Was ist Zwei-Faktor-Authentisierung und wozu braucht man sie?

Da selbst sehr sichere Passwörter z. B. durch Datenlecks in falsche Hände geraten können, ist es ratsam, den Schutz wichtiger Online-Dienste wie E-Mail, Cloud oder Banking nicht nur einem Passwort zu überlassen. Bei der Zwei-Faktor-Authentisierung identifiziert man sich durch zwei unterschiedliche und möglichst voneinander unabhängige Komponenten (Faktoren): Schon lange kennen wir dies am Geldautomaten (Bankkarte und PIN) oder vom Online-Banking (Passwort und TAN).

Bei Online-Diensten ist der erste Faktor meist das eigene Passwort und der zweite ein per E-Mail oder SMS zugeschickter Code oder alternativ ein Code, der von einer speziellen App generiert wurde. Diese Zwei-Faktor-Apps nutzen bei der Berechnung des Codes unter anderem die Uhrzeit, weshalb man sie zeitbasierte Einmalkennwörter (TOTP) nennt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veranschaulicht die Funktionsweise der Zwei-Faktor-Authentisierung in einem Erklärvideo:

Wie kann man Zwei-Faktor-Authentisierung nutzen?

Besonders die bereits genannten Zwei-Faktor-Apps bieten sich zur Absicherung von Online-Diensten an – sie sind sicher, vergleichsweise flexibel nutzbar und benötigen keine Preisgabe weiterer Daten. Sie werden in der Regel auf dem eigenen Smartphone installiert, wo sie zusätzlich durch ein Passwort oder biometrische Merkmale (Fingerabdruck oder Gesicht) geschützt werden. Es gibt zahlreiche dieser Apps: Etwa von Microsoft und Google, integriert in Passwortmanager und diverse wandere Lösungen.

Exemplarisch sollen hier zwei universell einsetzbare Apps genannt werden, welche die folgenden Kriterien erfüllen: Sie sind kostenlos, Open Source, plattformunabhängig, synchronisieren auf Wunsch verschlüsselt zwischen unterschiedlichen Geräten und erleichtern die Eingabe der generierten Codes auch auf Laptops oder Desktop-Computern:

• 2FAS lässt sich nur auf Mobilgeräten mit Android oder iOS installieren, kann jedoch Einträge zwischen diesen synchronisieren und die Eingabe der generierten Codes auf Laptops oder Desktop-Computern durch eine Browser-Erweiterung vereinfachen.
• Ente Auth synchronisiert auf Wunsch ebenfalls, dies jedoch nicht nur zwischen Mobilgeräten, sondern die Codes für die Zwei-Faktor-Authentisierung lassen sich auch plattformübergreifend auf Computern mit MacOS, Linux oder Windows sowie zusätzlich über eine Weboberfläche abrufen.

• sprachlichen Fehlern,
• merkwürdiger Formatierung oder
• inhaltlichen Unstimmigkeiten

schnell feststellen kann, dass etwa eine E-Mail nicht vertrauenswürdig ist.

Doch es gibt inzwischen auch sehr überzeugend gemachte Phishing-Nachrichten, die sich nicht auf den ersten Blick erkennen lassen. Und insbesondere, wenn diese evtl. zu einem tatsächlichen eigenen Anliegen passen oder in einem Moment der Unaufmerksamkeit eintreffen, ist ein falscher Klick schnell getan.

Um das eigene Bewusstsein zu schulen und die Erkennung von Phishing-Versuchen zu trainieren, eignen sich die Angebote der Forschungsgruppe SECUSO. Diese gehört zum Karlsruher Institut für Technologie (KIT) und stellt Materialien in unterschiedlichen Formaten als „NoPhish Konzept“ zur Verfügung.

Neben weiteren Videos (auch auf YouTube verfügbar) ist vor allem die Umsetzung der Empfehlungen in Form des Browserspiels „Phishing Master“ sehr gelungen:

Auf spielerische Art und Weise lernt der Nutzer, Webadressen richtig zu lesen bzw. gefährliche Links und Anhänge zu erkennen. […] Nach einer kurzen Einführung bezüglich der Bedienbarkeit beginnt das Shooting-Game, bei dem man sich in einem Büro befindet und auf dem Monitor Nachrichten angezeigt bekommt, die man auf ihre Echtheit hin untersuchen soll.

Quelle: https://secuso.aifb.kit.edu/1523.php

Phishing Master starten

Wem die spielerische, aber etwas martialische Umsetzung nicht geeignet erscheint, kann alternativ auf ein Quiz zurückgreifen – im Spiel „Phishing Master“ werden Informationsvermittlung sowie die Anwendung dieser Erkenntnisse jedoch besonders geschickt kombiniert.