Wer hat fürs Büro ein überflüssiges Soundsystem bestellt? Und warum steht plötzlich ein Posten mit 20 Tablets auf der Kreditkartenabrechnung? Unangenehme Überraschung: Jemand hat sich in den Onlineshop-Account gehackt und unbemerkt auf Firmenkosten allerlei Kostspieliges gekauft. Das Geld ist weg, der Schaden groß, und mal wieder zeigt sich: Die übliche Kombination aus Benutzername und Passwort ist als alleinige Schutzbarriere für wichtige Internetkonten nicht sicher genug.
Die Zwei-Faktor-Authentifizierung (2FA) macht es Gaunern wesentlich schwerer, Zugänge zu knacken.
Was ist eine Zwei-Faktor-Authentifizierung?
Beim 2FA-Prinzip kommt zum Einloggen außer der üblichen Kombination aus Benutzername und Passwort noch ein zweiter Faktor hinzu. Er besteht meist aus einem Code, der bei jedem künftigen Log-in automatisch generiert wird und zusätzlich eingegeben werden muss.
Ein etwas umständlicheres Prozedere, das aber höhere Sicherheit gewährt.
Gerade bei Onlineshops, die mit sensiblen Kontodaten verknüpft werden, ist das 2FA-Vorgehen eine sinnvolle zusätzliche Sicherheitsmaßnahme.
Wie funktioniert 2FA?
Wie kommt der Code bei jedem Log-in zum User? Dafür haben sich im Wesentlichen zwei Systeme etabliert:
- Entweder registriert man bei der entsprechenden Website über das Benutzerkonto seine Handynummer und erhält bei jedem Log-in-Versuch automatisch einen Code per SMS.
- Oder man lädt sich eine spezielle Authentifizierungs-App herunter (erhältlich für Android und iOS), die den Code automatisch auf dem Smartphone oder anderen Endgeräten anzeigt.
Noch sicherer, aber derzeit noch wenig verbreitet, ist die Übertragung von Sicherheitsschlüsseln über sogenannte FIDO U2F Security Key-Geräte.
2FA muss vom Nutzer aktiviert werden
Die Zwei-Faktor-Authentifizierung ist nicht überall standardmäßig voreingestellt. Der User muss das zweistufige Sicherheitssystem zuerst bei jedem Anbieter einzeln aktivieren, bevor er es nutzen kann.
Die Aktivierung geht überall anders vonstatten. Der Online-Dienst Turn It On hat eigenen Angaben zufolge Bedienungsanleitungen für Hunderte von Websites erstellt, die sich per Suchfunktion abrufen lassen.
So klappt die 2FA-Aktivierung bei Amazon, Google, Paypal und Apple
- Amazon: Im deutschsprachigen Kundenprofil von Amazon ist es bislang leider nicht möglich, 2FA zu aktivieren. Kunden müssen sich stattdessen mit ihren gewohnten Daten über Amazon.com einloggen und die Einstellungen hier vornehmen. Sie greifen dann auch bei deutschen Accounts. Dazu geht man nach dem Log-in über „Your Account“ auf „Change Account Settings“, klickt im nächsten Fenster auf „Advanced Security Settings“ und dann auf „Edit“. Hier stehen schließlich zwei Wege zur Auswahl: per SMS oder Authenticator-App.
- Google: Wie gewohnt in den Google-Account einloggen, die gewünschte Handynummer eingeben, den erhaltenen Aktivierungscode aus der SMS eintippen und auf „Aktivieren“ klicken. Neben der SMS-Variante bietet Google noch zwei weitere Methoden an: Authenticator-App und Sicherheitsschlüssel.
- Paypal: Bei Paypal muss zuerst ein Sicherheitsschlüssel angefordert werden. Dazu auf „Einstellungen“ klicken, in der oberen Navigationsleiste auf „Sicherheit“, auf der folgenden Seite den Punkt „Sicherheitsschlüssel“ auswählen und auf „Kostenlos bestellen“ gehen. Im Anschluss daran wird die Handynummer abgefragt, anschließend erhält man eine SMS mit einem Code, der nun auf paypal.de eingegeben werden muss, um 2FA erstmalig zu aktivieren. Bei jedem weiteren Log-in erscheint nun nach dem gewohnten Anmeldefenster ein Link, über den man eine Code-SMS anfordert, die auf das Handy geschickt wird und sich danach zum Log-in verwenden lässt.
- Apple: Die Apple-ID lässt sich mittels 2FA über appleid.apple.com schützen. Bei iOS 9 und OS X El Capitan ist die Methode bereits integriert und wird bei der Erstinstallation mit eingerichtet. Bereits verifizierte Geräte aus der Apple-Familie zeigen den Code daraufhin jedes Mal automatisch an. Apple bietet außerdem die Möglichkeit, eine oder mehrere Handynummern zu hinterlegen und Bestätigungscodes per SMS zu beziehen.
Bildquelle: © bakhtiarzein – Fotolia.com
Kommentarfunktion ist geschlossen.