Die verschiedenen Formen der Zwei-Faktor-Authentifizierung: SMS, Autheticator-Apps und mehr

2023 Autor: Peter John Melton | [email protected]. Zuletzt bearbeitet: 2023-08-25 03:28

Verschiedene Dienste bieten unterschiedliche Zwei-Faktor-Authentifizierungsmethoden. In einigen Fällen können Sie sogar aus verschiedenen Optionen wählen. So funktionieren sie und wie unterscheiden sie sich

SMS-Bestätigung

Dies ist praktisch, da Sie nichts Besonderes tun müssen und die meisten Leute über ein Mobiltelefon verfügen. Einige Dienste wählen sogar eine Telefonnummer und lassen ein automatisiertes System einen Code sprechen, sodass Sie diesen mit einer Festnetznummer verwenden können, die keine Textnachrichten empfangen kann.

Es gibt jedoch große Probleme bei der SMS-Bestätigung. Angreifer können SIM-Swap-Angriffe verwenden, um auf Sicherheitscodes zuzugreifen oder sie aufgrund von Fehlern im Mobilfunknetz abzufangen. Wir empfehlen, nach Möglichkeit keine SMS-Nachrichten zu verwenden. SMS-Nachrichten sind jedoch immer noch viel sicherer als überhaupt keine Zwei-Faktor-Authentifizierung zu verwenden!

App-generierte Codes (wie Google Authenticator und Authy)

Installieren Sie die App, scannen Sie den Code, wenn Sie ein neues Konto einrichten. Diese App generiert etwa alle 30 Sekunden neue Codes. Sie müssen den in der App auf Ihrem Telefon angezeigten aktuellen Code sowie Ihr Kennwort eingeben, wenn Sie sich bei einem Konto anmelden.

Dazu ist überhaupt kein Mobilfunksignal erforderlich, und der „Startwert“, mit dem die App diese zeitlich begrenzten Codes generieren kann, wird nur auf Ihrem Gerät gespeichert. Das bedeutet, dass es wesentlich sicherer ist, da selbst jemand, der Zugriff auf Ihre Telefonnummer erhält oder Ihre SMS abfängt, Ihre Codes nicht kennt.

Einige Dienste, z. B. der Battle.net-Authentifikator von Blizzard, verfügen auch über eigene, eigens für die Codegenerierung entwickelte Apps.

Physische Authentifizierungsschlüssel

Physische Authentifizierungsschlüssel sind eine weitere Option, die immer populärer wird. Große Unternehmen aus dem Technologie- und Finanzsektor schaffen einen Standard, der als U2F bezeichnet wird, und es ist bereits möglich, einen physischen U2F-Token zum Sichern Ihrer Google-, Dropbox- und GitHub-Konten zu verwenden. Dies ist nur ein kleiner USB-Schlüssel, den Sie in Ihren Schlüsselbund stecken. Wenn Sie sich von einem neuen Computer aus bei Ihrem Konto anmelden möchten, müssen Sie den USB-Schlüssel einstecken und eine Taste darauf drücken. Das ist es - keine Tippcodes In Zukunft sollten diese Geräte mit NFC und Bluetooth für die Kommunikation mit mobilen Geräten ohne USB-Anschlüsse arbeiten.

Diese Lösung funktioniert besser als SMS-Überprüfungs- und Einmalverwendungscodes, da sie nicht abgefangen werden kann. Es ist auch einfacher und bequemer zu benutzen. Beispielsweise könnte eine Phishing-Site eine falsche Google-Anmeldeseite anzeigen und Ihren einmaligen Verwendungscode erfassen, wenn Sie versuchen, sich anzumelden. Sie können diesen Code dann verwenden, um sich bei Google anzumelden. Mit einem physischen Authentifizierungsschlüssel, der mit Ihrem Browser zusammenarbeitet, kann der Browser sicherstellen, dass er mit der echten Website kommuniziert und der Code nicht von einem Angreifer erfasst werden kann.

Erwarten Sie in Zukunft noch viel mehr davon.

App-basierte Authentifizierung

Apples zweistufige Verifizierung funktioniert ähnlich, obwohl keine App verwendet wird, sondern das iOS-Betriebssystem selbst. Wenn Sie versuchen, sich von einem neuen Gerät aus anzumelden, können Sie einen Code zur einmaligen Verwendung erhalten, der an ein registriertes Gerät gesendet wird, z. B. Ihr iPhone oder iPad. Die mobile App von Twitter verfügt über eine ähnliche Funktion, die als Anmeldeverifizierung bezeichnet wird. Google und Microsoft haben diese Funktion zu den Smartphone-Apps von Google und Microsoft Authenticator hinzugefügt.

E-Mail-basierte Systeme

Dies ist nicht so sicher wie andere Überprüfungsmethoden in zwei Schritten, da es für jemanden leicht sein kann, auf Ihr E-Mail-Konto zuzugreifen, insbesondere wenn Sie keine Bestätigung in zwei Schritten verwenden! Vermeiden Sie die E-Mail-basierte Überprüfung, wenn Sie etwas Stärkeres verwenden können. (Glücklicherweise bietet Steam für seine mobile App eine App-basierte Authentifizierung an.)

The Last Resort: Wiederherstellungscodes

Wiederherstellungscodes bieten ein Sicherheitsnetz für den Fall, dass Sie die Zwei-Faktor-Authentifizierungsmethode verlieren. Wenn Sie die Zwei-Faktor-Authentifizierung einrichten, erhalten Sie normalerweise Wiederherstellungscodes, die Sie notieren und an einem sicheren Ort aufbewahren sollten. Sie benötigen sie, wenn Sie die Methode zur Bestätigung in zwei Schritten verlieren.

Stellen Sie sicher, dass Sie eine Kopie Ihrer Wiederherstellungscodes haben, wenn Sie die zweistufige Authentifizierung verwenden.

Sie werden für jedes Konto nicht so viele Optionen finden. Viele Dienste bieten jedoch mehrere Überprüfungsmethoden in zwei Schritten, aus denen Sie auswählen können.

Es besteht auch die Möglichkeit, mehrere Zwei-Faktor-Authentifizierungsmethoden zu verwenden. Wenn Sie beispielsweise eine Code generierende App und einen physischen Sicherheitsschlüssel einrichten, können Sie über die App auf Ihr Konto zugreifen, wenn Sie den physischen Schlüssel verlieren.