Dein Projekt: wichtige Accounts mit der Zwei-Faktor-Authentifizierung absichern

Das Wochenende naht. Definitiv eine Zeit, in der man sich ein wenig über Account-Sicherheit seine Gedanken machen könnte. Wir leben in Zeiten, in denen immer mehr Dienste um unsere Gunst buhlen. Wir melden uns hier und da an, geben unsere Daten an und irgendwann kommt dann einmal der Tag, an dem es richtig rappelt. Denn dann ist vielleicht einer der beliebten Dienste geknackt worden und eure Daten sind im Netz. Oder aus irgendeinem Grunde bekommt jemand euer Passwort mit und hat nun Zugang zu euren Accounts. Kein schöner Gedanke.  Deshalb nutzt bitte, sofern verfügbar, die Zwei-Faktor-Authentifizierung.

[werbung]

Dropbox, Facebook, Google, LastPass, Evernote, Twitter und auch Microsoft bieten diese an. Ich möchte in diesem Beitrag einen kurzen Anriss bieten, wo sich die Funktionen aktivieren lassen und wie sie genutzt werden können. Solltet ihr weitere, relevante Dienste in der Liste sehen wollen, dann informiert mich bitte.

Facebook:

Auch Facebook bietet seit geraumer Zeit eine Zwei-Faktor-Authentifizierung, diese gilt dann für neue Rechner, an denen ihr euch im sozialen Netzwerk einloggen wollt. Innerhalb der App befindet sich ein Code-Generator, über den nur ihr einen Code abrufen könnt. An euren Rechnern zuhause müsst ihr euch nicht dauernd neu einloggen, diese bleiben autorisiert.

Facebook

Ohne das Passwort zu kennen und den Code zu haben, kann sich dann niemand mehr einloggen. Ihr übrigens auch nicht, sofern ihr keinen Zugriff auf euerSmartphone habt. Diese Sicherheit für Facebook könnt ihr hier aktivieren, zu finden im Bereich Code Generator und Login Approvals. Übrigens: ihr müsst nicht zwingend die Facebook-App nutzen, der Code-Generator lässt auch den Zugriff mittels Google Authenticator zu. Authentifizierten Geräten kann der Zugriff auch wieder entzogen werden.

Dropbox:

Der beliebte Dienst bietet ebenfalls eine Zwei-Faktor-Authentifizierung. Sie arbeitet ebenfalls mit einer Authenticator-App zusammen, welches es zum Beispiel für iOS, Windows Phone und Android gibt. Wie bei anderen Diensten muss man sich beim ersten Einloggen authentifizieren.

Screenshot_31.05.13_15_03

Einmal registrierte Geräte bleiben eingeloggt, sollte ein Gerät gestohlen werden, dann kann man auch diesem das Zugriffsrecht entziehen. Die doppelte Anmeldesicherheit kann hier aktiviert werden.

Twitter:

Relativ frisch in der Thematik Zwei-Faktor-Authentifizierung ist Twitter. Immer mehr prominente Accounts wurden geknackt und verbreiteten Falschmeldungen. Grund genug für Twitter, sich abzusichern. Das Problem? Twitter setzt nicht auf eine Lösung via App, stattdessen muss man sich an authentifizierten Geräten mit einem Code anmelden, der mittels SMS geschickt wird.

Bildschirmfoto 2013-05-31 um 15.14.10

Funktioniert bei kaum einem deutschen Provider und bei keiner Verfügbarkeit eines Mobilfunknetzes ist es auch Essig – eine App würde offline funktionieren.  Eure Einstellungen findet ihr hier. Hier lohnt es sich, öfter vorbeizuschauen, sofern es momentan nicht mit eurem Anbieter funktioniert.

Google:

Einer der Vorreiter der Zwei-Faktor-Authentifizierung. Mein wichtigstes Konto, deshalb stellte sich für mich nie die Frage, ob ich es nicht doppelt absichere. Bei Google wird ebenfalls per App oder SMS authentifiziert. Ebenfalls werden für den Notfall ohne Smartphones Einweg-Codes zur Verfügung gestellt. Zu bedenken ist: Sofern ihr Dritt-Software wie Mail-Programme, Kalender und andere Dinge nutzt, dann müssen diese leider noch mit einem Einweg-Passwort eingerichtet werden.

Bildschirmfoto 2013-05-31 um 15.21.27

Hier funktioniert das Code-Verfahren nicht. Gut gelöst ist dies innerhalb von Android, hier greifen dementsprechend realisierte Apps auf das bereits authentifizierte Konto des Smartphones zu, sodass eine erneute Einrichtung nicht vonnöten ist. iOS-Nutzer haben hier das Nachsehen und müssen die Apps, sofern sie nicht von Google sind, entsprechend mit einem Einweg-Passwort ausstatten. Die Bestätigung in zwei Schritten lässt sich hier bei Google aktivieren. Google hat dazu auch eine schöne Informationsseite geschaltet.

Evernote:

Evernote ist ganz frisch im Business, die Zwei-Faktor-Authentifizierung wurde jüngst erst einmal für Premium-Kunden eingeführt. Die Verifizierung erfolgt über einen 6-stelligen Code, den man per SMS erhält. Die Kombination aus Passwort und Code soll für beste Sicherheit sorgen. Drittanbieter-Apps können über spezielle Application-Passwords wieder funktional gemacht werden. Direkt nach der Einrichtung der 2-Faktor-Authentifizierung funktionieren diese nämlich erst einmal nicht. Die 2-Faktor-Authentifizierung kann hier aktiviert werden.

Bildschirmfoto 2013-05-31 um 15.26.28

Bisher nur für Premium- und Business-Nutzer freigeschaltet, soll das Sicherheits-Feature auch bald für alle aktiviert werden. Autorisierte Apps ist hingegen schon jetzt für alle Nutzer verfügbar. Damit ist es möglich, den Zugang zu Evernote über Apps zu untersagen. Verliert man beispielsweise Smartphone oder Tablet, kann man den entsprechenden Apps den Login entziehen. Beim nächsten Start der jeweiligen App muss dann erneut das Passwort eingegeben werden. Die zweistufige Anmeldung lässt sich hier aktivieren. Evernote bietet SMS- oder Google Authenticator-Logins an, ebenfalls stehen Notfall-Codes bereit.

Microsoft:

Microsoft bietet einen Schwung Dienste an, sodass es auch hier sinnvoll erscheint, die Zwei-Faktor-Authentifizierung einzusetzen. Microsoft teilt mit, dass 700 Millionen Menschen auf der Welt Microsoft-Dienste nutzen und dass das Microsoft-Konto unter anderem der Schlüssel zum Windows PC, Windows Phone, Xbox, Outlook.com, SkyDrive, Office, Skype und Co ist – kann man also mal absichern. Die Zwei-Faktor-Authentifizierung wird bei Microsoft hier angestoßen.

auth

Möglichkeiten? Telefon, Mail oder das Übliche: Authentifikator-App. Eine Authentifikator-App generiert alle 30 Sekunden einen neuen Sicherheitscode. Sobald man eine Authentifikator-App auf dem Smartphone installiert und mit einem Konto kombiniert hat, kann man immer einen Code abrufen – selbst wenn man den Flugzeugmodus aktiviert hat oder sich an einem Ort ohne Mobilfunkempfang befindet.

LastPass:

LastPass ist ein beliebter Dienst für die Online-Verwaltung von Passwörtern. Mann muss nicht darüber nachdenken, hier ist die zweistufige Anmeldung Pflicht. Auch LastPass unterstützt seit 2011 die Möglichkeit. Zu erreichen ist diese in den Einstellungen in der Oberfläche von LastPass. Hier könnt ihr die Möglichkeit auswählen, euren Account mit der Authenticator-App von Google abzusichern.

Auth-LastPass

So Freunde, dies erst einmal zu den Diensten, solltet ihr der Meinung sein, dass dort etwas fehlt, dann schreibt mir und ich werde dies aufnehmen. Vorsicht ist besser als Nachsicht, bei besagten Diensten ist die doppelte Sicherheit in wenigen Augenblicken erledigt – diese Zeit sollte es euch wert sein. Wer noch Lesestoff benötigt – ich schrieb noch etwas zu Passwörtern und Sicherheit.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

83 Kommentare

  1. Wurde statt würde eingeführt

  2. WordPress und der SSH-Zugang des (Hosting-)Servers fehlen noch in deiner Liste.

  3. Weltklasse.
    Genau wegen solcher Posts leibe ich deinen Blog caschy 🙂
    Danke, für alles 😉

  4. Es wird Zeit, dass Amazon sowas ebenfalls einführt. Man bräuchte nur mein Passwort und schon könnte man mir dank Amazon Payments mir Geld vom Konto abbuchen…

  5. Übrigens: Die Authentifikator-App für Windows Phone unterstützt auch Google 😉 Einfach bei Google unter „Mobile Anwendung“ Android auswählen, den Code manuell in die App eintragen (Code scannen klappt zumindest bei mir nicht..) und los geht’s 😉

  6. Nachtrag: Bei Dropbox geht es auch, da kann man sogar den Barcode scannen und ist fertig 🙂

    Sehe ich das richtig, dass das bei Facebook nur über deren eigene App möglich ist?

  7. Längst überall eingerichtet, was ich nutze. Aber dass man Facebook auch mit dem Google Authenticator nutzen kann wusste ich noch nicht, gleich mal entsprechend eingerichtet. Danke caschy! 🙂

  8. Für Facebook auf den kleinen Link unten links im Dialog (irgendwas mit Probleme, habs mir nicht gemerkt) klicken, dann kommt man auf eine Seite wo man einen Einrichtungscode für Authenticator-Apps generieren kann.

  9. „Denn dann ist vielleicht einer der beliebten Dienste geknackt worden und eure Daten sind im Netz.“ – Wo genau ist bei konkret diesem Szenario der Vorteil einer 2-Faktor-Authentifizierung? Wenn der Dienst selbst geknackt ist, sind die Daten futsch, egal wie der Login funktioniert.

    Ansonsten sicherlich eine funktionelle Möglichkeit, das Konto abzusichern.

  10. auf keinen fall wird auf diesen schlecht konzipierten 2-faktor mist umgestellt…

    2 -faktor authentifizierung dient jedem anbieter nur dazu sich bei account problemen nicht mehr verantwortlich fühlen zu müssen… ich soll jetzt also verantwortlich sein, dafür was mit meinem account passiert der auf keinem unter meiner kontrolle stehenden computer geschieht? lol… wtf?! dass so ein dreck hier als empfehlung beworben wird lässt mich doch an der seriösität des blogs hier zweifeln…

  11. @Florian: Danke. Ich sehe auch grad den Link „Installieren a third party app to generate security codes.“. Den hatte ich irgendwie übersehen^^

    Klappt wunderbar 🙂

  12. Gibt es bei Facebook eine Möglichkeit, den selbst generierten Code (Authenticator, Facebookapp) vorrangig vor der SMS zu nutzen? Habe es grade mal getestet und trotz Aktivierung durch einen Authenticator-Code ca. 1min später noch eine SMS bekommen…

  13. MarcStuttgart says:

    Bei Microsoft lässt sich auch der „google authenticator“. Gute Sache, muss man nicht zigs Apps installieren…

  14. Die Implementierung seitens Google ist aber mMn nur mäßig. Jetzt muss ich für jede Chrome-Instanz ein Passwort generieren, wenn ich Lesezeichen etc. synchronieren will. Das hat Microsoft besser gelöst. Dort kann man fast immer diesen Code zur verifizierung nehmen und muss keine Passwörter generieren (bei Windows, Windows Phone und Verbindungen via POP/Exchange/SMTP geht’s bspw. nicht)

  15. Zweifelsohne eine tolle Sache. Habe es mir bereits seit langen bei Google eingerichtet, seit kurzem auch bei outlook und Facebook. Steuere alle 3 über die Authenticator App von Google, damit ich alles an einem Platz habe. Gott bewahre, wenn ich mal mein Handy verliere… Aber was ich nicht verstehe: Wieso bietet es mir nicht noch Amazon und Ebay an? Gerade hier würde ich es mir besonders wünschen, denn dort sind meine Konto- und Kreditkartendaten hinterlegt. Was meint ihr? Wird es dort noch kommen?

  16. Ich würde das ja gerne machen, habe aber eine Befürchtung: Nämlich, dass ich mein Handy verliere und nirgends mehr ran komme.
    Kann ich den Seed für die Codegenerierung denn übertragen? Das ich den Authenticator woanders auch laufen lassen kann? Mir ist schon klar, dass man das dann nicht überall verteilen sollte, aber so eine mir unbekannte Erzeugung von einer Prüfnummer ist mir nicht ganz koscher.

    Ich hatte das mal probiert mit dem OpenID-Service von Symantec (https://pip.verisignlabs.com/learnmore.do;jsessionid=6D395BC834C4106123C6A6D5BEC5FA68.pip3) und auch bei Paypal[2], die auch einen Code-Generator anbieten. Sowohl Hardware als auch ein Software-Generator. Aber man kann das nicht auf mehreren Geräten unabhängig generieren lassen.

    Das heißt im Klartext: Vergesse/Verliere ich beispielsweise im Urlaub mein Handy, kann ich kein Geld mehr überweisen, keine Mail mehr schreiben und beim auch nicht telefonieren …

    Aber nichts gegen den Artikel – ich finde das Bemühen sehr gut! Und dann noch die Mails verschlüsseln und ich bin (fast) glücklich 😀

    [1] https://pip.verisignlabs.com/learnmore.do
    [2] https://www.paypal.com/us/cgi-bin?cmd=xpt/Marketing_CommandDriven/securitycenter/PayPalSecurityKey-outside&bn_r=o

  17. „Das heißt im Klartext: Vergesse/Verliere ich beispielsweise im Urlaub mein Handy, kann ich kein Geld mehr überweisen, keine Mail mehr schreiben und beim auch nicht telefonieren …“

    Ein Defekt des Gerätes nicht zu vergessen, ist na nicht so das die teile nie kaputt gehen.

  18. Notfallcodes werden anscheinend gerne überlesen

  19. Gibts die Notfallcodes auch bei Facebook kann keine finden :S

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.