2FA mehr Vorteile und einen stärkeren Schutz. Aber natürlich ist jeder Art von Schutz besser als keiner. Sollte es also nur 2SV geben, dann nutze sie unbedingt.

Mehr Sicherheit, mehr Privatsphäre und mehr Internetfreiheit. Hol dir jetzt das branchenführende VPN.

Die Aktivierung der 2FA ist je nach Plattform etwas anders. Wir zeigen dir, wie du sie einfach aktivieren kannst.

• macOS

Wenn du die 2FA für macOS einrichtest, gehe zu den Systemeinstellungen im Apple-Menü und wähle die Apple ID. Gehe zu Passwort & Sicherheit und klicke auf Zwei-Faktor-Authentifizierung einschalten.

Wenn du macOS Mojave oder ein älteres Betriebssystem verwendest, solltest du zu Systemeinstellungen gehen und auf iCloud klicken. Wähle dann Accountdetails, Sicherheit und aktiviere die Zwei-Faktor-Authentifizierung.

• iOS

Wenn du ein iPhone, iPad oder einen iPod verwendest, solltest du zuerst zu Einstellungen und Kennwort & Sicherheit oder “[dein Name]” gehen. Wenn du eine frühere Version des Betriebssystems verwendest – iOS 10.2 oder älter – gehe zu Einstellungen, iCloud und Apple ID und klicke auf Zwei-Faktor-Authentifizierung aktivieren.

Gib dann die Nummer des Telefons ein, das du als Verifizierungsgerät verwenden möchtest. Apple sendet dir dann einen Code per SMS oder Anruf zu, je nach Einstellungen. Überprüfe deine Nummer, um das Set-up für die Zwei-Faktor-Authentifizierung abzuschließen.

Google verwendet den Begriff „Bestätigung in zwei Schritten“, wenn es sich auf seine 2FA-Funktionen bezieht. Öffne dein Google-Konto und öffne den Navigationsbereich Sicherheit aus. Wähle unter Bei Google anmelden die Option Bestätigung in zwei Schritten und Jezt loslegen aus. Gib dein Passwort und deine Telefonnummer ein, um deinen Verifizierungscode zu erhalten.

Du kannst entweder die Standardoption wählen und deinen Sicherheitscodes per Text- oder Sprachnachricht erhalten, die Google-Eingabeaufforderung aufrufen, um deine Verifizierungen zu beschleunigen, oder die Authenticator-App nutzen.

Mit der Google-Eingabeaufforderung musst du nicht jedes Mal einen Verifizierungscode eingeben, wenn du auf dein Konto zugreifen möchtest. Stattdessen erhältst du eine Benachrichtigung, in der du gefragt wirst, ob du diese Anmeldung wirklich autorisieren möchtest. Tippe einfach auf „Ja“ und schon bist du drin.

Wenn du Windows 10 oder 11 nutzt, ist die Einrichtung der 2FA ein einfacher Prozess, der online über dein Microsoft-Konto durchgeführt werden kann. Als Teil des Authentifizierungsprozesses kannst du eine E-Mail, eine Telefonnummer oder die Authenticator-App von Microsoft verwenden.

Rufe die Seite Grundlegendes zur Sicherheit von Microsoft auf und melde dich bei deinem Microsoft-Konto an. Klicke dann auf Sicherheit und Zweistufige Überprüfung und folge den Anweisungen, um das Set-up abzuschließen.

Das Hauptproblem bei der Zwei-Faktor-Authentifizierung besteht darin, dass sie sich in der Regel auf Textnachrichten stützt, die offenbar leicht entwendet werden können. Obwohl diese Anfälligkeit von Textnachrichten seit Langem bekannt ist und diskutiert wird, haben Sicherheitsexperten von Positive Technologies erst kürzlich gezeigt, wie anfällig sie wirklich sind.

Den Forschenden gelang es, Textnachrichten abzufangen und 2FA zu verwenden, um Zugriff auf das Gmail-Konto eines Benutzers zu erhalten. Von dort aus brauchten sie nur wenige Augenblicke, um das Passwort von Coinbase zurückzusetzen und die Kontrolle über eine Bitcoin-Wallet zu übernehmen. Offenbar reichen Hackern Name, Vorname und Telefonnummer, um die Zwei-Faktor-Sicherheit zu knacken, wenn sie über SMS läuft.

Auch wenn man Coinbase vorwerfen kann, dass sie sich nicht genug Mühe geben, ihre Dienste zu sichern, liegt die eigentliche Schwachstelle im Telefonsystem selbst. Mit ihrem eigenen Forschungstool konnten die Forscher bekannte Schwachstellen im Signaling System No. 7 (SS7)ausnutzen, das von fast allen Telekommunikationsunternehmen der Welt zur Verwaltung von Anrufen und Textnachrichten verwendet wird. „Es handelt sich um eine Schwachstelle in Mobilfunknetzen, was letztlich bedeutet, dass es ein Problem für alle ist, insbesondere für Dienste, die auf das Mobilfunknetz angewiesen sind, um Sicherheitscodes zu senden”, so Dmitry Kurbatov, Forscher bei Positive Technologies.

Während Telekommunikationsunternehmen keinen Zugriff auf die Kommunikation der Nutzer über dieses Netz haben, sind Hijacking-Dienste auf kriminellen Marktplätzen sehr beliebt. Die Hacker müssen jedoch kein Geld für Hijacking-Dienste ausgeben, da sie direkt in das Netzwerk eindringen können: „Es ist viel einfacher und billiger, sich direkten Zugang zum SS7-Verbindungsnetz zu verschaffen und dann spezielle SS7-Nachrichten zu erstellen, als zu versuchen, einen gebrauchsfertigen SS7-Hijacking-Dienst zu finden.“

Wie du siehst, ist es für Cyber-Kriminelle ziemlich einfach, das Telefonnetz anzugreifen und deine Kommunikation abzufangen. Wenn es einem Hacker gelingt, in das Netzwerk einzudringen, kann er 2FA-Codes verwenden, die er dir per Textnachricht schickt, und sich bei jedem beliebigen Konto anmelden. Laut Dmitry Kurbatov würde dieser Hack für jede Ressource funktionieren — für reale oder virtuelle Währung — die SMS für die Passwortwiederherstellung verwendet.

Selbst eine angreifbare, textbasierte 2FA ist besser als gar kein digitaler Schutz. Wenn dir jedoch die Sicherheit deiner Daten am Herzen liegt, solltest du eine alternative Authentifizierungsmethode in Betracht ziehen, z. B. die Authenticator-App von Google.

Experten raten auch dazu, sich eine eigene Telefonnummer für digitale Dienste zuzulegen, zum Beispiel über Google Voice. Für eine sichere 2FA kannst du auch Sicherheitsschlüssel verwenden oder Google-Prompt herunterladen, die nicht auf dem anfälligen SMS-Protokoll basiert.

Ein weiterer wichtiger Schritt, den datenschutzbewusste Nutzer unternehmen sollten, ist die Forderung, dass alle Kontodienste nicht SMS-basierte 2FA-Optionen anbieten, damit sich ihre Kunden sicher bei ihren Konten anmelden können, ohne Angst haben zu müssen, gehackt zu werden.

Jetzt ist vielleicht ein guter Zeitpunkt, all deine Konten (Amazon, Dropbox, Facebook, PayPal usw.) durchzugehen und eine zusätzliche Sicherheitsebene hinzuzufügen.

Die meisten beliebten Dienste bieten ihren Kunden entweder 2-Faktoren-Authentifizierung oder 2SV an, und es gibt auch eine Reihe von spezialisierten Apps wie Authy oder Duo Mobile, die für den gleichen Zweck entwickelt wurden. Wenn du dir nicht sicher bist, ob eine bestimmte Website 2FA oder 2SV anbietet, kannst du dies hier schnell überprüfen.

Wenn du deine Sicherheit verbessern möchtest, kannst du auch ein virtuelles privates Netzwerk (VPN) verwenden, um die Online-Sicherheit zu erhöhen. Aber was ist ein VPN überhaupt und wie sicher ist es? NordVPN umhüllt dein Daten mit einer modernen Verschlüsselungstechnik, die es Kriminellen erschwert, auf deine Passwörter und sensiblen Daten zuzugreifen.

Übernehme noch heute die Kontrolle über deine Daten mit der 2-Faktoren-Authentifizierung und NordVPN.