Zweifach gecheckt
Zwei-Faktor-Authentifizierung und Passwortsicherheit im Einsatz
Eine Zwei-Faktor-Authentifizierung ist bei Onlinediensten in wenigen Schritten eingerichtet. Leider unterstützt jeder Dienst andere Verfahren und benennt die zweiten Faktoren unterschiedlich oder versteckt sie mitunter: ein Wegweiser durch die Einstellungen.
Auch das beste Passwort schützt ein Konto nur mäßig, wie die Recherchen zu diesem Artikel uns noch mal vor Augen führten. Eigentlich wollten wir diesen Artikel mit der üblichen Warnung vor geleakten Kennwörtern, vor Keyloggern und Phishern beginnen. Aber die Deutsche Bahn bescherte uns eine noch greifbarere Gefahr: Zum Test riefen wir von einer bewusst nicht mit unserem Account verknüpften Telefonnummer beim Support an und wollten die Login-Daten zu unserem bahn.de-Account zurücksetzen. Nach nur fünf Minuten in der Warteschleife und etwas gespielter langer Leitung unserseits hatten wir den Zugang zu dem Konto.
Dafür reichte es in dem kurzen Telefonat, lediglich die Fragen nach dem Benutzernamen und der hinterlegten Postleitzahl zu beantworten. Als wir nach der bisher zum Fahrkartenkauf genutzten E-Mail-Adresse gefragt wurden, stellten wir uns unwissend. Trotzdem nannte uns der hilfsbereite Hotline-Mitarbeiter ein neues Passwort noch am Telefon. In diesem Fall war es der eigene Account, aber das Experiment zeigt, wie leicht ein Angreifer den Passwortschutz hätte aushebeln können.