Dein Projekt: wichtige Accounts mit der Zwei-Faktor-Authentifizierung absichern

Das Wochenende naht. Definitiv eine Zeit, in der man sich ein wenig über Account-Sicherheit seine Gedanken machen könnte. Wir leben in Zeiten, in denen immer mehr Dienste um unsere Gunst buhlen. Wir melden uns hier und da an, geben unsere Daten an und irgendwann kommt dann einmal der Tag, an dem es richtig rappelt. Denn dann ist vielleicht einer der beliebten Dienste geknackt worden und eure Daten sind im Netz. Oder aus irgendeinem Grunde bekommt jemand euer Passwort mit und hat nun Zugang zu euren Accounts. Kein schöner Gedanke.  Deshalb nutzt bitte, sofern verfügbar, die Zwei-Faktor-Authentifizierung.

[werbung]

Dropbox, Facebook, Google, LastPass, Evernote, Twitter und auch Microsoft bieten diese an. Ich möchte in diesem Beitrag einen kurzen Anriss bieten, wo sich die Funktionen aktivieren lassen und wie sie genutzt werden können. Solltet ihr weitere, relevante Dienste in der Liste sehen wollen, dann informiert mich bitte.

Facebook:

Auch Facebook bietet seit geraumer Zeit eine Zwei-Faktor-Authentifizierung, diese gilt dann für neue Rechner, an denen ihr euch im sozialen Netzwerk einloggen wollt. Innerhalb der App befindet sich ein Code-Generator, über den nur ihr einen Code abrufen könnt. An euren Rechnern zuhause müsst ihr euch nicht dauernd neu einloggen, diese bleiben autorisiert.

Facebook

Ohne das Passwort zu kennen und den Code zu haben, kann sich dann niemand mehr einloggen. Ihr übrigens auch nicht, sofern ihr keinen Zugriff auf euerSmartphone habt. Diese Sicherheit für Facebook könnt ihr hier aktivieren, zu finden im Bereich Code Generator und Login Approvals. Übrigens: ihr müsst nicht zwingend die Facebook-App nutzen, der Code-Generator lässt auch den Zugriff mittels Google Authenticator zu. Authentifizierten Geräten kann der Zugriff auch wieder entzogen werden.

Dropbox:

Der beliebte Dienst bietet ebenfalls eine Zwei-Faktor-Authentifizierung. Sie arbeitet ebenfalls mit einer Authenticator-App zusammen, welches es zum Beispiel für iOS, Windows Phone und Android gibt. Wie bei anderen Diensten muss man sich beim ersten Einloggen authentifizieren.

Screenshot_31.05.13_15_03

Einmal registrierte Geräte bleiben eingeloggt, sollte ein Gerät gestohlen werden, dann kann man auch diesem das Zugriffsrecht entziehen. Die doppelte Anmeldesicherheit kann hier aktiviert werden.

Twitter:

Relativ frisch in der Thematik Zwei-Faktor-Authentifizierung ist Twitter. Immer mehr prominente Accounts wurden geknackt und verbreiteten Falschmeldungen. Grund genug für Twitter, sich abzusichern. Das Problem? Twitter setzt nicht auf eine Lösung via App, stattdessen muss man sich an authentifizierten Geräten mit einem Code anmelden, der mittels SMS geschickt wird.

Bildschirmfoto 2013-05-31 um 15.14.10

Funktioniert bei kaum einem deutschen Provider und bei keiner Verfügbarkeit eines Mobilfunknetzes ist es auch Essig – eine App würde offline funktionieren.  Eure Einstellungen findet ihr hier. Hier lohnt es sich, öfter vorbeizuschauen, sofern es momentan nicht mit eurem Anbieter funktioniert.

Google:

Einer der Vorreiter der Zwei-Faktor-Authentifizierung. Mein wichtigstes Konto, deshalb stellte sich für mich nie die Frage, ob ich es nicht doppelt absichere. Bei Google wird ebenfalls per App oder SMS authentifiziert. Ebenfalls werden für den Notfall ohne Smartphones Einweg-Codes zur Verfügung gestellt. Zu bedenken ist: Sofern ihr Dritt-Software wie Mail-Programme, Kalender und andere Dinge nutzt, dann müssen diese leider noch mit einem Einweg-Passwort eingerichtet werden.

Bildschirmfoto 2013-05-31 um 15.21.27

Hier funktioniert das Code-Verfahren nicht. Gut gelöst ist dies innerhalb von Android, hier greifen dementsprechend realisierte Apps auf das bereits authentifizierte Konto des Smartphones zu, sodass eine erneute Einrichtung nicht vonnöten ist. iOS-Nutzer haben hier das Nachsehen und müssen die Apps, sofern sie nicht von Google sind, entsprechend mit einem Einweg-Passwort ausstatten. Die Bestätigung in zwei Schritten lässt sich hier bei Google aktivieren. Google hat dazu auch eine schöne Informationsseite geschaltet.

Evernote:

Evernote ist ganz frisch im Business, die Zwei-Faktor-Authentifizierung wurde jüngst erst einmal für Premium-Kunden eingeführt. Die Verifizierung erfolgt über einen 6-stelligen Code, den man per SMS erhält. Die Kombination aus Passwort und Code soll für beste Sicherheit sorgen. Drittanbieter-Apps können über spezielle Application-Passwords wieder funktional gemacht werden. Direkt nach der Einrichtung der 2-Faktor-Authentifizierung funktionieren diese nämlich erst einmal nicht. Die 2-Faktor-Authentifizierung kann hier aktiviert werden.

Bildschirmfoto 2013-05-31 um 15.26.28

Bisher nur für Premium- und Business-Nutzer freigeschaltet, soll das Sicherheits-Feature auch bald für alle aktiviert werden. Autorisierte Apps ist hingegen schon jetzt für alle Nutzer verfügbar. Damit ist es möglich, den Zugang zu Evernote über Apps zu untersagen. Verliert man beispielsweise Smartphone oder Tablet, kann man den entsprechenden Apps den Login entziehen. Beim nächsten Start der jeweiligen App muss dann erneut das Passwort eingegeben werden. Die zweistufige Anmeldung lässt sich hier aktivieren. Evernote bietet SMS- oder Google Authenticator-Logins an, ebenfalls stehen Notfall-Codes bereit.

Microsoft:

Microsoft bietet einen Schwung Dienste an, sodass es auch hier sinnvoll erscheint, die Zwei-Faktor-Authentifizierung einzusetzen. Microsoft teilt mit, dass 700 Millionen Menschen auf der Welt Microsoft-Dienste nutzen und dass das Microsoft-Konto unter anderem der Schlüssel zum Windows PC, Windows Phone, Xbox, Outlook.com, SkyDrive, Office, Skype und Co ist – kann man also mal absichern. Die Zwei-Faktor-Authentifizierung wird bei Microsoft hier angestoßen.

auth

Möglichkeiten? Telefon, Mail oder das Übliche: Authentifikator-App. Eine Authentifikator-App generiert alle 30 Sekunden einen neuen Sicherheitscode. Sobald man eine Authentifikator-App auf dem Smartphone installiert und mit einem Konto kombiniert hat, kann man immer einen Code abrufen – selbst wenn man den Flugzeugmodus aktiviert hat oder sich an einem Ort ohne Mobilfunkempfang befindet.

LastPass:

LastPass ist ein beliebter Dienst für die Online-Verwaltung von Passwörtern. Mann muss nicht darüber nachdenken, hier ist die zweistufige Anmeldung Pflicht. Auch LastPass unterstützt seit 2011 die Möglichkeit. Zu erreichen ist diese in den Einstellungen in der Oberfläche von LastPass. Hier könnt ihr die Möglichkeit auswählen, euren Account mit der Authenticator-App von Google abzusichern.

Auth-LastPass

So Freunde, dies erst einmal zu den Diensten, solltet ihr der Meinung sein, dass dort etwas fehlt, dann schreibt mir und ich werde dies aufnehmen. Vorsicht ist besser als Nachsicht, bei besagten Diensten ist die doppelte Sicherheit in wenigen Augenblicken erledigt – diese Zeit sollte es euch wert sein. Wer noch Lesestoff benötigt – ich schrieb noch etwas zu Passwörtern und Sicherheit.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

83 Kommentare

  1. Wurde statt würde eingeführt

  2. WordPress und der SSH-Zugang des (Hosting-)Servers fehlen noch in deiner Liste.

  3. Weltklasse.
    Genau wegen solcher Posts leibe ich deinen Blog caschy 🙂
    Danke, für alles 😉

  4. Es wird Zeit, dass Amazon sowas ebenfalls einführt. Man bräuchte nur mein Passwort und schon könnte man mir dank Amazon Payments mir Geld vom Konto abbuchen…

  5. Übrigens: Die Authentifikator-App für Windows Phone unterstützt auch Google 😉 Einfach bei Google unter „Mobile Anwendung“ Android auswählen, den Code manuell in die App eintragen (Code scannen klappt zumindest bei mir nicht..) und los geht’s 😉

  6. Nachtrag: Bei Dropbox geht es auch, da kann man sogar den Barcode scannen und ist fertig 🙂

    Sehe ich das richtig, dass das bei Facebook nur über deren eigene App möglich ist?

  7. Längst überall eingerichtet, was ich nutze. Aber dass man Facebook auch mit dem Google Authenticator nutzen kann wusste ich noch nicht, gleich mal entsprechend eingerichtet. Danke caschy! 🙂

  8. Für Facebook auf den kleinen Link unten links im Dialog (irgendwas mit Probleme, habs mir nicht gemerkt) klicken, dann kommt man auf eine Seite wo man einen Einrichtungscode für Authenticator-Apps generieren kann.

  9. „Denn dann ist vielleicht einer der beliebten Dienste geknackt worden und eure Daten sind im Netz.“ – Wo genau ist bei konkret diesem Szenario der Vorteil einer 2-Faktor-Authentifizierung? Wenn der Dienst selbst geknackt ist, sind die Daten futsch, egal wie der Login funktioniert.

    Ansonsten sicherlich eine funktionelle Möglichkeit, das Konto abzusichern.

  10. auf keinen fall wird auf diesen schlecht konzipierten 2-faktor mist umgestellt…

    2 -faktor authentifizierung dient jedem anbieter nur dazu sich bei account problemen nicht mehr verantwortlich fühlen zu müssen… ich soll jetzt also verantwortlich sein, dafür was mit meinem account passiert der auf keinem unter meiner kontrolle stehenden computer geschieht? lol… wtf?! dass so ein dreck hier als empfehlung beworben wird lässt mich doch an der seriösität des blogs hier zweifeln…

  11. @Florian: Danke. Ich sehe auch grad den Link „Installieren a third party app to generate security codes.“. Den hatte ich irgendwie übersehen^^

    Klappt wunderbar 🙂

  12. Gibt es bei Facebook eine Möglichkeit, den selbst generierten Code (Authenticator, Facebookapp) vorrangig vor der SMS zu nutzen? Habe es grade mal getestet und trotz Aktivierung durch einen Authenticator-Code ca. 1min später noch eine SMS bekommen…

  13. MarcStuttgart says:

    Bei Microsoft lässt sich auch der „google authenticator“. Gute Sache, muss man nicht zigs Apps installieren…

  14. Die Implementierung seitens Google ist aber mMn nur mäßig. Jetzt muss ich für jede Chrome-Instanz ein Passwort generieren, wenn ich Lesezeichen etc. synchronieren will. Das hat Microsoft besser gelöst. Dort kann man fast immer diesen Code zur verifizierung nehmen und muss keine Passwörter generieren (bei Windows, Windows Phone und Verbindungen via POP/Exchange/SMTP geht’s bspw. nicht)

  15. Zweifelsohne eine tolle Sache. Habe es mir bereits seit langen bei Google eingerichtet, seit kurzem auch bei outlook und Facebook. Steuere alle 3 über die Authenticator App von Google, damit ich alles an einem Platz habe. Gott bewahre, wenn ich mal mein Handy verliere… Aber was ich nicht verstehe: Wieso bietet es mir nicht noch Amazon und Ebay an? Gerade hier würde ich es mir besonders wünschen, denn dort sind meine Konto- und Kreditkartendaten hinterlegt. Was meint ihr? Wird es dort noch kommen?

  16. Ich würde das ja gerne machen, habe aber eine Befürchtung: Nämlich, dass ich mein Handy verliere und nirgends mehr ran komme.
    Kann ich den Seed für die Codegenerierung denn übertragen? Das ich den Authenticator woanders auch laufen lassen kann? Mir ist schon klar, dass man das dann nicht überall verteilen sollte, aber so eine mir unbekannte Erzeugung von einer Prüfnummer ist mir nicht ganz koscher.

    Ich hatte das mal probiert mit dem OpenID-Service von Symantec (https://pip.verisignlabs.com/learnmore.do;jsessionid=6D395BC834C4106123C6A6D5BEC5FA68.pip3) und auch bei Paypal[2], die auch einen Code-Generator anbieten. Sowohl Hardware als auch ein Software-Generator. Aber man kann das nicht auf mehreren Geräten unabhängig generieren lassen.

    Das heißt im Klartext: Vergesse/Verliere ich beispielsweise im Urlaub mein Handy, kann ich kein Geld mehr überweisen, keine Mail mehr schreiben und beim auch nicht telefonieren …

    Aber nichts gegen den Artikel – ich finde das Bemühen sehr gut! Und dann noch die Mails verschlüsseln und ich bin (fast) glücklich 😀

    [1] https://pip.verisignlabs.com/learnmore.do
    [2] https://www.paypal.com/us/cgi-bin?cmd=xpt/Marketing_CommandDriven/securitycenter/PayPalSecurityKey-outside&bn_r=o

  17. „Das heißt im Klartext: Vergesse/Verliere ich beispielsweise im Urlaub mein Handy, kann ich kein Geld mehr überweisen, keine Mail mehr schreiben und beim auch nicht telefonieren …“

    Ein Defekt des Gerätes nicht zu vergessen, ist na nicht so das die teile nie kaputt gehen.

  18. Notfallcodes werden anscheinend gerne überlesen

  19. Gibts die Notfallcodes auch bei Facebook kann keine finden :S

  20. @sam: Danke, Du sprichst mir aus der Seele. Diese Zwei-Faktor-Sache soll den Betreiber gegen Regressansprüche der Dödel absichern, die „Passwörter“ a la „Mausi“ oder „12061986“ nutzen und dann beim Datengau mit „Sie hatten keine 2-F-A“ abgeschmettert werden können. Im sechsstöckigen Bürogebäude, in dem ich arbeite, gibt es 70 (in Worten: SIEBZIG) Feuerlöscher. Quizfrage: Um besser löschen zu können, oder wegen der Versicherung?
    Meine Angst: 2-F-A wird irgendwann mal Pflicht. NERV, für was hab ich Keepass mit 30stelligen Passwörtern…

    @Caschy: Nette Übersicht. Aber die Angelegenheit könnte doch ein wenig differenzierter dargestellt werden…

  21. @THO
    Bei Microsoft kannst du wenn du dein Handy verloren hast, dich auch alternativ per SMS (wenn du schon eine Ersatz SIM Karte bekommen hast) oder Mail an deine Ersatz Adresse anmelden. Bei Google gibt es 8 Notfall Codes die man gut aufbewahren sollte, damit kann man sich je einmal einloggen Bei Dropbox gibt es einen langen Code, mit dem man in solch einem Fall die Authentifizierung deaktivieren kann.

  22. Und wie läuft es mit den Notfallcodes ab? Und das gibt es für alle erwähnten Anbieter?

  23. Danke für den Guide – da konnte ich gleich noch ein paar Dienste um Zwei-Faktor-Auth ergänzen. Nice: Facebook – You have 67 recognized devices 🙂

  24. @Thilo: Ich gebe hier Sicherheitstipps. Was Sam da schreibt, bringt mich ins facepalmieren. Ehrlich.

  25. also wann immer es in letzter zeit zum „datenklau“ kam, geschah das doch über direkte angriffe auf den jeweiligen dienstleister.da hilft doch dann die 2FA auch nichts, oder? das gezielte „stehlen“ ode „knacken“ eines accounts ist doch die ausnahme.
    oder sehe ich das falsch? für mich macht die 2FA deswegen kein sinn – wenn ich sowieso ein gutes passwort benutze.

  26. Neben SMS und Hardware-Dongle gibt es bei Paypal über einen kleinen Umweg auch die Möglichkeit eine App zur Generierung zu nutzen. Zitat aus einer Mail vom Support:

    #######

    Sind Sie Nutzer eines Smartphones?

    Dann haben Sie alternativ zum SMS-Sicherheitsschlüssel die Möglichkeit, die App „VeriSign VIP-ACCESS“ als Sicherheitsschlüssel in Ihr PayPal-Konto einzubinden.

    Die VIP-ACCESS App ist kostenfrei im jeweiligen Appstore zu beziehen und bietet Ihnen auch offline im 30 Sekundenrhythmus wechselnde Sicherheits-Codes zur Eingabe beim Login.

    Bevor Sie den VIP-ACCESS Sicherheitsschlüssel im PayPal-Konto aktivieren können, muss der SMS-Sicherheitsschlüssel deaktiviert werden.

    So einfach können Sie Ihren Sicherheitsschlüssel direkt in Ihrem PayPal-Konto deaktivieren:

    Loggen Sie sich in Ihr PayPal-Konto ein und gehen Sie auf „Mein Profil“.
    Klicken Sie unter „Einstellungen“ auf „Aktualisieren“ neben „Sicherheitsschlüssel“.
    Wählen Sie jetzt „Deaktivieren“ und klicken Sie auf die Schaltfläche „Sicherheitsschlüssel deaktivieren“.
    So registrieren Sie Ihren VeriSign VIP ACCESS-Sicherheitsschlüssel:

    Loggen Sie sich in Ihr PayPal-Konto ein und gehen Sie auf „Mein Profil“.

    Klicken Sie unter „Einstellungen“ auf „Aktualisieren“ oder auf „Erste Schritte“ neben „Sicherheitsschlüssel“.

    Klicken Sie auf den Link „Kostenlos bestellen: Richten Sie Ihren SMS-Sicherheitsschlüssel mit nur wenigen Klicks ein.“
    Klicken Sie auf der nächsten Seite auf „Abbrechen“
    Wählen Sie rechts „Aktivieren“ aus.
    Tragen Sie unter „Seriennummer“ die „Credential ID“ Ihres VeriSign VIP ACCESS-Sicherheitsschlüssels ein. Bitte geben Sie einen sechsstelligen „Security Code“ ein.
    Bestätigen Sie Ihren Sicherheitsschlüssel mit der Eingabe des nächsten „Security Codes“ und klicken Sie „Aktivieren“. Fertig.

    Hinweis: Bei einem Update der VIP ACCESS-App kann sich die Credential ID und damit die Seriennummer ändern. Dann ist eine erneute Aktivierung des Sicherheitsschlüssels notwendig. Den bisherigen deaktivieren Sie entsprechend.

    #######

    Für alle anderen Web-Dienste nutze ich die kostenlose iOS App „HDE OTP“.

  27. Man braucht übrigens auch kein extra app-passwort bei der Chrome Synchronisation.. Man kann sich ganz einfach mit der 2fa anmelden.. So mache ich das jedenfalls andauernd..

    Notfallcodes laufen natürlich nicht ab..

    Und zumindest bei der Google authenticator app geht es mit zwei Geräten gleichzeitig.. Habe auf Handy und Tablet die gleichen Accounts und alle Codes funktionieren..
    (zugegeben ich habe die app samt Anwendungsdaten per titanium backup auf das Tablet kopiert, aber müsste auch auf normalem weg gehen)

  28. Zu Scancodes: Screenie machen und schon sind sie auf mehreren Geräten nutzbar.

  29. lächerlich… ohne sinn und verstand… „mein gehirn braucht 1password und dank 2faktorbullshit brauch ich noch nicht einmal ein gehirn“

    dann bin gespannt was passiert wenn die handy nummer geändert wird. oder die dongle apps die ihren code basierend auf der smartphone kennung erzeugen und nun das smartphone kaputt geht (blizzard zum beispiel tut genau das mit ihrer android app. wechselt man sein smartphone oder will ein 2. nutzen steht man bei blizzard dumm da)..

    aber bitte empfiehl ruhig die nutzung idiotischer technologien…

  30. @Sam: Ist nicht an die Nummer gebunden (App). B. Notfall-Codes. C. Notfall-SMS. Saddle down, die Leute realisieren dies nicht, weil es eine idiotische Technologie ist. Und HEY – es ist the fuck nochmal OPTIONAL 😉

  31. @sam: das ist doch völliger Quatsch was du da von dir gibst. Alle oben angegeben Anbieter außer Twitter bieten zumindest als eine von mehreren Authentifizierungsmethoden „Time-Based One-Time Password“ (TOTP) nach RFC 6238 an.

    Dafür benötigt man keine „dongle apps die ihren code basierend auf der smartphone kennung erzeugen“.

    TOTP generiert ausgehend von einem sog. Seed, kombiniert mit der aktuellen UNIX-Zeit ein für eine bestimmte Dauer gültiges Einmalpasswort, das vom Dienstanbieter, der den Seed auch besitzt, auf Gültigkeit überprüft wird.

    Der Seed steckt z.B. in den für die Einrichtung einer entsprechenden App (z.B. Google Authenticator) generierten QR-Code, der wiederum nichts anderes als eine URI mit Seed + allen notwendigen Parametern wie z.B. der Gültigkeitsdauer des Einmalpassworts codiert.

    Auf gut deutsch bedeutet das, sicherst du den QR-Code oder die dahintersteckende URI, kannst du jederzeit mit jedem beliebigen TOTP-Client Einmalpasswörter generieren.

  32. @maik schrieb:

    > Auf gut deutsch bedeutet das, sicherst du den QR-Code
    > oder die dahintersteckende URI, kannst du jederzeit mit
    > jedem beliebigen TOTP-Client Einmalpasswörter generieren.

    Am besten schreibe ich mir die direkt neben der PIN auf die EC-Karte, richtig? 😉

  33. dapperdan says:

    Wie funktioniert denn das Ganze, wenn ich kein Android, iOS oder ggfs Windows Phone Gerät habe? Scheinen ja nicht alle die Codes via SMS zu verschicken, oder? Ist das dann noch praktikabel?

  34. Mir fehlen hier diverse Infos. Was mache ich bei Handyverlust? Was bei Handywechsel? Kann ich den Authenticator auf mehreren Geräten parallel nutzen (z. B. Handy privat und geschäftlich)?
    Das Google Einmalpasswörter hat, reicht nicht als Antwort. Was ist mit den anderen Diensten?

  35. Was basiert auf Telefonnummer, was auf Google-Account? Wenn ich bei gleicher Handynummer von Android zu iOS wechsele, wie läuft das? Muss ich alle Accounts umstellen/neu einrichtete?

  36. @Hacke: Du bekommst beim Einrichten Barcodes angezeigt. Die kannst du auf anderen Geräten scannen, sofern gesichert.

  37. Garade beim „Vorreiter“ Google probiert. Nur Probleme, viel zu kompliziert. Wenn man ein laufendes System stoppen möchte oder zuviel -Zeit hat, vielleicht eine Option. Für mich definitiv nicht. Sofort wieder deaktiviert.

  38. Sorry, auch wenn es sicherer sein mag, mich nervt eine solche Anmeldung. Ich will mich schneller und einfacher und (!) sicherer einloggen können.

  39. @doctor: Was ist so kompliziert? Du brauchst ein Passwort und du brauchst die Google Authenticator App auf dem Handy. Dann meldest du dich mit dem Passwort an und gibst den Code an der angezeigt wird. Einfacher geht’s doch nicht..
    Was verliert man hier an Zeit bitte? 30 Sekunden für App öffnen & Code eingeben.. Das sollte doch jetzt wirklich kein Problem sein?

    @Marko:
    Wie möchtest du dich denn bitte schneller, einfacher und sicherer einloggen können?
    Es gibt einen Benutzernamen und ein Passwort. Schneller und einfacher als das geht nicht. Sicherer kannst du nur durch kompliziertere Passwörter erreichen die du regelmäßig wechselst.
    Hier kommt dann wunderbar 2-F-A ins Spiel: Benutzername + (wenn gewünscht) einfaches Passwort + extra Code zum anmelden = Sicher, einfach und trotzdem noch schnell..
    Durch den extra Code verliert man maximal 30 Sekunden, aber gewinnt enorme Sicherheit, da der Code zufällig erzeugt wird. Und einfacher als Benutzername und zwei Passwörter einzugeben geht ja wohl nicht..

    Ansonsten kannst du ja immer noch gerne OAuth nutzen sofern angeboten.. also sprich: Login mit Google, Facebook, etc. auf anderen Seiten..

  40. coriandreas says:

    Überflüssig. Ich brauche sowas nicht. Ich hatte bis jetzt über 30 Handys und keines davon ging verloren. Ich pass eben auf meine Schätzchen auf 😉 Mir ist auch noch nie eine Digitalkamera verloren gegangen. Ich verstehe die Leute nicht. Mir wurde auch noch nie ein Zugang gehackt. Habe ich vielleicht zu gute Kennwörter? Ich denke eher, dass die Leute ihre Kennwörter irgendwo aufschreiben wie auch die PIN der Bankkarte. Oder ihre Geräte ohne Kennwortsperre einfach so rumliegen lassen, als dass jemand ernsthaft einen Account eines Otto-Normal-Verbrauchers „hackt“.

  41. @Stphn: lt. Caschy: „Gut gelöst ist dies innerhalb von Android, hier greifen dementsprechend realisierte Apps auf das bereits authentifizierte Konto des Smartphones zu, sodass eine erneute Einrichtung nicht vonnöten ist.“ > klappte auf meinem S2 leider nicht. Jede App verlangte erneut eine Codeeingabe und zwar nach jedem Start der App. Wenn sowas nicht problemlos klappt, dann hab ich einfach keinen Bock mehr, meine Zeit mit Rumprobieren totzuschlagen.

  42. Hajo Schmidt says:

    Spannende Kommentare,
    aber was ich beim Artikel vermisse, ist eine Aufklärumg, WAS ÜBERHAUPT diese 2FA ist… wie funktioniert es technisch, etc…
    Sicherheitstipps sollten nicht nur daraus bestehen, die Schritte zur Einrichtung zu dokumentieren…

  43. @doctor:
    Ich glaube dein Problem hängt eher mit der App an sich zusammen. Wenn diese nicht auf die vom Google Konto bereitgestellten Daten zugreifen, sonder über eigene Routinen die Daten von Google runterlädt, könnte es Probleme geben, ja.

    In diesem Fall musst du aber trotzdem nicht bei jedem Start der App den Code eingeben, sondern kannst ein App-spezifisches Passwort vergeben (hier: https://accounts.google.com/b/0/IssuedAuthSubTokens?hl=de). Dort einfach ein Passwort generieren und in der App eingeben.
    Damit erübrigt sich das ständige Code eingeben.

  44. Kann mir jemand sagen, woran Google die „vertrauenswürdigen Computer“ festmacht und erkennt. Wird da einfach nur ein Cookie im Browser gesetzt? Das wäre schlecht, denn die lösche ich grundsätzlich beim schließen des Browsers.

  45. Hallo ihr Fachleute. Ich bin ein Computer-Dummie. Und faul, stinkfaul sozusagen und super vergesslich. Ich benutze auf meinen Computern Keepass. Die Passwortdatenbank synchronisiere ich per Bittorrent-Sync über die interne Synchronisationsfunktion mit einer Kopie. Für die Paswortdatenbank benutze ich ein Masterpasswort und so eine komische Key-Datei. In dem Keepass sind nur mit den eingebauten Passwordgenerator erzeugte 256-Bit Hex Dings Passwörter drinnen. Ich habe bei Google, Microsoft, Facebook und Dropbox dieses 2-Faktor-Mopped eingerichtet und jeweils dabei den Bildschirm abfotografiert und dann dieses Dings auf 2 Handies und 2 Tablets in dem Google Authenticator Programm mit diesen Bildschirmfotos installiert. Alle 4 Geräte (könnte ja mal eins kaputt gehen) zeigen immer synchron die selben Zahlenschlüssel an. Funktioniert ganz prima. Kann mich eben nur nicht mehr auf fremden Computern in diese Konten anmelden, weil man dieses 256 Bit Zeuchs weder nüchtern noch besoffen von Hand abtippen kann. Dass man die nicht elektrisch aus dem Handie in so einen Computer kriegt….

  46. Hallo Caschy, danke für den Artikel. Ich nutze das „2-Factor-Moped“ 🙂 schon eine Weile bei allen Diensten, wo es geht und bin dankbar für diese zusätzliche Sicherheit. Kompliziert finde ich es übrigens überhaupt nicht. Die einzige Frage, die ich von Anfang an vor mir her schiebe: Was bringen mir diese speziellen Auth.-Apps für einen Vorteil? Ich lasse mir eine SMS schicken und gut ist. Eine extra-App sehe ich doch eher als zusätzlichen Ballast. Oder liege ich da falsch? Kannst du mir dazu vielleicht eine Erhellung liefern? Oder hast du gar schon irgendwo einen Artikel dazu verfasst, den ich nur nicht gefunden habe?

  47. @icoco_de : Die App funktioniert offline!

  48. Wo ist denn hier der „Danke“-Button bei den Kommentaren …? 🙂

  49. Kannst du eine Zweifaktor-App für den Desktop empfehlen?

  50. Hiermit kann man übrigens einen SSH-Zugang absichern: https://code.google.com/p/google-authenticator/

  51. Kelley Courtney says:

    Der Google Authenticator ist eine von vielen Apps, die die Funktionalität erfüllen. Ich empfehle die App „Authy“, die sogar ein Backup macht und man die Einstellungen ohne Mühe auf ein anderes Telefon übernehmen kann. Das ist beim Google Authenticator nicht möglich.
    Ich finde es erschreckend, dass Twitter keine ordentliche 2-Wege-Authentifizierung anbietet. Der Versand mittels Code per SMS funktioniert nicht mit T-Mobile, da der Carrier nicht angebunden sei… Bitte? Warum kann Twitter nicht auch die Art und Weise von dem Google Authenticator (oder entsprechenden Apps wie Authy oder Duo mobile) übernehmen?
    Bei Paypal und Ebay kann man sich mit einer speziellen App von Symantec anmelden. Leider gibt es aber das Problem, dass der Code tatsächlich weg ist, sobald das Telefon verschwindet oder die App gelöscht wird.
    Ich nehme nur noch Authy und wünschte mir, dass weitere Webseiten den Dienst anbieten. Auch die Seite von Yahoo ist zu kompliziert und SMS gesteuert.

  52. Was ich mich wirklich frage: Warum geht das bei PayPal nicht? Gerade bei sensiblen Geldgeschäften ist eine 2FA doch mehr als angebracht.
    Ich hab aktuell das System mit dem SMS-Code aktiviert, das funktioniert aber mobil und bei Weiterleitungen aus Shops teilweise gar nicht oder nur über Umwege…

    Apple fehlt übrigens in diesem Artikel, der ja schon etwas älter ist. Inklusive dem Hinweis, dass man den Sicherheitscode besonders gut aufbewahren sollte 😉

  53. Hab grad versucht, bei Twitter Zwei-Faktor-Authentifizierung einzurichten.
    Per Authenticator (Authy hat den Vorteil, dass es auf mehreren Geräten synchron läuft) scheint das nicht zu gehen, nach wie vor nur via SMS.
    Meine gewünschte Mobilnummer 01579 … (simquadrat/sipgate) scheint dafür nicht zu klappen. Leider nur 0175 … (D1-mobilcom, was ich Ende 2016 nicht verlängere; Problem: Falls ich diese Sicherungsform nicht rechtzeitig rückgängig mache, komm ich nach Mobil-Vertrag-Ende nicht mehr in mein Twitterkonto – und ähnliche Probleme hatte ich mit Bank-TANs).