Sicherheit: Zwei-Faktor-Authentifizierung für dein Amazon-Konto in Deutschland freigeschaltet

artikel_amazonBislang nicht offiziell in Deutschland nutzbar gewesen, hat sich nun die Zwei-Faktor-Authentifizierung für dein Amazon-Konto in Deutschland auf leisen Sohlen aufgemacht. Die Zwei-Faktor-Authentifizierung ist den meisten Lesern sicherlich ein Begriff. Sie bietet eine zusätzliche Sicherheitsschicht. Hierdurch wird ein Login bei einem Dienst nicht nur mittels Nutzername und Passwort ermöglicht, sondern man muss eine zusätzliche Überprüfung hinnehmen. Dieser dritte Punkt ist in den meisten Fällen eine Zahl, eine Art temporäres Passwort, welches nur eine begrenzte Zeit gültig ist. Generiert wird das zufällige Passwort nach Einrichten über den Dienst über eine Authenticator-App oder der betreffende Dienst schickt euch nach Abfrage der „dritten Säule“ direkt eine SMS.

Zahlreiche Anbieter bieten die Zwei-Faktor-Authentifizierung an, darunter Google, Microsoft oder auch Dropbox. Ich habe bereits mehrere Beiträge zu diesem Thema in den letzten Jahren geschrieben und bin der Meinung, dass man die angebotene Zwei-Faktor-Authentifizierung nutzen sollte, denn so kann ein Angreifer nicht in euren Account, selbst wenn er Nutzernamen und Passwort kennt.

So aktivierst du die Zwei-Faktor-Authentifizierung für dein Amazon-Konto:

Die Kontoeinstellungen deines Amazon-Kontos besuchen und den Punkt Anmelde- und Sicherheitseinstellungen anklicken. Hier die Erweiterten Sicherheitseinstellungen bearbeiten.

amazonHier dann die Zwei-Faktor-Authentifizierung über den Punkt „Erste Schritte“ aktivieren und die Möglichkeit nutzen, die euch gefällt – entweder Code per SMS oder Code per App. Bei SMS bekommt ihr einen Code, bei der Nutzung einer Auth-App bekommt ihr einen QR-Code angezeigt, den ihr scannen müsst. Das funktioniert per klassischer OTP-App, beispielsweise dem Google Authenticator oder aber auch Authy.Die Einrichtung wird abgeschlossen nach Code-Bestätigung, ihr erhaltet auch eine Mail.

bildschirmfoto-2016-12-04-um-11-49-50

Nicht wundern, das Ganze muss man zwei Mal machen – als Rückversicherung quasi, wenn man auf Methode 1 keinen Zugriff hat. Amazon dazu: „Wenn Sie keinen Zugriff auf Ihre bevorzugte Methode haben, können Sie Ihre Sicherungsmethode verwenden, um sich anzumelden. Fügen Sie eine Methode als Backup hinzu, damit Sie immer Zugang zu Ihrem Konto haben. Sie können diese Methode jederzeit auf der Seite „Erweiterte Sicherheitseinstellungen“ bearbeiten.“

Am Ende ist es so, dass man sich nur anmelden kann, wenn man Nutzernamen, Passwort und Code eingibt. Dies muss man aber nicht zwingend auf den eigenen Rechnern in den eigenen vier Wänden machen, denn diese Rechner kann man als vertraut einstufen. Amazon hat mittlerweile eine deutsche Hilfeseite freigeschaltet.

bildschirmfoto-2016-12-04-um-12-03-43

Wichtig zu wissen: Manche Geräte können keine zweite Anzeige öffnen, die euch auffordert, einen Sicherheitscode einzugeben, die Zwei-Schritt-Verifizierung ist trotzdem erforderlich. Dann muss man sich mit dem Nutzernamen und dem Passwort anmelden. Eine Fehlermeldung erscheint und der Verifizierungscode kommt per SMS oder App. Dieser Code muss am Ende des Passwortes angehangen werden.

(danke Marcus!)

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

46 Kommentare

  1. Hm, was mich wundert:

    Ich habe jetzt den Authenticator als Haupt- und SMS als Fallback-Methode verwendet. Doch was ist, wenn ich nicht auf mein Handy zugreifen kann? Ich habe keine Backup-Codes wie bei Google oder OVH, und keine Möglichkeit an die SMS zu kommen wenn ich mein Handy verlieren oder es geklaut werden sollte.

    Hab ich nur was übersehen oder muss das so?

  2. Gibt es für den Authenticator auch Backup Codes? Oder wird das alles, auch im Falle des Verlustes, über den zweiten Weg (SMS/Sprachanruf) gemacht?

  3. Meistens bekommt man im Interface, dort wo man 2FA aktiviert, ein paar Backup Codes angezeigt. Diese soll man sich gut notieren (beispielsweise ausdrucken und/oder in einem Passwortmanager hinterlegen).

    Dann hat man beim Login die Möglichkeit, entweder die App oder einen Backup-Code zu verwenden. Bei OVH sieht das zum Beispiel wie folgt aus: https://i.imgur.com/YHU9c7W.png

  4. Nutze die 2FA z.B. bei Paypal. Aber bei Amazon frag ich mich, vllt auch etwas blauäugig, was kann passieren, wenn jemand Zugang zu meinem Amazon Konto hat? Für jede neue Adresse muss ja auch das Zahlungsmittel neu eingegeben werden.

  5. @smett Zugriff auf deine gekaufte Musik, deine Ebooks und Filme sowie die möglichkeit mit dem im Account einsehbaren Daten weitere Nachforschungen anzustellen. Es ist z.B. möglich wenn du aktiver Amazon-Käufer bist nachzuschauen ob es sich tatsächlich lohnt bei der im Account hinterlegten Adresse einzubrechen.

  6. Wie mache ich das dann beim Fire Tv?

  7. Warum sollte ihm das unklar sein, er hat den Beitrag doch selbst verfasst?! oO

    @Markus: Dann wird der Code hinter dem regulären Passwort eingefügt. Ist auf https://www.amazon.de/gp/help/customer/display.html?nodeId=201962400 beschrieben.

  8. Vielleicht wäre es noch gut, zu erwähnen, dass die Aktivierung bei den mobilen Seiten nicht funktioniert, da es den erforderlichen Menupunkt nicht gibt. Das geht nur bei der Desktopversion der Seiten.

  9. Man sollte auch nicht vergessen zu erwähnen, dass die 2FA mittlerweile nach eigenem Ermessen temporär aktiviert wird Serverseitig. Man bekommt dann den Code per Email, der dann als Passwort fungiert. Man muss sich dann quasi nochmal einloggen danach, aber nicht mit dem normalen Passwort, sondern Email-Adresse+Code (aus der Email).

  10. Ich habe 2FA bei Amazon schon seit langem… wieso ist das jetzt eine Neuigkeit?

  11. @sunworker Auf eine Antwort bin ich nun auch gespannt. Ich brauche schon seit Ewigkeiten zusätzlich eine SMS zum Einloggen.

  12. @Konstantin: Danke für den Input. Du hast Recht.

  13. @Paubolix
    Mehr als ein Jahr her oder?

  14. Man braucht doch keine Backup-Codes. Sichert euch doch den ursprünglichen QR-Code. Halt vorher mit nem anderen Scanner lesen oder besser gleich eine Authenticator-App nutzen, die Export und Backup ermöglicht.

  15. @sunworker, @Paubolix Seit wann dann ca? Seit meinem oben verlinkten US-Beitrag? Vorher war es in DE nämlich m.W. nicht möglich 😉 Neu ist, dass es in DE nun machbar ist, war es vorher nicht, schaue nämlich regelmäßig selber auf die Option, seit sie über den US-Umweg machbar war 😉

  16. Stimmt, seitdem sie über den US-Umweg von Cashy verlauet wurde habe ich es so gemacht. Die Frage ist jetzt nur noch, ist es egal auf welchem Wege man es macht oder soll man besser auf die Deutsche Variante umsteigen?

  17. @HS: Technisch sollte das latte sein. In deinen DE-Eiinstellungen sind ja die normalen 2FA-Dinger aktiviert, nicht wahr?

  18. Nachdem ich per US VPN eingestiegen bin, konnte ich das in den deutschen EInstellungen einstellen. Also braucht man da, meiner Meinung nach, nix umstellen.
    Lustig war’s nur als ich den deutschen support angerufen habe… die kannten 2FA nicht, und kamen ohne meinen Code nicht auf mein Konto (fand ich gut, das selbst „interne“ nicht aufs Konto kamen).
    Zum Thema: was mache ich wenn mein Handy weg ist… einen Authenticator nutzen der auf mehr als auf einem Handy funzt (z.B. Enpass).

  19. Habe das US-2FA jetzt einfach deaktiviert und über deutsches Amazon wieder aktiviert. War kein großer Deal.

  20. Und wie vor allem macht man das in den TVs etc mit Amazon Prime Video? Da gehts nicht da der zweite Zugangscode nicht abgefragt wird. Oder hat wer ne Idee?

  21. @Steffen_Oetzel

    Wofür Enpass?
    Den angezeigten QR-Code mit mehreren Geräten in der Google-Auth-App scannen und dann auf allen Geräten den angezeigten Code eingeben, fertig. Mache das inzwischen bei allen Diensten so, die 2FA anbieten.

  22. Welcher authenticator ist jetzt der beste für sodass mit mehreren Geräte und unterschiedliche Betriebssysteme? Was nimmt man da am besten? Danke für die Info.

  23. @Mumeltier: wenn du immer mehrere Geräte zur Hand hast… Bei Enpass brauche ich nur eines, weil es dann synct…

  24. Alexander Lang says:

    „Und wie vor allem macht man das in den TVs etc mit Amazon Prime Video? Da gehts nicht da der zweite Zugangscode nicht abgefragt wird. Oder hat wer ne Idee?“

    Laut Beschreibung wird der Code dann direkt hinter das Passwort eingegeben.

  25. @Chrissi: Amazon selbst schreibt dazu dass du den Code bei älteren Geräten einfach hinten an das Passwort hängen sollst

  26. Gute Nachrichten! Ich habe nähmlich den Fall, das ich den Zugriff am mein Handy (App und Nummer) verloren habe und nicht mehr in mein Amazonkonto komme.
    Der Deutsche Support hat auf den US Support verwiesen und der US Support konnte mir auch nicht recht weiter helfen.

    Vielleicht klappt es jetzt ja doch mit dem deutschen Support. Die verstehen dann doch etwas besser, was man nun genau möchte.

  27. @SaschaQ Ich nutze Authy, damit habe ich positive Erfahrung gemacht, was den Verlust meines Telefons angeht. Durch ein Cloud-Backup konnte ich auf einen anderen Gerät meine registrierten Accounts einfach wiederherstellen und die App auf meinem anderen Telefon einfach deaktivieren. Wenn man damit klar kommt das die Daten bei dem Dienstleister verschlüsselt hinterlegt werden, dann kann man somit zumindest die Angst vor einem Geräteverlust kompensieren.

  28. @caschy
    Du hast Recht, kann sein das ich mich einfach mal bei Amazon.com eingeloggt hatte und 2FA eingeschaltet hatte. Das ging dann halt auch im deutschen Amazaon.de. Mir hatten mal Chinesen den Account gehackt, deshalb hatte ich 2FA drin danach.

  29. Absoluter Schwachsinn das man die Daten am TV auch immer eingeben soll. Dies muss ausgeklammert werden da kein Mensch sich da zig mal am Tag einloggen will. Wird das Passwort gespeicjert ists ja dann immer falsch.

  30. @Murmeltier: „Den angezeigten QR-Code mit mehreren Geräten in der Google-Auth-App scannen und dann auf allen Geräten den angezeigten Code eingeben, fertig.“

    Ich dachte immer, die Google-Auth-App dürfte immer nur auf einem Gerät gleichzeitig installiert und genutzt werden. Falsch?

  31. @Olaf: Falsch.

  32. @ Olaf / @ cashy

    Es kommt darauf an. Es gibt Unterschiede darin, wie die Token (= die Ziffernfolgen) generiert werden. Die meisten Verfahren setzen auf Token, die alle x Sekunden wechseln (sog. TOTP, „zeitbasiert“). Die kann man auf beliebig vielen Geräten gleichzeitig einsetzen; wichtiger ist hier, dass überall die Uhrzeit stimmt, weil der Server die Token sonst als zu alt/neu ablehnt.

    Es gibt aber auch Token-Verfahren, die so funktionieren, dass immer nur ein Token generiert wird und dieser so lange gültig bleibt, bis er verbraucht wurde (sog. HOTP, „ereignisbasiert“). Das funktioniert natürlich nicht mehr so gut auf mehreren Geräten, weil ja immer nur das Gerät, das man gerade nutzt, mitbekommt, wenn man den Token verbraucht – alle anderen würden weiterhin den alten Token anzeigen, der nach der Nutzung natürlich wertlos ist.

    Also: Es kommt darauf an. Meist werden zeitbasierte Verfahren genutzt, dann geht es!

  33. @sunworker Ja, mindestens

  34. Man kann es nur vollständig einrichten, wenn man als Notfalllösung auch noch seine Handy-Nr angibt? Trotz Nutzung der Google App kann man 2FA bei Amazon also nur mit Angabe einer Handy-Nr. nutzen…dann werde ich auf 2FA bei denen verzichten, die brauchen und bekommen keine Nummer von mir. Dass es auch ohne geht zeigen andere Dienste mit einem Recovercode, den man sich notieren muss.

  35. @caschy, @sunworker, @Paubolix Also ich hab bei amazon die 2FA ungefähr seit dem 21. Mai 2015 aktiv. Bin mir nicht absolut sicher, aber das Ding ist bei mir definitiv schon über ein Jahr aktiv. Und läuft auch seither problemslos mit unterschiedlichen Apps auf Android, Smart-TV und PS3.

  36. Ich wollte die 2FA gerade einstellen, musste allerdings bemerken, dass ich dies schon lange getan habe. Irgendwann in 2015 habe ich den QR-Code gescannt und bekomme entweder SMS von Amazon oder generiere einen Code mit Authy. Nichts wirklich Neues also.

  37. Ah cool. Weil das Thema gerade wieder aufkommt u. man heute doch mehr als ein Gerät besitzt. Konnte nun Amazon, Google u. Posteo mit Google Authenticator auf jeweils zwei Geräten einrichten. Die Codes sind auf beiden Geräten immer identisch.
    Mal schauen was noch geht.

  38. @caschy @Lars @HS
    Danke euch. Alles klar.

    Jetzt muss ich nebenbei nur mal schauen, wie das mit Paypal und der „Vip-Access“-App als Authenticator läuft. Da wird ja quasi durch eine Nummer ein bestimmtes Gerät genannt, von dem der Code abgelesen wird.

  39. @caschy @Lars @HS:

    Leider klappt euer Tipp nicht, leider nervig.

    Habe mit 2 Geräten den QR-Code für die 2-Faktor-Anmeldung gescannt. Beide Geräte zeigen sofort verschiedene Codes gleichzeitig an. Zum Bestätigen kann ich dann EINEN Code eingeben. Dasjenige Geräte, aus dem ich den sechstelligen Code nehme, gewinnt. Das andere ist dann raus.

  40. Also jetzt mal ganz blöd die Frage: Wenn ich den Code einfach hinter das Passwort setzen kann, woher weiß Amazon bitte das mein PW endet und der Code beginnt? Wenn sie die Länge meines Passworts speichern, öffnet das doch jemandem, der irgendwann mal an die Daten kommt, Tür und Tor, wenn er weiß wo die kurzen und damit schwachen Passwörter sind?!

  41. Bekomme seit gestern keine SMS mehr mit den Codes…
    Hat noch einer das selbe Problem?

  42. @Steffen Oetzel: Backups oder Apps wie Authy verwenden. Wobei letzteres natürlich Geschmackssache ist.

  43. @Dominik: Ich habe 2FA vor längerer Zeit über die US-Seite angemeldet. Bei mir kommen nun auch keine SMS mehr an. Ich komme derzeit nicht auf mein Konto. Support-Anfrage ist raus.

  44. @Olmue Ok, dann bin ich schon mal nicht alleine.

    Hatte auch vorher über die US Seite die 2FA eingerichtet, funktionierte damals auch nur 2 Tage, dann kamen keine SMS mehr. Gab damals schon ein riesen hin und her mit Amazon.

    Bin auch seit Samstag 12 Uhr mit dem Support dran, die versuchen den Fehler momentan zu beheben, haben es aber bis heute nicht geschafft.
    Langsam verliere ich echt das Vertrauen in Amazon, wie kann es sein, dass die nach 3 Tagen immer noch nicht wirklich was machen können?

  45. na super ….. 3-mal habe ich einen Code erhalten, danach nicht mehr. Habe mich jetzt quasi von meinem eigenen Amazon-Konto ausgesperrt. Man kann die 2-FA ja auch nur mit einem wieder deaktivieren. Die Amazon-Hotline weiß sich auch keinen Rat. Die verweisen darauf, das der SMS-Dienst in den USA läuft und dass mach sich hierhin bei Problemen wenden soll. Tolle Wurst ;-))