Doppelt hält besser

Mit einer Zwei-Faktor-Authentifizierung können Nutzerinnen und Nutzer ihr Onlinekonto besser schützen. Auch Google bietet hierfür mehrere Möglichkeiten an

Ein Datenhack kann unangenehme Folgen haben. Es gibt Fälle, in denen Unbekannte im Namen von Nutzern beleidigende Kommentare in sozialen Medien veröffentlichen oder betrügerische E-Mails verschicken. Andere haben erlebt, wie Geld von ihrem Konto bei einer Onlinebank verschwand. Oft merken Nutzer erst dann, dass ihr Konto gehackt wurde, wenn der Schaden bereits entstanden ist.

Dass Datendiebstähle immer wieder vorkommen, liegt auch daran, dass sich die meisten Nutzerinnen und Nutzer bei der IT-Sicherheit auf ihr Passwort verlassen. Vielen ist nicht bewusst, dass im Internet umfangreiche Listen mit Millionen von Nutzername-Passwort-Kombinationen zu finden sind. Experten sprechen von »Password Dumps«, sogenannten Passwort-Deponien. Die Daten stammen aus erfolgreichen Datendiebstählen. Da viele Nutzer Passwörter mehrmals verwenden, sind auch Zugangsdaten zu Google-Konten in solchen »Password Dumps« zu finden, obwohl diese Google-Konten nicht gehackt worden sind. Auch Phishing-Angriffe, bei denen Nutzer mit betrügerischen Webseiten oder E-Mails dazu gebracht werden, ihr Passwort zu verraten, stellen eine ständige Bedrohung dar.

Unternehmen wie Google empfehlen Nutzerinnen und Nutzern deshalb, ihre Onlinekonten mit einer Zwei-Faktor-Authentifizierung abzusichern. Bei diesem Verfahren muss sich der Nutzer mit zwei unterschiedlichen Komponenten anmelden, also zum Beispiel mit einem Passwort und einem SMS-Code. Auch bei Banken und Kreditkartenunternehmen ist dieses Verfahren heute oftmals gang und gäbe.

Grundsätzlich unterscheiden Sicherheitsexperten zwischen drei Arten von Sicherheitsfaktoren. Es gibt den Faktor Information, bei dem zum Beispiel ein SMS-Code eingegeben oder eine Sicherheitsfrage beantwortet werden muss. Dann gibt es den Faktor physischer Gegenstand, eine Kreditkarte zum Beispiel, die zur Authentifizierung genutzt wird. Ein weiterer Faktor sind biometrische Daten, wie sie Smartphone-Nutzer verwenden, wenn sie den Bildschirm per Fingerabdruck entsperren. Jede Zwei-Faktor-Authentifizierung stellt eine Kombination von zwei dieser Faktoren dar.

Google bietet verschiedene Arten von Zwei-Faktor-Authentifizierungen. Neben dem klassischen Passwort können Nutzer einen Einmalcode verwenden, den sie per SMS oder Sprachanruf erhalten oder mit der App »Google Authenticator« erstellen, die für Android und das Apple-Betriebssystem iOS erhältlich ist. Zudem ist es möglich, im Google-Konto eine Liste mit vertrauenswürdigen Endgeräten zu hinterlegen: Meldet sich ein Nutzer mit einem Endgerät an, das nicht in der Liste steht, erhält er von Google eine Sicherheitswarnung.

Seit drei Jahren bietet Google zudem die Möglichkeit an, einen Sicherheitsschlüssel zu verwenden. Damit ist entweder ein USB-Stick, ein NFC- oder ein Bluetooth-Sender gemeint, der mit dem jeweiligen Endgerät verbunden werden muss. Das Verfahren beruht auf einem offenen Standard, der sich »FIDO Universal 2nd Factor (U2F)« nennt und den Google gemeinsam mit Unternehmen wie Microsoft, Mastercard und PayPal entwickelt hat. Sicherheitsschlüssel, die auf diesem Standard beruhen, werden von verschiedenen Herstellern angeboten und kosten oft nur wenige Euro. Der große Vorteil: Seit Einführung dieser Schlüssel hat sich die Zahl potenzieller Datendiebe signifikant verringert. Während ein Onlinekonto theoretisch von überall auf der Welt gehackt werden kann, muss ein physischer Schlüssel erst einmal in die Hände von Datendieben gelangen (die natürlich nach wie vor auch die Zugangsdaten des Opfers kennen müssen, um sich anzumelden). Nicht nur Google, sondern auch andere Firmen unterstützen solche Sicherheitsschlüssel bereits heute.

Natürlich hat eine Zwei-Faktor-Authentifizierung auch Nachteile. Wer SMS-Codes als zusätzlichen Faktor verwendet, muss sein Mobiltelefon zur Hand haben, wenn er sich mit einem neuen Gerät anmeldet. Und USB-Sticks oder Bluetooth-Schlüssel können verloren gehen. Ein großes Problem ist das aber nicht. Sicherer ist das Onlinekonto durch den doppelten Schutz auf jeden Fall. Und wer seinen Schlüssel verliert, kann ihn einfach aus dem Konto entfernen und einen neuen hinzufügen. Oder schon vorher einen zweiten Schlüssel registrieren und an einem geheimen Ort aufbewahren.

Weitere Informationen erhalten Sie auf

g.co/2step

Illustration: Birgit Henne

Nach oben