Zwei Faktor Authenfizierung (2FA) mit Timed One Time Passwords (TOTP)
Einleitung
Warum Passwörter?
Ein Passwort ist ein Schlüssel, mit dem man eine Ressource vor unberechtigten Zugriff schützt. In einer Welt ohne Passwörter, könnte jeder alles lesen, verändern oder gar löschen, auch wenn das so gar nicht beabsichtigt oder erwünscht ist. An Passwörtern geht kaum ein Weg vorbei. Nun ist es in der Natur des Menschen, das man aus bequemlichkeit oder warum auch nur zu gern fast immer dasselbe oder ein zu einfaches Passwort nutzt. Was passiert, wenn dieses eine Kennwort in falsche Hände gerät, kann man nur erahnen.
Wie kann 2FA mir dabei helfen sicherer zu sein?
Die Bezeichnung "zwei Faktor" kommt daher, das ein Zugang nur dann gewährt wird, wenn man über zwei Dinge verfügt:
- etwas das man weiß → Passwort
- etwas das man besitzt → Ein Smartphone oder PC mit Authentikator App
Ein Passwort ist durch Phishing relativ leicht abzugreifen und da setzt die zwei Faktor Authentifizierung (kurz 2FA). TOTP ist neben E-Mail und SMS eine weitere Methode für eine 2FA
Der englische Begriff TOTP erklärt sich wie folgt:
- Timed = da es nur für einen begrenzten Zeitraum von meist 30 Sekunden oder weniger gültig ist
- One Time = Es ist nur für den einmaligen Gebraucht bestimmt, bevor es sich nach ablauf der Zeit wieder selbstständig ändert
- Password = Naja muss wohl nicht erklärt werden
Schonmal eine gefälschte PayPal E-Mail erhalten, die behauptet ihr Konto sei momantan beschränkt und sie sollen ihre Daten auf einer Seite eingeben, die so aussieht wie PayPal?
Einmal nicht aufgepasst und die Hacker haben auf diese Weise ihr PayPal Kennwort ergaunert. Wenn beispielsweise PayPal jedoch mit der zweiten Sicherheitsschicht gesichert ist, kommen die Betrüger hier jedoch auch nicht weiter. Denn das zweite TOTP Passwort ist immer nur 30 Sekunden gültig und ändert sich dann von allein.
Bei PayPal sieht man dann nach Eingabe des Passwortes beispielsweise dieses Fenster.
Ohne dem 6-stelligen Code ist hier ersteinmal Ende. Wichtige Seiten, bei denen man oft Opfer von Phishing sein könnte, sollten daher dringend mit TOTP geschützt werden. Der Sicherheitsgewinn ist ernorm und man kann dann entspannter solchen Angriffszenarien entgegensehen. Ganz oben auf der Liste sind hier zu erwähnen:
- PayPal
- Amazon
- E-Mail Konto (web.de und gmx.de bieten das an)
Wie erkenne ich ob eine Seite zwei Faktor Authentifizierung unterstützt?
Es gibt ein Webverzeichnis, bei dem man mal vorab hineinschauen kann, ob die jeweilige Seite 2FA unterstützt und auch mit welcher Methode. Denn es gibt ja noch E-Mail und SMS als zweiten Faktor.
Ansonsten sollte man immer mal in die persönlichen Einstellungen hineinschauen, ob dort etwas vergleichbares angeboten wird.
Funktionsweise
Auf allen Seiten und Webdiensten, die TOTP anbieten, gibt es im Abschnit Benutzerkonto → Login & Sicherheit eine Funktion die sinngemäß Zwei-Faktor-Authentifizierung aktivieren heisst. Hier einmal anhand von GMX veranschaulicht:
Nachdem man dort draufgedrückt hat, wird einem im weiteren Verlauf ein QR-Code angezeigt oder im besten Fall der der geheime Schlüssel im Klartext. Der QR-Code ist dazu gedacht, das man ihn mit dem Google- oder Microsoft Authenticator einscannt.
Der Google- und auch der Microsoft Authenticator funktionieren hervoragend, aber bieten keine effektive Möglichkeite die TOTP Einträge schnell und bequem zu sichern. KeePass mit entsprechendem TOTP Plugin ist komplizierter zu bedienen, aber der Mehraufwand macht sich auf dauer bezahlt. Ein Smartphone ist allzuschnell defekt oder geht verloren und damit dann auch alle TOTP Einträge. Im schlimmsten Falls kann man sich nirgends mehr anmelden 
Mit der Kombination aus geheimen Schlüssel und Datum/Uhrzeit kann nur ein 6-stelliger Code generiert werden. Diesen muss man dann oft zur Selbstkopntrolle als letztes eingeben, bevor diese Methode abschliessend auch für die Anmeldung genutzt werden kann.
Das einscannen des QR-Codes in die Authenticator App kann man das z.B. hier einmal testen, ohne sich irgendwo anmelden zu müssen:
No Comments