Zwei-Faktor-Authentifizierung: Kein Frust bei Verlust

Der zweite Faktor sollte Angreifer aussperren, Sie aber keinesfalls. Auch dann nicht, wenn Sie das Handgepäck verlieren oder zu Hause eingebrochen wurde.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 152 Beiträge
, Bild: Andreas Martini

(Bild: Andreas Martini)

Von
  • Jan Mahn

Sie haben bereits für alle Dienste einen zweiten Faktor aktiviert, authentifizieren sich bereits mit SMS-Codes, FIDO2-Sticks und TOTP-Apps und fühlen sich rundum sicher? Dann hätten wir noch eine Frage, die Sie beunruhigen könnte: Haben Sie auch an Backups Ihrer zweiten Faktoren gedacht? Bei Dateien hat es sich bereits herumgesprochen: Backups sind unersetzlich, denn allzu schnell haben sich Emotet oder andere Verschlüsselungstrojaner Ihrer Daten bemächtigt.

Hat man ein Backup, sollte man sich auch Gedanken machen, wie man an die Daten kommt, wenn die Wohnung unter Wasser steht – ein sogenanntes Offsite-Backup (am besten verschlüsselt) in der Cloud oder bei Freunden muss her. Gleiches gilt für die Sicherungen Ihrer zweiten Faktoren.

Vorab direkt die schlechte Nachricht: Wenn Sie bei einem Dienst einen zweiten Faktor eingerichtet haben und auf diesen aus welchem Grund auch immer nicht mehr zugreifen können, brauchen Sie nicht auf die Hilfe der Dienstanbieter zu hoffen: Bei Facebook, Twitter, Google & Co. können Sie sich in dem Moment innerlich von Ihrem Account verabschieden, in dem Sie den zweiten Faktor unrettbar verloren haben. Der Support wird sich mit Ihrem Problem sicher nicht im erhofften Maße beschäftigen – irgendwie auch zu Recht, denn sonst könnten ja auch Angreifer mit netten Mails an den Support und hübschen Geschichten an Ihren Account gelangen. Eine Chance haben Sie beim Support oft nur, wenn Sie dort eine bestätigte postalische Adresse hinterlegt haben.

Zweite Faktoren sind Rudeltiere, keine Einzelgänger.

Damit es nie so weit kommt, dass Sie verzweifelt den Support kontaktieren müssen, gilt: Zweite Faktoren sind Rudeltiere, keine Einzelgänger: Die allermeisten Dienste, die einen zweiten Faktor anbieten, kennen die Option, mehrere Verfahren und auch dort jeweils mehrere Geräte zu nutzen – also zum Beispiel mehrere FIDO-Sticks und mehrere TOTP-Apps. Machen Sie davon reichlich Gebrauch. Nur wenige erlauben nur einen einzigen zweiten Faktor.

Zu einer sinnvollen Zwei-Faktor-Strategie gehört deshalb eine Backupstrategie und deren Ausarbeitung darf ruhig einen regnerischen Nachmittag in Anspruch nehmen. Nehmen Sie am besten Zettel und Stift oder eine Tabellenkalkulationssoftware zur Hand und verschaffen sich zunächst einen Überblick, was bei Ihnen alles als zweiter Faktor herhält: Handy mit Apps und SMS, FIDO-Stick, das TPM in Desktop und Notebook, externer TOTP-Generator. Wir beschreiben konkret, wo bei den einzelnen Verfahren das schützenswerte Geheimnis abgelegt wird.

Im zweiten Schritt bietet sich eine simple Tabelle an – in die Spalten nebeneinander kommen die genutzten zweiten Faktoren, in die Zeilen untereinander alle Dienste, bei denen Sie Konten haben. Im Passwortmanager des Vertrauens, den Sie als ersten Schritt zur Absicherung Ihrer Logins eingerichtet haben, bekommen Sie den besten Überblick, bei welchen Diensten noch Accounts existieren. Sind Spalten und Zeilen vorbereitet, setzt man Häkchen überall dort, wo der zweite Faktor eingerichtet ist.

Dabei lohnt es sich, bei jedem Dienst direkt die Einstellungsseiten zu besuchen und möglichst viele zweite Faktoren einzurichten, damit sich die Tabelle mit Häkchen füllt. Anhand unserer Tabelle sehen Sie, wie eine solche Tabelle aussehen kann. Außerdem kann man bei der Gelegenheit noch einmal sicherstellen, dass alle Kennwörter zufällig generiert und möglichst lang sind. Im gleichen Schritt schadet es nicht, bei den Diensten die Wiederherstellungscodes, sofern angeboten, abzurufen. Das sind Zweitschlüssel für den Notfall, dass alle anderen zweiten Faktoren nicht mehr zur Verfügung stehen. Accounts, die Sie nicht mehr brauchen, sollten Sie direkt löschen.

Zwei-Faktor-Strategie: Eine Beispieltabelle

Dienst SMS USB-C-FIDO-Stick FIDO2 im Notebook FIDO2 im Smartphone TOTP-App Probleme bei
GitHub
Amazon Verlust des Smartphones
Google

Am Ende der mühsamen Prozedur haben Sie eine bestenfalls gut mit Häkchen gefüllte Tabelle als Arbeitsgrundlage für die nächsten Schritte. Herausfiltern können Sie zunächst alle Dienste, die keinen zweiten Faktor unterstützen. Das sind offene Baustellen für später. Sofern Sie dort ein einmaliges und langes Kennwort einsetzen, haben Sie Ihre Schuldigkeit getan.

Mit den verbliebenen Zeilen in der Tabelle können Sie jetzt verschiedene Szenarien durchspielen, indem Sie einzelne oder mehrere Spalten abdecken oder ausblenden. Was passiert zum Beispiel, wenn im Zug der Rucksack mit Handy, Laptop und FIDO2-Stick abhandenkommt? Sofern dann in einer Zeile, also bei einem Dienst, kein Häkchen mehr übrig bleibt, besteht Handlungsbedarf.

Sobald Sie problematische Zeilen ausgemacht haben, müssen Sie nachlegen und möglicherweise neue Spalten, also zusätzliche Faktoren, anlegen. Zunächst sollten Sie aber überlegen, ob Sie schon alle Optionen ausgeschöpft haben, die Ihnen zur Verfügung stehen. Macs, Windows-PCs, iOS- und Android-Telefone mit TPM arbeiten zum Beispiel sehr komfortabel als FIDO2-Authenticator, ganz ohne Investition in einen FIDO2-Stick – das sollten Sie nutzen. Wer bereit ist, das Geld auszugeben, kann zusätzlich in einen FIDO2-Stick als Backup investieren, der (mit PIN gesichert) bei vertrauenswürdigen Freunden, Verwandten oder im Bankschließfach landet.

Eine kostenlose Alternative ist ein Open-Source-Passwortmanager wie KeePassXC, der unter Windows, Linux und macOS läuft. Er legt seine Kennwortdatenbank verschlüsselt in einer Datei ab. Andere Passwortmanager, die so arbeiten, eignen sich ebenfalls als letzte Reserve. Speichern können Sie in den meisten Passworttresoren nicht nur Kennwörter, sondern sämtliche Geheimnisse in Form von „Notizen“ oder „Anmerkungen“. Legen Sie sich also eine Backup-Datenbank im Passwortmanager an und füllen die mit allem, was die Dienste hergeben, etwa mit sämtlichen Wiederherstellungscodes. Hinzu kommen Geheimnisse, die beim Einrichten von TOTP zusätzlich zum QR-Code angezeigt werden. Damit können Sie zusammen mit Account- und Dienstname später im Notfall eine frische TOTP-App einrichten.

Zu guter Letzt speichern Sie die Antworten auf die leidigen Sicherheitsfragen, die einige Dienste bis heute stellen, ebenfalls in der Datei. Weil diesen Fragen ein völlig antiquiertes Konzept zugrunde liegt, beantworten Sie die Frage nach dem Namen Ihrer Großmutter nicht wahrheitsgemäß, sondern generieren mit dem Passwortmanager eine Zufallszeichenkette als Antwort – dann haben auch Angreifer keine Chance, die eine solche Information mit wenig Aufwand zum Beispiel aus den sozialen Netzwerken oder durch Nachfragen bei Ihnen oder Verwandten herausfinden könnten.

Viel hilft viel: GitHub zeigt in den Einstellungen eine ausführliche Übersicht über die eingerichteten Faktoren.

Wenn Ihre Datenbank für alle Notfälle gefüllt ist und Sie die wichtigen Lücken in der Tabelle schließen konnten, verschließen Sie die Geheimnisdatenbank mit einem wirklich sicheren Kennwort. Die Datenbankdatei lagern Sie dann zum Beispiel auf zwei USB-Sticks, einer bleibt zu Hause und einer liegt außer Haus. Für das Kennwort überlegen Sie sich einen anderen sicheren Ort, oder verwenden direkt den ersten Satz Ihres Lieblingsbuchs. Das lässt sich auch beschaffen, wenn die Wohnung unter Wasser steht.

Trotz Backupstrategie ist der Verlust der zweiten Faktoren ein Problem: Ein Dieb oder unehrlicher Finder Ihres Rucksacks mit allerhand Faktoren darin könnte versuchen, auch Ihre digitale Identität zu übernehmen. Anders als bei einem verlorenen Portemonnaie und dem Verlust von Bank- sowie Kreditkarten müssen Sie aber nicht direkt die Kartensperrhotline (116 116) anrufen. Für zweite Faktoren gibt es die bisher auch nicht – eine häufige Kritik am FIDO-Standard. Doch ganz so einfach ist es für den Finder ohnehin nicht.

Zunächst ein Blick auf alle Geräte, an denen Sie sich anmelden müssen, also Telefone, Laptops und Tablets: Wenn dort das TPM als Hort für Geheimnisse genutzt wird, ist dieses mit Kennwort, PIN oder Fingerabdruck verriegelt. Bei vielen TOTP-Apps etwa reicht es nicht mal, wenn das Telefon entsperrt ist – zum Nutzen der App muss man sich erneut mit Fingerabdruck oder PIN ausweisen. Wer die PIN zu oft falsch eintippt, der sperrt sich endgültig aus. Der Verlust des Laptops in der Bahn bleibt damit ärgerlich, wird aber nicht zum Sicherheitsdesaster. Es reicht, in Ruhe zu Hause zu einem der Backups zu greifen, sich bei allen Diensten anzumelden und die verlorenen zweiten Faktoren zu löschen. Es wäre zweifelsohne schön, wenn mal jemand einen Standard erfinden könnte, damit das automatisiert gelingt.

Einen genaueren Blick wert sind Codes per SMS. Ist das Mobiltelefon so eingestellt, dass es Textnachrichten im Sperrbildschirm vor der PIN-Abfrage einblendet, könnten Finder damit durchaus Schaden anrichten. Wenn Sie SMS-Codes als zweiten Faktor nutzen, schalten Sie diese Funktion im Telefon aus.

Bei FIDO-Sticks hängt die Schwere des Problems davon ab, wie Sie diese eingerichtet haben. Am bequemsten im Alltag ist es, auf eine PIN-Eingabe zu verzichten. Für einen Finder ist die Hürde dennoch vergleichsweise hoch – er müsste erstmal wissen, für welche Accounts der gefundene Stick eingerichtet ist. Dann bräuchte er immer noch Ihr sicheres Kennwort. Wenn Sie etwas Komfortverlust in Kauf nehmen, sichern Sie ihn per PIN. Gibt ein Finder die fünf Mal falsch ein, kann er den Stick nur noch zurücksetzen.

Eine gute Zwei-Faktor-Strategie ist wie eine Backupstrategie für Daten mühsam. Bewähren kann sie sich aber schneller, als man hofft. Es muss nicht immer der größte anzunehmende Unfall sein – es reicht, dass ein Handy den Geist aufgibt. Dann schnell wieder arbeiten zu können, ist die Mühe allemal wert.

c't Ausgabe 12/2022

(Bild: 

c't 12/22

)

Ist Apples M1 tatsächlicher schneller als aktuelle AMD- und Intel-Chips? Wir haben nachgemessen! In c’t 12/2022 zeigen wir zudem, wie Sie sich aus der Abhängigkeit von fremdem Code befreien können. Wir haben smarte Türschlösser, kompakte Notebooks und USB-Docks für SATA-Platten getestet und Pixelgrafik auf Retro-Konsolen bestaunt. Außerdem erklären wir, wie sich schlecht erstellte RSA-Schlüssel mit einem 380 Jahre alten Verfahren knacken lassen.

(jam)