Dein Projekt: wichtige Accounts mit der Zwei-Faktor-Authentifizierung absichern
von caschy | 83 Kommentare
Das Wochenende naht. Definitiv eine Zeit, in der man sich ein wenig über Account-Sicherheit seine Gedanken machen könnte. Wir leben in Zeiten, in denen immer mehr Dienste um unsere Gunst buhlen. Wir melden uns hier und da an, geben unsere Daten an und irgendwann kommt dann einmal der Tag, an dem es richtig rappelt. Denn dann ist vielleicht einer der beliebten Dienste geknackt worden und eure Daten sind im Netz. Oder aus irgendeinem Grunde bekommt jemand euer Passwort mit und hat nun Zugang zu euren Accounts. Kein schöner Gedanke. Deshalb nutzt bitte, sofern verfügbar, die Zwei-Faktor-Authentifizierung.
[werbung]
Dropbox, Facebook, Google, LastPass, Evernote, Twitter und auch Microsoft bieten diese an. Ich möchte in diesem Beitrag einen kurzen Anriss bieten, wo sich die Funktionen aktivieren lassen und wie sie genutzt werden können. Solltet ihr weitere, relevante Dienste in der Liste sehen wollen, dann informiert mich bitte.
Facebook:
Auch Facebook bietet seit geraumer Zeit eine Zwei-Faktor-Authentifizierung, diese gilt dann für neue Rechner, an denen ihr euch im sozialen Netzwerk einloggen wollt. Innerhalb der App befindet sich ein Code-Generator, über den nur ihr einen Code abrufen könnt. An euren Rechnern zuhause müsst ihr euch nicht dauernd neu einloggen, diese bleiben autorisiert.
Ohne das Passwort zu kennen und den Code zu haben, kann sich dann niemand mehr einloggen. Ihr übrigens auch nicht, sofern ihr keinen Zugriff auf euerSmartphone habt. Diese Sicherheit für Facebook könnt ihr hier aktivieren, zu finden im Bereich Code Generator und Login Approvals. Übrigens: ihr müsst nicht zwingend die Facebook-App nutzen, der Code-Generator lässt auch den Zugriff mittels Google Authenticator zu. Authentifizierten Geräten kann der Zugriff auch wieder entzogen werden.
Dropbox:
Der beliebte Dienst bietet ebenfalls eine Zwei-Faktor-Authentifizierung. Sie arbeitet ebenfalls mit einer Authenticator-App zusammen, welches es zum Beispiel für iOS, Windows Phone und Android gibt. Wie bei anderen Diensten muss man sich beim ersten Einloggen authentifizieren.
Einmal registrierte Geräte bleiben eingeloggt, sollte ein Gerät gestohlen werden, dann kann man auch diesem das Zugriffsrecht entziehen. Die doppelte Anmeldesicherheit kann hier aktiviert werden.
Twitter:
Relativ frisch in der Thematik Zwei-Faktor-Authentifizierung ist Twitter. Immer mehr prominente Accounts wurden geknackt und verbreiteten Falschmeldungen. Grund genug für Twitter, sich abzusichern. Das Problem? Twitter setzt nicht auf eine Lösung via App, stattdessen muss man sich an authentifizierten Geräten mit einem Code anmelden, der mittels SMS geschickt wird.
Funktioniert bei kaum einem deutschen Provider und bei keiner Verfügbarkeit eines Mobilfunknetzes ist es auch Essig – eine App würde offline funktionieren. Eure Einstellungen findet ihr hier. Hier lohnt es sich, öfter vorbeizuschauen, sofern es momentan nicht mit eurem Anbieter funktioniert.
Google:
Einer der Vorreiter der Zwei-Faktor-Authentifizierung. Mein wichtigstes Konto, deshalb stellte sich für mich nie die Frage, ob ich es nicht doppelt absichere. Bei Google wird ebenfalls per App oder SMS authentifiziert. Ebenfalls werden für den Notfall ohne Smartphones Einweg-Codes zur Verfügung gestellt. Zu bedenken ist: Sofern ihr Dritt-Software wie Mail-Programme, Kalender und andere Dinge nutzt, dann müssen diese leider noch mit einem Einweg-Passwort eingerichtet werden.
Hier funktioniert das Code-Verfahren nicht. Gut gelöst ist dies innerhalb von Android, hier greifen dementsprechend realisierte Apps auf das bereits authentifizierte Konto des Smartphones zu, sodass eine erneute Einrichtung nicht vonnöten ist. iOS-Nutzer haben hier das Nachsehen und müssen die Apps, sofern sie nicht von Google sind, entsprechend mit einem Einweg-Passwort ausstatten. Die Bestätigung in zwei Schritten lässt sich hier bei Google aktivieren. Google hat dazu auch eine schöne Informationsseite geschaltet.
Evernote:
Evernote ist ganz frisch im Business, die Zwei-Faktor-Authentifizierung wurde jüngst erst einmal für Premium-Kunden eingeführt. Die Verifizierung erfolgt über einen 6-stelligen Code, den man per SMS erhält. Die Kombination aus Passwort und Code soll für beste Sicherheit sorgen. Drittanbieter-Apps können über spezielle Application-Passwords wieder funktional gemacht werden. Direkt nach der Einrichtung der 2-Faktor-Authentifizierung funktionieren diese nämlich erst einmal nicht. Die 2-Faktor-Authentifizierung kann hier aktiviert werden.
Bisher nur für Premium- und Business-Nutzer freigeschaltet, soll das Sicherheits-Feature auch bald für alle aktiviert werden. Autorisierte Apps ist hingegen schon jetzt für alle Nutzer verfügbar. Damit ist es möglich, den Zugang zu Evernote über Apps zu untersagen. Verliert man beispielsweise Smartphone oder Tablet, kann man den entsprechenden Apps den Login entziehen. Beim nächsten Start der jeweiligen App muss dann erneut das Passwort eingegeben werden. Die zweistufige Anmeldung lässt sich hier aktivieren. Evernote bietet SMS- oder Google Authenticator-Logins an, ebenfalls stehen Notfall-Codes bereit.
Microsoft:
Microsoft bietet einen Schwung Dienste an, sodass es auch hier sinnvoll erscheint, die Zwei-Faktor-Authentifizierung einzusetzen. Microsoft teilt mit, dass 700 Millionen Menschen auf der Welt Microsoft-Dienste nutzen und dass das Microsoft-Konto unter anderem der Schlüssel zum Windows PC, Windows Phone, Xbox, Outlook.com, SkyDrive, Office, Skype und Co ist – kann man also mal absichern. Die Zwei-Faktor-Authentifizierung wird bei Microsoft hier angestoßen.
Möglichkeiten? Telefon, Mail oder das Übliche: Authentifikator-App. Eine Authentifikator-App generiert alle 30 Sekunden einen neuen Sicherheitscode. Sobald man eine Authentifikator-App auf dem Smartphone installiert und mit einem Konto kombiniert hat, kann man immer einen Code abrufen – selbst wenn man den Flugzeugmodus aktiviert hat oder sich an einem Ort ohne Mobilfunkempfang befindet.
LastPass:
LastPass ist ein beliebter Dienst für die Online-Verwaltung von Passwörtern. Mann muss nicht darüber nachdenken, hier ist die zweistufige Anmeldung Pflicht. Auch LastPass unterstützt seit 2011 die Möglichkeit. Zu erreichen ist diese in den Einstellungen in der Oberfläche von LastPass. Hier könnt ihr die Möglichkeit auswählen, euren Account mit der Authenticator-App von Google abzusichern.
So Freunde, dies erst einmal zu den Diensten, solltet ihr der Meinung sein, dass dort etwas fehlt, dann schreibt mir und ich werde dies aufnehmen. Vorsicht ist besser als Nachsicht, bei besagten Diensten ist die doppelte Sicherheit in wenigen Augenblicken erledigt – diese Zeit sollte es euch wert sein. Wer noch Lesestoff benötigt – ich schrieb noch etwas zu Passwörtern und Sicherheit.
Wird geladen ...
Überflüssig. Ich brauche sowas nicht. Ich hatte bis jetzt über 30 Handys und keines davon ging verloren. Ich pass eben auf meine Schätzchen auf 😉 Mir ist auch noch nie eine Digitalkamera verloren gegangen. Ich verstehe die Leute nicht. Mir wurde auch noch nie ein Zugang gehackt. Habe ich vielleicht zu gute Kennwörter? Ich denke eher, dass die Leute ihre Kennwörter irgendwo aufschreiben wie auch die PIN der Bankkarte. Oder ihre Geräte ohne Kennwortsperre einfach so rumliegen lassen, als dass jemand ernsthaft einen Account eines Otto-Normal-Verbrauchers „hackt“.
@Stphn: lt. Caschy: „Gut gelöst ist dies innerhalb von Android, hier greifen dementsprechend realisierte Apps auf das bereits authentifizierte Konto des Smartphones zu, sodass eine erneute Einrichtung nicht vonnöten ist.“ > klappte auf meinem S2 leider nicht. Jede App verlangte erneut eine Codeeingabe und zwar nach jedem Start der App. Wenn sowas nicht problemlos klappt, dann hab ich einfach keinen Bock mehr, meine Zeit mit Rumprobieren totzuschlagen.
Spannende Kommentare,
aber was ich beim Artikel vermisse, ist eine Aufklärumg, WAS ÜBERHAUPT diese 2FA ist… wie funktioniert es technisch, etc…
Sicherheitstipps sollten nicht nur daraus bestehen, die Schritte zur Einrichtung zu dokumentieren…
@doctor:
Ich glaube dein Problem hängt eher mit der App an sich zusammen. Wenn diese nicht auf die vom Google Konto bereitgestellten Daten zugreifen, sonder über eigene Routinen die Daten von Google runterlädt, könnte es Probleme geben, ja.
In diesem Fall musst du aber trotzdem nicht bei jedem Start der App den Code eingeben, sondern kannst ein App-spezifisches Passwort vergeben (hier: https://accounts.google.com/b/0/IssuedAuthSubTokens?hl=de). Dort einfach ein Passwort generieren und in der App eingeben.
Damit erübrigt sich das ständige Code eingeben.
Kann mir jemand sagen, woran Google die „vertrauenswürdigen Computer“ festmacht und erkennt. Wird da einfach nur ein Cookie im Browser gesetzt? Das wäre schlecht, denn die lösche ich grundsätzlich beim schließen des Browsers.
Hallo ihr Fachleute. Ich bin ein Computer-Dummie. Und faul, stinkfaul sozusagen und super vergesslich. Ich benutze auf meinen Computern Keepass. Die Passwortdatenbank synchronisiere ich per Bittorrent-Sync über die interne Synchronisationsfunktion mit einer Kopie. Für die Paswortdatenbank benutze ich ein Masterpasswort und so eine komische Key-Datei. In dem Keepass sind nur mit den eingebauten Passwordgenerator erzeugte 256-Bit Hex Dings Passwörter drinnen. Ich habe bei Google, Microsoft, Facebook und Dropbox dieses 2-Faktor-Mopped eingerichtet und jeweils dabei den Bildschirm abfotografiert und dann dieses Dings auf 2 Handies und 2 Tablets in dem Google Authenticator Programm mit diesen Bildschirmfotos installiert. Alle 4 Geräte (könnte ja mal eins kaputt gehen) zeigen immer synchron die selben Zahlenschlüssel an. Funktioniert ganz prima. Kann mich eben nur nicht mehr auf fremden Computern in diese Konten anmelden, weil man dieses 256 Bit Zeuchs weder nüchtern noch besoffen von Hand abtippen kann. Dass man die nicht elektrisch aus dem Handie in so einen Computer kriegt….
Hallo Caschy, danke für den Artikel. Ich nutze das „2-Factor-Moped“ 🙂 schon eine Weile bei allen Diensten, wo es geht und bin dankbar für diese zusätzliche Sicherheit. Kompliziert finde ich es übrigens überhaupt nicht. Die einzige Frage, die ich von Anfang an vor mir her schiebe: Was bringen mir diese speziellen Auth.-Apps für einen Vorteil? Ich lasse mir eine SMS schicken und gut ist. Eine extra-App sehe ich doch eher als zusätzlichen Ballast. Oder liege ich da falsch? Kannst du mir dazu vielleicht eine Erhellung liefern? Oder hast du gar schon irgendwo einen Artikel dazu verfasst, den ich nur nicht gefunden habe?
@icoco_de : Die App funktioniert offline!
Wo ist denn hier der „Danke“-Button bei den Kommentaren …? 🙂
Kannst du eine Zweifaktor-App für den Desktop empfehlen?
Hiermit kann man übrigens einen SSH-Zugang absichern: https://code.google.com/p/google-authenticator/
Der Google Authenticator ist eine von vielen Apps, die die Funktionalität erfüllen. Ich empfehle die App „Authy“, die sogar ein Backup macht und man die Einstellungen ohne Mühe auf ein anderes Telefon übernehmen kann. Das ist beim Google Authenticator nicht möglich.
Ich finde es erschreckend, dass Twitter keine ordentliche 2-Wege-Authentifizierung anbietet. Der Versand mittels Code per SMS funktioniert nicht mit T-Mobile, da der Carrier nicht angebunden sei… Bitte? Warum kann Twitter nicht auch die Art und Weise von dem Google Authenticator (oder entsprechenden Apps wie Authy oder Duo mobile) übernehmen?
Bei Paypal und Ebay kann man sich mit einer speziellen App von Symantec anmelden. Leider gibt es aber das Problem, dass der Code tatsächlich weg ist, sobald das Telefon verschwindet oder die App gelöscht wird.
Ich nehme nur noch Authy und wünschte mir, dass weitere Webseiten den Dienst anbieten. Auch die Seite von Yahoo ist zu kompliziert und SMS gesteuert.
Was ich mich wirklich frage: Warum geht das bei PayPal nicht? Gerade bei sensiblen Geldgeschäften ist eine 2FA doch mehr als angebracht.
Ich hab aktuell das System mit dem SMS-Code aktiviert, das funktioniert aber mobil und bei Weiterleitungen aus Shops teilweise gar nicht oder nur über Umwege…
Apple fehlt übrigens in diesem Artikel, der ja schon etwas älter ist. Inklusive dem Hinweis, dass man den Sicherheitscode besonders gut aufbewahren sollte 😉
Hab grad versucht, bei Twitter Zwei-Faktor-Authentifizierung einzurichten.
Per Authenticator (Authy hat den Vorteil, dass es auf mehreren Geräten synchron läuft) scheint das nicht zu gehen, nach wie vor nur via SMS.
Meine gewünschte Mobilnummer 01579 … (simquadrat/sipgate) scheint dafür nicht zu klappen. Leider nur 0175 … (D1-mobilcom, was ich Ende 2016 nicht verlängere; Problem: Falls ich diese Sicherungsform nicht rechtzeitig rückgängig mache, komm ich nach Mobil-Vertrag-Ende nicht mehr in mein Twitterkonto – und ähnliche Probleme hatte ich mit Bank-TANs).