Online-Konten schützen mit 2FA So funk­tioniert Zwei-Faktor-Authentifizierung

9
Online-Konten schützen mit 2FA - So funk­tioniert Zwei-Faktor-Authentifizierung
USB-Sicher­heits­schlüssel gelten als besonders sicher. Hier im Bild der Titan Security Key von Google. Modelle mit NFC-Funk funk­tionieren auch mit Smartphones. © Google

Pass­wörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann wird beim Login neben dem Pass­wort noch ein zweiter Faktor abge­fragt – etwa ein per SMS versandter oder per App generierter Pin-Code. Viele Online-Portale bieten 2FA-Optionen an. Hier lesen Sie, wie 2FA funk­tioniert und warum das sinn­voll ist.

Lesen Sie auf dieser Seite:

Darum ist doppelte Sicherung wichtig

Beim herkömm­lichen Login-Verfahren fragen die meisten Online­dienste lediglich zwei Dinge ab: Das Pass­wort des Nutzers und den Login-Namen – oft ist das eine E-Mail-Adresse. Die E-Mail-Adresse ist normaler­weise öffent­lich, sprich: Sie ist nicht geheim.

Geheim ist nur das vom Nutzer gespeicherte Pass­wort. Gelangt es in die Hände eines unbe­fugten Dritten (etwa durch ein Daten­leck beim Anbieter oder weil Nutzer es unbe­dacht an Fremde weiterge­geben haben), bekommt dieser uneinge­schränkten Zugriff auf das jeweilige Konto – und oft auch noch auf weitere Konten.

Darum haben Hacker oft leichtes Spiel

Trotz der Warnungen von Sicher­heits­experten verwenden viele Nutzer ein- und dasselbe Pass­wort für mehrere Online­dienste. Ein erfolg­reicher Angriff gefährdet dann gleich mehrere Konten. Unsichere Pass­wörter sind daher ein will­kommenes Einfalls­tor für Hacker. Angreifer arbeiten in einem ersten Schritt Listen beliebter Pass­wörter ab und knacken so im Hand­umdrehen etwa das E-Mail-Post­fach, den Twitter-Account oder den Zugang zu einem Bezahl­dienst.

Tipp: Nutzen Sie für jeden Dienst ein eigenes, starkes Pass­wort. Meiden Sie simple Zeichen­folgen wie „0000“, „12345678“ und „pass­wort“. Tipps zum Erstellen starker Pass­wörter finden Sie im kostenlosen Special Datensicherheit: 10 Tipps für sicheres Surfen. Oder Sie nutzen einfach einen Passwortmanager.

2FA funk­tioniert wie Bank­karte plus Pin

Banken nutzen die Zwei-Faktor-Authentifizierung seit Jahr­zehnten: Wer am Geld­automaten Geld abheben will, benötigt neben seiner persönlichen Bank­karte zusätzlich noch die dazu­gehörige Pin-Geheim­nummer. Diese Kombination zweier voneinander unabhängiger Faktoren – Wissen (Pin-Nummer) plus Besitz (Karte) – bietet einen deutlich erhöhten Schutz vor Miss­brauch.
Im Internet ermöglichen daher immer mehr Unternehmen ihren Kunden, die Zwei-Faktor-Authentifizierung zu verwenden. Zu den Vorreitern gehören hier erneut Banken – etwa beim Online­banking per Girokonto, beim Zahlen per Kreditkarte im Netz oder bei Online-Trans­aktionen inner­halb des eigenen Wertpapierdepots.

PC + Smartphone = noch besserer Schutz

Guten Schutz bietet das Verfahren Nutzern insbesondere dann, wenn sie für 2FA auch zwei Geräte verwenden – also etwa, indem sie am PC das Online-Banking aufrufen, den temporären Login-Code aber auf ihrem Handy empfangen. Dann müsste ein Angreifer gleich zwei Geräte des Nutzers kontrollieren können, um an dessen Daten zu kommen. Das ist unwahr­scheinlich. Zwei Geräte, starke Pass­wörter und Zwei-Faktor-Authentifizierung – diese Kombi verspricht viel Sicherheit. Zusätzlich sollten Nutzer auf jeden Fall ein Antivirenprogramm auf ihrem Computer verwenden – auch das schützt gegen Angriffe und Hacks.

2FA-Verfahren im Über­blick

Die sechs gebräuchlichsten 2FA-Verfahren stellen wir Ihnen hier vor.

Zwei-Faktor-Authentifizierung per SMS

Das am weitesten verbreitete Verfahren ist die Zwei-Faktor-Authentifizierung mittels SMS. Dafür hinterlegt der Nutzer seine Mobil­funk­nummer beim jeweiligen Online­dienst. Wenn er sich etwa am PC mit seinem Nutzer­namen und Pass­wort (erster Faktor: Wissen) bei einem Dienst einloggt, schickt dieser eine SMS mit einem weiteren Code auf das Mobiltelefon (zweiter Faktor: Besitz).

Diesen Code geben die Nutzer anschließend auf der Internetseite des Online­dienstes ein. Dabei tickt oft die Uhr: In der Regel akzeptiert die Webseite den Code nur inner­halb eines kurzen Zeitraums. Das erhöht die Sicherheit weiter. Noch sicherer wird dieses Verfahren, wenn Nutzer über die Einstel­lungen ihres Smartphones verhindern, dass es die SMS auf dem Sperr­bild­schirm anzeigt – und damit für jedermann sicht­bar ist.

So bleiben SMS-Inhalte geheim

Wird der Code für die 2FA per SMS zugestellt, lässt sich über die Handy-Einstel­lungen verhindern, dass er auf dem Sperr­bild­schirm Ihres Smartphones ange­zeigt wird. Das geht auf vielen Handys so:

Android-Handys:
Einstel­lungen > App-Benach­richtigungen > Nach­richten-Vorschau.
iPhones (Weg 1):
Einstel­lungen > Mitteilungen > Nach­richten > Vorschauen zeigen.
Auf diesem Weg wird die Anzeige von SMS und Messenger-Dienst-Mitteilungen im Sperr­bild­schirm deaktiviert.
iPhones (Weg 2):
Einstel­lungen > Mitteilungen > Vorschauen zeigen.
Vorsicht: Auf diesem Weg wird die Anzeige von Mitteilungen aller Apps im Sperr­bild­schirm deaktiviert.

Zwei-Faktor-Authentifizierung per Einmalkenn­wort

Ein weiteres, ebenfalls häufig verwendetes Verfahren ist das Nutzen von One-Time-Pass­words (OTP), also Einmalkenn­wörtern. Während der Registrierung zeigt die Webseite einen QR-Code – diesen fotografieren die Nutzer über die Kamera des Smartphone mit speziellen „Authenticator“-Apps, wie sie etwa von Google und Microsoft angeboten werden.

Bei jedem Login berechnet die App dann einen sechs­stel­ligen Code, den Nutzer in der Anmeldemaske der jeweiligen Webseite eingeben. Dieser Code gilt nur kurze Zeit. Das Verfahren ist stan­dardisiert: Die Apps funk­tionieren bei jeder Webseite, die OTP unterstützt.

Zwei-Faktor-Authentifizierung per Anruf

Anstatt sich den Code per SMS zusenden zu lassen, kann der Nutzer sich von einigen Online-Diensten auch anrufen lassen. Den Code sagt dann eine Computer­stimme an.

Zwei-Faktor-Authentifizierung per USB-Stick

Ein besonders sicheres Verfahren funk­tioniert mit einem persönlichen, sogenannten USB-Token als zweitem Identifikations­faktor. Das ist ein spezieller USB-Stick, auf dem ein digi­taler Sicher­heits­schlüssel einprogrammiert ist. Daten lassen sich darauf nicht speichern.

Für die Initialisierung stecken Nutzer diesen Stick in die USB-Schnitt­stelle ihres Rechners. Nach Eingabe von Nutzer­namen und Pass­wort drücken sie auf Aufforderung eine Taste auf diesem Stick. Das war‘s. Bei jedem folgenden Anmelde­vorgang stecken Nutzer ihn in die USB-Buchse des gerade genutzten Rechners – oder koppeln ihn über den Nahfeld­funk NFC mit Smartphones.

Zwei-Faktor-Authentifizierung per E-Mail

Sehr selten bieten Internet­dienste ein 2FA-Verfahren mittels E-Mail an. Hierbei senden sie den Nutzern als zweiten Faktor eine E-Mail mit einem Code oder Zusatz­pass­wort. Wir raten jedoch dringend, dafür einen anderen E-Mail-Account anzu­geben als denjenigen, der für den Login genutzt wird. Sonst kann ein Angreifer, der das Pass­wort des E-Mail-Kontos kennt, auch die Einmal-Codes abfangen.

Anbieterspezi­fische Verfahren und „One-Click-Logins“

Vor allem von Social-Media-Diensten sind anbieterspezi­fische Lösungen bekannt. Verbreitet sind auch „One-Click-Logins“, bei dem die Nutzer keinen zweiten Code eingeben müssen. Statt­dessen erscheint eine Pop-Up-Nach­richt auf dem Smartphone, die der Nutzer bestätigen muss – das war‘s.

Solche Verfahren setzen zum Beispiel Messenger-Dienste wie WhatsApp, Signal und Telegram ein, aber auch Pass­wort-Manager wie Dashlane oder LastPass (Test Passwort-Manager).

Fazit: Doppelt hält besser

Sichere Pass­wörter plus ein zusätzliches, zweites Sicher­heits­merkmal schützen sehr wirk­sam vor Miss­brauch der Online­konten durch Kriminelle. Selbst wenn Nutzer auf einen einfachen Phishing-Angriff herein­fallen und ihr Pass­wort offen­baren, können Fremde nicht auf den so geschützten Online­dienst zugreifen, weil ihnen der notwendige zweite Faktor für einen erfolg­reichen Login fehlt.

Dieses Thema ist im Juni 2017 erst­mals auf test.de erschienen. Wir haben es zuletzt im Dezember 2020 über­arbeitet.

9

Mehr zum Thema

  • Internetsicherheit YubiKey Bio: Sicher per Fingertipp

    - Die eigenen Online­konten lieber mehr­fach vor Unbe­fugten schützen: mit Multi-Faktor-Authentifizierung. Dabei hilft der USB-Stick YubiKey Bio mit Finger­abdruck­sensor.

  • Messenger-Apps im Vergleich Wo niemand mitliest

    - WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.

  • Pass­wort-Manager im Test Wer schützt mich vor Pass­wort­klau?

    - Die Programme erstellen starke Pass­wörter und schützen vor Angriffen. Auf sie zu verzichten, kann teuer werden. Doch im Test fanden wir nicht nur zuver­lässige Manager.

9 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Ranma am 14.03.2021 um 19:47 Uhr
Orientierung immer nur an Lobbyisten, nie am Volk

Nachtrag: Ich musste schon mehrere Male aus dem Haus, weil ich keinen Empfang im Gebäude hatte. Auch andere Kollegen hatten den nicht. Das Büro befand sich im Kellergeschoss. 20 Minuten später nützt mir die SMS oder der Anruf nichts.
Es muss (!) wenigstens 1 Weg bleiben, auf den man ausweichen kann! Das war bisher HBCI.
Früher konnte man seinen Lohn bar bekommen. Nun gilt faktisch Bankenzwang. Oder welche Behörde zahlt noch bar? Will man ans eigene Geld heran, kommt wieder ein Zwang. Der Staat bestimmt, man habe sein Geld für ein Telefon und einen Provider-Vertrag auszugeben. Das ist ein ethisch vollkommen falscher Weg, der hier verordnet wird!
Bei Kleinigkeiten Diktatur, wenn es um Leben geht (Corona, Geisterfahrer) = Freiwilligkeit.
HBCI mit dem Kobil Kaan Pro etc. mit eigenem Display und eigener Tastatur sollte nicht abgeschaltet werden!!!
PS: Eine dt. FA behauptete, ich hätte ein Abo und legte ne 2-Wege-Bestätigung vor. Ich lag im künstl. Koma wegen ner OP. Beweiskraft: Null.

Ranma am 14.03.2021 um 19:13 Uhr
EU-Richtlinie von oben herab

Ich habe Klage bei der EU gegen diese EU-Verordnung eingelegt. Ich kann gar nicht mehr sagen, wie oft ich keinen Empfang zu O² hatte und ich keine SMS bekam, demzufolge mir ein Schaden entstand, weil ich meinen geschäftlichen Wünschen nicht nachkommen konnte. Vor Jahren stieg D1 aus, da hatte ich über eineinhalb Jahre komplett keinen Empfang! Die Diktatoren sitzen in Großstädten und wissen überhaupt nicht, wie die Welt da draußen fürs normale Volk sein kann! Auch mein HBCI wird abgeschaltet. Grrr... Selbst wenn die NSA meinen PC kompromitiert haben sollte, kommt sie nicht weiter, weil das Gerät alle Daten bereits verschlüsselt an den PC überträgt.HBCI ist wie jeder Bankautomat.Warum werden die weltweit gelassen? Wer eine Bank betritt, der offenbart jedem Räuber, dass er da Kunde ist. PIN & Karte sind vor Ort. Kameras schützen nicht vorm Überfall! Zuhause sitze ich in einem geschützen Raum, niemand weiß davon, ob ich über sowas verfüge und wo sich alles befindet.Sicherer als in der Bank

SirNilson am 12.12.2020 um 11:47 Uhr
2FA 100% - ständiges PW-Wechseln muss nicht unbedi

Gerade wenn man 2FA und PW-Manager verwendet sollte mehr drauf hingewiesen werden, dass ein regelmäßiges Wechseln des PW nicht nötig und sogar kontraproduktiv sein kann:
https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

Profilbild Stiftung_Warentest am 06.11.2019 um 13:38 Uhr
"Passwort vergessen" umgeht 2FA

@cryptohacker1337: Vielen Dank für den interessanten Hinweis. Wir leiten ihn an unser Untersuchungsteam weiter. (AC)

cryptohacker1337 am 05.11.2019 um 19:41 Uhr

Kommentar vom Autor gelöscht.