c't 11/2016
S. 162
Praxis
Zwei-Faktor-Authentifizierung
Aufmacherbild

Doppelt gesichert

Zwei-Faktor-Authentifizierung mit Einmal-Passwörtern

Immer mehr Web-Anwendungen setzen auf Zwei-Faktor-Authentifizierung, bei welcher der Benutzer zusätzlich zum Passwort einen Zahlencode eingeben muss. Tatsächlich ist dieses Verfahren gar nicht so schwer zu verstehen. Webseiten-Betreiber können es zudem leicht selbst einsetzen.

Von Herbert Braun

Die Zwei-Faktor-Authentifizierung kennen viele aus eigener Erfahrung mit großen Web-Diensten wie Facebook, Google, Microsoft, PayPal, Dropbox oder GitHub. Bei Facebook zum Beispiel heißt dieses Feature „Anmeldebestätigungen“: Hat es der Nutzer aktiviert, genügt es nicht mehr, sich an einem neuen Gerät oder Browser mit Nutzername und Passwort einzuloggen. Zusätzlich folgt ein zweiter Schritt, der nach einem sechsstelligen Sicherheitscode fragt. Diesen verschickt Facebook per SMS – ähnlich wie beim mTAN-Verfahren im Online-Banking. Alternativ erzeugt die Facebook-App den Code auf dem Smartphone.

Bei Google funktioniert die „Bestätigung in zwei Schritten“ ganz ähnlich. An den Sicherheitscode kann der Nutzer via SMS oder Sprachnachricht kommen oder über eine eigens dafür vorgesehene App: den „Google Authenticator“, den es für Android, iOS und BlackBerry gibt. Was viele Nutzer dieser App wahrscheinlich nicht wissen: Der Authenticator lässt sich auch für andere Dienste verwenden, denn er implementiert einen freien Standard. TOTP – was in diesem Fall nicht „Top of the Pops“, sondern „Time-based One-time Password Algorithm“ bedeutet – ist nicht einmal besonders schwer in die eigene Website zu integrieren, zumal es viele Fertiglösungen dafür gibt. Auch bei den Authentifizierungs-Apps ist die Auswahl groß: Als Alternativen zum Google Authenticator wären etwa Authy oder Duo Mobile zu nennen; auch der auf Windows beliebte quelloffene Passwortspeicher KeePass oder die Smartwatch-App QuickAuth für Pebble-Uhren können TOTP-Zugangscodes errechnen.

Die Einweg-Passwörter schützen den Nutzer ziemlich effektiv vor den Folgen eines schwachen oder gestohlenen Passworts – und das sind immer noch die Hauptursachen für Account-Übernahmen. Selbst ein Rechner mit Schädlingsbefall korrumpiert die Zugangssicherheit nicht, denn nach der einmaligen Einrichtung kennt er den geheimen Schlüssel selbst nicht. Mit einem abgefischten Einmal-Passwort könnte sich ein Angreifer nur wenige Sekunden lang einloggen – und selbst dieses Szenario kann der Website-Betreiber unterbinden.

Alle heise-Magazine mit heise+ lesen

3,99 € / Woche

Ein Abo, alle Magazine: c't, iX, Mac & i, Make & c't Fotografie

  • Alle heise-Magazine im Browser und als PDF
  • Alle exklusiven heise+ Artikel frei zugänglich
  • heise online mit weniger Werbung lesen
  • Vorteilspreis für Magazin-Abonnenten
Jetzt unbegrenzt weiterlesen Vierwöchentliche Abrechnung.

Alle Ausgaben freischalten

2,95 € 0,25 € / Woche

Nach Testphase 2,95 € wtl.

  • Zugriff auf alle c't-Magazine
  • PDF-Ausgaben zum Herunterladen
  • Zugriff in der c't-App für unterwegs
Jetzt testen Nach Testphase jederzeit monatlich kündbar.

Ausgabe einmalig freischalten

4,50 € / Ausgabe

Diese Ausgabe lesen – ohne Abobindung

  • Sicher einkaufen im heise shop
  • Magazin direkt im Browser lesen
  • Dauerhaft als PDF behalten

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen