Dein Projekt: wichtige Accounts mit der Zwei-Faktor-Authentifizierung absichern
von caschy | 83 Kommentare
Das Wochenende naht. Definitiv eine Zeit, in der man sich ein wenig über Account-Sicherheit seine Gedanken machen könnte. Wir leben in Zeiten, in denen immer mehr Dienste um unsere Gunst buhlen. Wir melden uns hier und da an, geben unsere Daten an und irgendwann kommt dann einmal der Tag, an dem es richtig rappelt. Denn dann ist vielleicht einer der beliebten Dienste geknackt worden und eure Daten sind im Netz. Oder aus irgendeinem Grunde bekommt jemand euer Passwort mit und hat nun Zugang zu euren Accounts. Kein schöner Gedanke. Deshalb nutzt bitte, sofern verfügbar, die Zwei-Faktor-Authentifizierung.
[werbung]
Dropbox, Facebook, Google, LastPass, Evernote, Twitter und auch Microsoft bieten diese an. Ich möchte in diesem Beitrag einen kurzen Anriss bieten, wo sich die Funktionen aktivieren lassen und wie sie genutzt werden können. Solltet ihr weitere, relevante Dienste in der Liste sehen wollen, dann informiert mich bitte.
Facebook:
Auch Facebook bietet seit geraumer Zeit eine Zwei-Faktor-Authentifizierung, diese gilt dann für neue Rechner, an denen ihr euch im sozialen Netzwerk einloggen wollt. Innerhalb der App befindet sich ein Code-Generator, über den nur ihr einen Code abrufen könnt. An euren Rechnern zuhause müsst ihr euch nicht dauernd neu einloggen, diese bleiben autorisiert.
Ohne das Passwort zu kennen und den Code zu haben, kann sich dann niemand mehr einloggen. Ihr übrigens auch nicht, sofern ihr keinen Zugriff auf euerSmartphone habt. Diese Sicherheit für Facebook könnt ihr hier aktivieren, zu finden im Bereich Code Generator und Login Approvals. Übrigens: ihr müsst nicht zwingend die Facebook-App nutzen, der Code-Generator lässt auch den Zugriff mittels Google Authenticator zu. Authentifizierten Geräten kann der Zugriff auch wieder entzogen werden.
Dropbox:
Der beliebte Dienst bietet ebenfalls eine Zwei-Faktor-Authentifizierung. Sie arbeitet ebenfalls mit einer Authenticator-App zusammen, welches es zum Beispiel für iOS, Windows Phone und Android gibt. Wie bei anderen Diensten muss man sich beim ersten Einloggen authentifizieren.
Einmal registrierte Geräte bleiben eingeloggt, sollte ein Gerät gestohlen werden, dann kann man auch diesem das Zugriffsrecht entziehen. Die doppelte Anmeldesicherheit kann hier aktiviert werden.
Twitter:
Relativ frisch in der Thematik Zwei-Faktor-Authentifizierung ist Twitter. Immer mehr prominente Accounts wurden geknackt und verbreiteten Falschmeldungen. Grund genug für Twitter, sich abzusichern. Das Problem? Twitter setzt nicht auf eine Lösung via App, stattdessen muss man sich an authentifizierten Geräten mit einem Code anmelden, der mittels SMS geschickt wird.
Funktioniert bei kaum einem deutschen Provider und bei keiner Verfügbarkeit eines Mobilfunknetzes ist es auch Essig – eine App würde offline funktionieren. Eure Einstellungen findet ihr hier. Hier lohnt es sich, öfter vorbeizuschauen, sofern es momentan nicht mit eurem Anbieter funktioniert.
Google:
Einer der Vorreiter der Zwei-Faktor-Authentifizierung. Mein wichtigstes Konto, deshalb stellte sich für mich nie die Frage, ob ich es nicht doppelt absichere. Bei Google wird ebenfalls per App oder SMS authentifiziert. Ebenfalls werden für den Notfall ohne Smartphones Einweg-Codes zur Verfügung gestellt. Zu bedenken ist: Sofern ihr Dritt-Software wie Mail-Programme, Kalender und andere Dinge nutzt, dann müssen diese leider noch mit einem Einweg-Passwort eingerichtet werden.
Hier funktioniert das Code-Verfahren nicht. Gut gelöst ist dies innerhalb von Android, hier greifen dementsprechend realisierte Apps auf das bereits authentifizierte Konto des Smartphones zu, sodass eine erneute Einrichtung nicht vonnöten ist. iOS-Nutzer haben hier das Nachsehen und müssen die Apps, sofern sie nicht von Google sind, entsprechend mit einem Einweg-Passwort ausstatten. Die Bestätigung in zwei Schritten lässt sich hier bei Google aktivieren. Google hat dazu auch eine schöne Informationsseite geschaltet.
Evernote:
Evernote ist ganz frisch im Business, die Zwei-Faktor-Authentifizierung wurde jüngst erst einmal für Premium-Kunden eingeführt. Die Verifizierung erfolgt über einen 6-stelligen Code, den man per SMS erhält. Die Kombination aus Passwort und Code soll für beste Sicherheit sorgen. Drittanbieter-Apps können über spezielle Application-Passwords wieder funktional gemacht werden. Direkt nach der Einrichtung der 2-Faktor-Authentifizierung funktionieren diese nämlich erst einmal nicht. Die 2-Faktor-Authentifizierung kann hier aktiviert werden.
Bisher nur für Premium- und Business-Nutzer freigeschaltet, soll das Sicherheits-Feature auch bald für alle aktiviert werden. Autorisierte Apps ist hingegen schon jetzt für alle Nutzer verfügbar. Damit ist es möglich, den Zugang zu Evernote über Apps zu untersagen. Verliert man beispielsweise Smartphone oder Tablet, kann man den entsprechenden Apps den Login entziehen. Beim nächsten Start der jeweiligen App muss dann erneut das Passwort eingegeben werden. Die zweistufige Anmeldung lässt sich hier aktivieren. Evernote bietet SMS- oder Google Authenticator-Logins an, ebenfalls stehen Notfall-Codes bereit.
Microsoft:
Microsoft bietet einen Schwung Dienste an, sodass es auch hier sinnvoll erscheint, die Zwei-Faktor-Authentifizierung einzusetzen. Microsoft teilt mit, dass 700 Millionen Menschen auf der Welt Microsoft-Dienste nutzen und dass das Microsoft-Konto unter anderem der Schlüssel zum Windows PC, Windows Phone, Xbox, Outlook.com, SkyDrive, Office, Skype und Co ist – kann man also mal absichern. Die Zwei-Faktor-Authentifizierung wird bei Microsoft hier angestoßen.
Möglichkeiten? Telefon, Mail oder das Übliche: Authentifikator-App. Eine Authentifikator-App generiert alle 30 Sekunden einen neuen Sicherheitscode. Sobald man eine Authentifikator-App auf dem Smartphone installiert und mit einem Konto kombiniert hat, kann man immer einen Code abrufen – selbst wenn man den Flugzeugmodus aktiviert hat oder sich an einem Ort ohne Mobilfunkempfang befindet.
LastPass:
LastPass ist ein beliebter Dienst für die Online-Verwaltung von Passwörtern. Mann muss nicht darüber nachdenken, hier ist die zweistufige Anmeldung Pflicht. Auch LastPass unterstützt seit 2011 die Möglichkeit. Zu erreichen ist diese in den Einstellungen in der Oberfläche von LastPass. Hier könnt ihr die Möglichkeit auswählen, euren Account mit der Authenticator-App von Google abzusichern.
So Freunde, dies erst einmal zu den Diensten, solltet ihr der Meinung sein, dass dort etwas fehlt, dann schreibt mir und ich werde dies aufnehmen. Vorsicht ist besser als Nachsicht, bei besagten Diensten ist die doppelte Sicherheit in wenigen Augenblicken erledigt – diese Zeit sollte es euch wert sein. Wer noch Lesestoff benötigt – ich schrieb noch etwas zu Passwörtern und Sicherheit.
Wird geladen ...
@sam: Danke, Du sprichst mir aus der Seele. Diese Zwei-Faktor-Sache soll den Betreiber gegen Regressansprüche der Dödel absichern, die „Passwörter“ a la „Mausi“ oder „12061986“ nutzen und dann beim Datengau mit „Sie hatten keine 2-F-A“ abgeschmettert werden können. Im sechsstöckigen Bürogebäude, in dem ich arbeite, gibt es 70 (in Worten: SIEBZIG) Feuerlöscher. Quizfrage: Um besser löschen zu können, oder wegen der Versicherung?
Meine Angst: 2-F-A wird irgendwann mal Pflicht. NERV, für was hab ich Keepass mit 30stelligen Passwörtern…
@Caschy: Nette Übersicht. Aber die Angelegenheit könnte doch ein wenig differenzierter dargestellt werden…
@THO
Bei Microsoft kannst du wenn du dein Handy verloren hast, dich auch alternativ per SMS (wenn du schon eine Ersatz SIM Karte bekommen hast) oder Mail an deine Ersatz Adresse anmelden. Bei Google gibt es 8 Notfall Codes die man gut aufbewahren sollte, damit kann man sich je einmal einloggen Bei Dropbox gibt es einen langen Code, mit dem man in solch einem Fall die Authentifizierung deaktivieren kann.
Und wie läuft es mit den Notfallcodes ab? Und das gibt es für alle erwähnten Anbieter?
Danke für den Guide – da konnte ich gleich noch ein paar Dienste um Zwei-Faktor-Auth ergänzen. Nice: Facebook – You have 67 recognized devices 🙂
@Thilo: Ich gebe hier Sicherheitstipps. Was Sam da schreibt, bringt mich ins facepalmieren. Ehrlich.
also wann immer es in letzter zeit zum „datenklau“ kam, geschah das doch über direkte angriffe auf den jeweiligen dienstleister.da hilft doch dann die 2FA auch nichts, oder? das gezielte „stehlen“ ode „knacken“ eines accounts ist doch die ausnahme.
oder sehe ich das falsch? für mich macht die 2FA deswegen kein sinn – wenn ich sowieso ein gutes passwort benutze.
Neben SMS und Hardware-Dongle gibt es bei Paypal über einen kleinen Umweg auch die Möglichkeit eine App zur Generierung zu nutzen. Zitat aus einer Mail vom Support:
#######
Sind Sie Nutzer eines Smartphones?
Dann haben Sie alternativ zum SMS-Sicherheitsschlüssel die Möglichkeit, die App „VeriSign VIP-ACCESS“ als Sicherheitsschlüssel in Ihr PayPal-Konto einzubinden.
Die VIP-ACCESS App ist kostenfrei im jeweiligen Appstore zu beziehen und bietet Ihnen auch offline im 30 Sekundenrhythmus wechselnde Sicherheits-Codes zur Eingabe beim Login.
Bevor Sie den VIP-ACCESS Sicherheitsschlüssel im PayPal-Konto aktivieren können, muss der SMS-Sicherheitsschlüssel deaktiviert werden.
So einfach können Sie Ihren Sicherheitsschlüssel direkt in Ihrem PayPal-Konto deaktivieren:
Loggen Sie sich in Ihr PayPal-Konto ein und gehen Sie auf „Mein Profil“.
Klicken Sie unter „Einstellungen“ auf „Aktualisieren“ neben „Sicherheitsschlüssel“.
Wählen Sie jetzt „Deaktivieren“ und klicken Sie auf die Schaltfläche „Sicherheitsschlüssel deaktivieren“.
So registrieren Sie Ihren VeriSign VIP ACCESS-Sicherheitsschlüssel:
Loggen Sie sich in Ihr PayPal-Konto ein und gehen Sie auf „Mein Profil“.
Klicken Sie unter „Einstellungen“ auf „Aktualisieren“ oder auf „Erste Schritte“ neben „Sicherheitsschlüssel“.
Klicken Sie auf den Link „Kostenlos bestellen: Richten Sie Ihren SMS-Sicherheitsschlüssel mit nur wenigen Klicks ein.“
Klicken Sie auf der nächsten Seite auf „Abbrechen“
Wählen Sie rechts „Aktivieren“ aus.
Tragen Sie unter „Seriennummer“ die „Credential ID“ Ihres VeriSign VIP ACCESS-Sicherheitsschlüssels ein. Bitte geben Sie einen sechsstelligen „Security Code“ ein.
Bestätigen Sie Ihren Sicherheitsschlüssel mit der Eingabe des nächsten „Security Codes“ und klicken Sie „Aktivieren“. Fertig.
Hinweis: Bei einem Update der VIP ACCESS-App kann sich die Credential ID und damit die Seriennummer ändern. Dann ist eine erneute Aktivierung des Sicherheitsschlüssels notwendig. Den bisherigen deaktivieren Sie entsprechend.
#######
Für alle anderen Web-Dienste nutze ich die kostenlose iOS App „HDE OTP“.
Man braucht übrigens auch kein extra app-passwort bei der Chrome Synchronisation.. Man kann sich ganz einfach mit der 2fa anmelden.. So mache ich das jedenfalls andauernd..
Notfallcodes laufen natürlich nicht ab..
Und zumindest bei der Google authenticator app geht es mit zwei Geräten gleichzeitig.. Habe auf Handy und Tablet die gleichen Accounts und alle Codes funktionieren..
(zugegeben ich habe die app samt Anwendungsdaten per titanium backup auf das Tablet kopiert, aber müsste auch auf normalem weg gehen)
Zu Scancodes: Screenie machen und schon sind sie auf mehreren Geräten nutzbar.
lächerlich… ohne sinn und verstand… „mein gehirn braucht 1password und dank 2faktorbullshit brauch ich noch nicht einmal ein gehirn“
dann bin gespannt was passiert wenn die handy nummer geändert wird. oder die dongle apps die ihren code basierend auf der smartphone kennung erzeugen und nun das smartphone kaputt geht (blizzard zum beispiel tut genau das mit ihrer android app. wechselt man sein smartphone oder will ein 2. nutzen steht man bei blizzard dumm da)..
aber bitte empfiehl ruhig die nutzung idiotischer technologien…
@Sam: Ist nicht an die Nummer gebunden (App). B. Notfall-Codes. C. Notfall-SMS. Saddle down, die Leute realisieren dies nicht, weil es eine idiotische Technologie ist. Und HEY – es ist the fuck nochmal OPTIONAL 😉
@sam: das ist doch völliger Quatsch was du da von dir gibst. Alle oben angegeben Anbieter außer Twitter bieten zumindest als eine von mehreren Authentifizierungsmethoden „Time-Based One-Time Password“ (TOTP) nach RFC 6238 an.
Dafür benötigt man keine „dongle apps die ihren code basierend auf der smartphone kennung erzeugen“.
TOTP generiert ausgehend von einem sog. Seed, kombiniert mit der aktuellen UNIX-Zeit ein für eine bestimmte Dauer gültiges Einmalpasswort, das vom Dienstanbieter, der den Seed auch besitzt, auf Gültigkeit überprüft wird.
Der Seed steckt z.B. in den für die Einrichtung einer entsprechenden App (z.B. Google Authenticator) generierten QR-Code, der wiederum nichts anderes als eine URI mit Seed + allen notwendigen Parametern wie z.B. der Gültigkeitsdauer des Einmalpassworts codiert.
Auf gut deutsch bedeutet das, sicherst du den QR-Code oder die dahintersteckende URI, kannst du jederzeit mit jedem beliebigen TOTP-Client Einmalpasswörter generieren.
@maik schrieb:
> Auf gut deutsch bedeutet das, sicherst du den QR-Code
> oder die dahintersteckende URI, kannst du jederzeit mit
> jedem beliebigen TOTP-Client Einmalpasswörter generieren.
Am besten schreibe ich mir die direkt neben der PIN auf die EC-Karte, richtig? 😉
Wie funktioniert denn das Ganze, wenn ich kein Android, iOS oder ggfs Windows Phone Gerät habe? Scheinen ja nicht alle die Codes via SMS zu verschicken, oder? Ist das dann noch praktikabel?
Mir fehlen hier diverse Infos. Was mache ich bei Handyverlust? Was bei Handywechsel? Kann ich den Authenticator auf mehreren Geräten parallel nutzen (z. B. Handy privat und geschäftlich)?
Das Google Einmalpasswörter hat, reicht nicht als Antwort. Was ist mit den anderen Diensten?
Was basiert auf Telefonnummer, was auf Google-Account? Wenn ich bei gleicher Handynummer von Android zu iOS wechsele, wie läuft das? Muss ich alle Accounts umstellen/neu einrichtete?
@Hacke: Du bekommst beim Einrichten Barcodes angezeigt. Die kannst du auf anderen Geräten scannen, sofern gesichert.
Garade beim „Vorreiter“ Google probiert. Nur Probleme, viel zu kompliziert. Wenn man ein laufendes System stoppen möchte oder zuviel -Zeit hat, vielleicht eine Option. Für mich definitiv nicht. Sofort wieder deaktiviert.
Sorry, auch wenn es sicherer sein mag, mich nervt eine solche Anmeldung. Ich will mich schneller und einfacher und (!) sicherer einloggen können.
@doctor: Was ist so kompliziert? Du brauchst ein Passwort und du brauchst die Google Authenticator App auf dem Handy. Dann meldest du dich mit dem Passwort an und gibst den Code an der angezeigt wird. Einfacher geht’s doch nicht..
Was verliert man hier an Zeit bitte? 30 Sekunden für App öffnen & Code eingeben.. Das sollte doch jetzt wirklich kein Problem sein?
@Marko:
Wie möchtest du dich denn bitte schneller, einfacher und sicherer einloggen können?
Es gibt einen Benutzernamen und ein Passwort. Schneller und einfacher als das geht nicht. Sicherer kannst du nur durch kompliziertere Passwörter erreichen die du regelmäßig wechselst.
Hier kommt dann wunderbar 2-F-A ins Spiel: Benutzername + (wenn gewünscht) einfaches Passwort + extra Code zum anmelden = Sicher, einfach und trotzdem noch schnell..
Durch den extra Code verliert man maximal 30 Sekunden, aber gewinnt enorme Sicherheit, da der Code zufällig erzeugt wird. Und einfacher als Benutzername und zwei Passwörter einzugeben geht ja wohl nicht..
Ansonsten kannst du ja immer noch gerne OAuth nutzen sofern angeboten.. also sprich: Login mit Google, Facebook, etc. auf anderen Seiten..