So funktioniert die Zwei-Faktor-Authentifizierung mit Einmal-Passwörtern
Immer mehr Web-Anwendungen setzen auf die Zwei-Faktor-Authentifizierung, um Konten zu sichern. Dieses Verfahren ist gar nicht so schwer zu verstehen.
- Herbert Braun
Die Zwei-Faktor-Authentifizierung kennen viele aus eigener Erfahrung mit großen Web-Diensten wie Facebook, Google, Microsoft, PayPal, Dropbox oder GitHub. Beispiel Facebook: Hat es der Nutzer aktiviert, genügt es nicht mehr, sich an einem neuen Gerät oder Browser mit Nutzername und Passwort einzuloggen. Zusätzlich folgt ein zweiter Schritt, der nach einem sechsstelligen Sicherheitscode fragt. Diesen verschickt Facebook per SMS – ähnlich wie beim mTAN-Verfahren im Online-Banking. Alternativ erzeugt die Facebook-App den Code auf dem Smartphone.
Bei Google funktioniert die Bestätigung in zwei Schritten ganz ähnlich. An den Sicherheitscode kann der Nutzer via SMS oder Sprachnachricht kommen oder über eine eigens dafür vorgesehene App: den Google Authenticator, den es für Android und iOS gibt. Was viele Nutzer dieser App wahrscheinlich nicht wissen: Der Authenticator lässt sich auch für andere Dienste verwenden, denn er implementiert einen freien Standard. Time-based One-time Password Algorithm (TOTP) ist nicht einmal besonders schwer in die eigene Website zu integrieren, zumal es viele Fertiglösungen dafür gibt.
Auch bei den Authentifizierungs-Apps ist die Auswahl groß: Als Alternativen zum Google Authenticator wären etwa Authy oder Duo Mobile zu nennen; auch der auf Windows beliebte quelloffene Passwortspeicher KeePass kann TOTP-Zugangscodes errechnen.
Das war die Leseprobe unseres heise-Plus-Artikels "So funktioniert die Zwei-Faktor-Authentifizierung mit Einmal-Passwörtern". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
