Securitywatch: Wie man mit Zwei-Faktor-Authentifizierung nicht gesperrt wird | max eddy

Sicherheitstools verursachen häufig eine gewisse Angst. Was passiert, wenn ich mein Passwort verliere? Oder wenn mein Antivirus meine Sachen löscht? Das Aufkommen der Zwei-Faktor-Authentifizierung hat eine neue Wendung in der vertrauten Sorge ausgelöst: Was passiert, wenn ich meinen zweiten Faktor nicht verwenden kann und von meinem Konto gesperrt werde?

Jeremy aus Kapstadt schrieb mit ein paar Bedenken über 2FA. Ich habe seinen Brief der Kürze halber bearbeitet.

Lieber Herr, Ich bin nicht zu technisch und möchte ein Zwei-Faktor-Authentifizierungsgerät, das beim Einrichten oder Zugreifen, wie Sie es beim Yubikey erlebt haben, nicht zu komplizierten Situationen führt. Meine größte Angst ist es, mich von meinem Google Mail-Konto fernzuhalten.

Ist es besser, zwei Schlüssel zu kaufen, einen als Backup-Schlüssel?

Mit freundlichen Grüßen, Jeremy

Falls Sie noch nie von Zwei-Faktor-Authentifizierung oder 2FA gehört haben, sehen Sie sich Folgendes an: 2FA ist eine zweite Aktion, die Sie ausführen, nachdem Sie Ihr Kennwort eingegeben haben, um Ihre Identität zu überprüfen. Die Idee ist, dass ein Angreifer möglicherweise über Ihr Kennwort verfügt, jedoch nicht über Ihren Sicherheitsschlüssel, Ihre Authentifizierungs-App oder Ihren SMS-Code. Es gibt eine ganze Theorie und Praxis für 2FA, auf die ich hier nicht eingehen werde, aber ich ermutige Sie, 2FA zu aktivieren, wo Sie können.

Jeremy ist in seiner Sorge um 2FA in guter Gesellschaft. Viele technisch versierte und sicherheitsbewusste Menschen, die ich kenne, meiden weiterhin den Zwei-Faktor-Schutz, weil sie Angst haben, ausgesperrt zu werden und möglicherweise den Zugriff auf ihre Daten für immer verlieren. Es ist ein echtes und berechtigtes Anliegen.

Leser, es ist mir passiert

Tatsächlich habe ich zuvor 2FA-geschützte Konten gesperrt. Mehr als einmal. Damals war Blizzard eines der ersten Unternehmen, das Zwei-Faktor-Authentifizierung anbot. World of Warcraft-Spieler hatten zuerst Zugang, da sie ihre schwer verdiente Beute schützen mussten. Möglicherweise erinnern Sie sich an Personen, die mit WoW-Schlüsselanhängern herumlaufen und auf einem LCD-Bildschirm wechselnde Ziffern anzeigen. Blizzard entwickelte die Erfahrung später zu einer mobilen App weiter und stellte 2FA für alle Battle.net-Benutzer bereit.

Da ich die paranoide Person bin, die ich bin, habe ich 2FA auf meinem Blizzard-Konto mithilfe der speziellen Blizzard Authenticator-App aktiviert. Ich vergaß sofort, dass ich das getan hatte, und löschte in den folgenden Monaten die App von meinem Telefon und vergaß mein Passwort. Zum Glück hat Blizzard einen ausgezeichneten Kundenservice. Durch ein paar E-Mails mit ihren freundlichen Mitarbeitern war ich in ein paar Tagen wieder online. Es war trotzdem nervenaufreibend. Ich war es so gewohnt, mit meinen eigenen Zurücksetzungen von Passwörtern umgehen zu können, und die Vorstellung, mich im Rahmen dieses Prozesses mit einem tatsächlich lebenden Menschen beschäftigen zu müssen, kam mir sehr seltsam vor.

Seitdem habe ich mich mehr an die Erfahrung gewöhnt und gelernt, meinen Authentifikator intelligenter zu schützen. Ich habe es immer noch geschafft, Battle.net sowie Steam und andere Dienste wiederholt zu sperren.

Je nachdem, wie ein Unternehmen sein 2FA-Angebot konfiguriert, müssen Sie sich möglicherweise nach hinten beugen, um die Kontrolle über Ihr Konto wieder zu erlangen. So ärgerlich das auch klingt, es bedeutet tatsächlich, dass der Dienst funktioniert. Sie sollten durch viele Reifen springen müssen, wenn Sie nicht über den Authentifikator verfügen. Wenn es für Sie einfach wäre, dann wäre es für einen Bösen einfach.

Multiplizieren Sie Ihre Faktoren

Glücklicherweise gibt es eine einfache Möglichkeit, das Aussperren durch 2FA zu verhindern: Verwenden Sie mehrere 2FA-Optionen. Diese können als Backup dienen, falls Sie keinen Zugriff auf eine andere 2FA-Option haben. Ich verwende beispielsweise einen YubiKey 5 NFC mit meinen Google-Konten, habe aber auch das Tippen auf eine Bestätigungs-Push-Benachrichtigung auf meinem Telefon aktiviert. Wenn ich meinen Yubikey nicht habe, benutze ich diesen stattdessen.

Das Hinzufügen weiterer Multifaktorgeräte erhöht das Risiko, dass Ihr Konto gefährdet wird. Jetzt gibt es zwei Möglichkeiten, auf Ihr Konto zuzugreifen, anstatt nur eine. Ich glaube, dass die Belohnungen, nicht von Ihrem Konto ausgeschlossen zu werden, das höchst unwahrscheinliche Szenario, in dem Sie überfallen werden und der Täter Ihren Geldbeutel, Ihre Schlüssel und Ihren Sicherheitsschlüssel nimmt, bei weitem überwiegen. Außerdem müssen Sie Ihr Passwort aufschreiben.

Das Google Titan Security Key-Bundle.

Die beste Bestätigung für die Verwendung von mehr als einem 2FA-Gerät stammt von Google, das zwei Schlüssel im Titan Key-Bundle bereitstellt. Diese wurden speziell für das erweiterte Schutzsystem von Google erstellt, für das Sie zwei separate Sicherheitsschlüssel registrieren müssen. Sie benutzen jeden Tag eine und die andere für Notfälle. Um Jeremys Frage direkt zu beantworten: Es ist keine schlechte Idee, zwei Schlüssel für Ihr Konto zu haben.

Leider können Sie auf nicht allen Websites mehr als eine Multifaktoroption registrieren. In diesem Fall empfehle ich die Verwendung der 2FA-Option, die für Sie am zuverlässigsten ist.

Aufbau Ihres Authenticator-Arsenals

Wenn Sie sich für den Kauf mehrerer Hardware-2FA-Schlüssel entscheiden, empfehle ich entweder unseren Editor's Choice Security Key von Yubico oder das Titan Key-Bundle von Google. Yubicos Sicherheitsschlüssel kostet jeweils nur 20 US-Dollar oder 36 US-Dollar für zwei. Googles Bundle kostet 50 US-Dollar und beinhaltet zwei Geräte: einen USB-Stick und einen batteriebetriebenen Bluetooth-Dongle.

Der Sicherheitsschlüssel von Yubico

Jahrelang wurde 2FA am häufigsten verwendet, indem einmalige Codes per Textnachricht an Ihr Telefon gesendet wurden. Sie müssen dies wahrscheinlich noch bei Ihrer Bank anwenden, da Finanzinstitute dazu neigen, neue Technologien langsamer einzuführen. Interessanterweise müssen Sie bei Google weiterhin SMS-Codes aktivieren, wenn Sie andere 2FA-Systeme verwenden möchten. Für Jeremys Frage bedeutet dies, dass Sie beim Registrieren Ihres neuen Sicherheitsschlüssels bei Google bereits eine zweite 2FA-Option in Form von SMS-Codes aktivieren müssen.

Eine weitere Option ist die Verwendung von Google Authenticator oder einer ähnlichen App wie LastPass Authenticator. Diese mobilen Apps generieren alle 30 Sekunden sechsstellige Passcodes. Öffnen Sie einfach die App, kopieren Sie den Code und Sie sind dabei. Diese sind besonders praktisch als Backup-2FA-Option, da die App auch ohne Mobilfunk oder WLAN funktioniert.

Wenn all dies besorgniserregend erscheint, können Sie meine bevorzugte Methode verwenden: physische Sicherungscodes. Möglicherweise haben Sie diese beim Erstellen von Konten oder bei der Registrierung bei 2FA gesehen. Es ist ein Raster mit mehreren Zahlen, das Sie anstelle eines Kennworts und von 2FA-Token verwenden können. Sie werden nur einmal generiert, und wenn Sie sie erneut generieren, werden die alten weggeworfen. Im Idealfall sichern Sie diese in einem verschlüsselten Dateitresor oder besser auf einem Blatt Papier, das an einem sicheren Ort aufbewahrt wird.

Bei der Erstellung des Advanced Protection-Programms entschied sich Google für mehrere Hardwareschlüssel, da alle anderen oben aufgeführten Optionen, einschließlich der Sicherungscodes, möglicherweise mit einer gut erstellten Phishing-Seite erfasst werden können. Das Fälschen eines Sicherheitsschlüssels ist viel schwieriger.

• Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet? Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet?
• Warum verwenden Sie keine Zwei-Faktor-Authentifizierung? Warum verwenden Sie keine Zwei-Faktor-Authentifizierung?
• Google: Phishing-Angriffe, die zwei Faktoren schlagen können, sind auf dem Vormarsch Google: Phishing-Angriffe, die zwei Faktoren schlagen können, sind auf dem Vormarsch

Beachten Sie, dass nicht alle Websites jede Art von Authentifizierer unterstützen. Mit LastPass können Sie beispielsweise Sicherheitsschlüssel verwenden, jedoch nur Schlüssel, die einmalige Passcodes unterstützen. Das Herausfinden der zu verwendenden Authentifikatoren hängt häufig von den unterstützten Optionen ab.

Ihre ersten Schritte zur Zwei-Faktor-Authentifizierung

Trotzdem empfehle ich jedem, der 2FA noch nicht kennt, es zuerst mit einem anderen System als Sicherheitsschlüsseln auszuprobieren. Wenn Sie nicht daran gewöhnt sind, sich anzumelden, sind Sie eher mit etwas Unbekanntem wie einem Sicherheitsschlüssel konfrontiert. Versuchen Sie stattdessen, Push-Benachrichtigungen, per Textnachricht gesendete Codes, Duo oder Google Authenticator (oder einen ähnlichen Codegenerator) zu verwenden. Diese verwenden die Geräte, die Sie bereits haben, so dass der Eintritt kostenlos ist. Sobald Sie mit der Funktionsweise von 2FA vertraut sind und es sich wie eine Selbstverständlichkeit anfühlt, können Sie darüber nachdenken, das Geld für einen oder mehrere Sicherheitsschlüssel zu stehlen.

Eine Sicherheitsfunktion ist nur dann wertvoll, wenn Sie sie tatsächlich verwenden. Aktivieren Sie 2FA, aber geben Sie sich die Erlaubnis, damit herumzuspielen und eine für Sie geeignete Methode zu finden.