Sicherheit

Anleitung: 2-Faktor-Authentifizierung per App einrichten

Wir zeigen Euch, wie Ihr Eure Online-Konten per 2FA-App vor fremden Zugriffen schützt

Per Zwei-Faktor-Authentifizierung sichert Ihr den Zugang zu einem Konto über die Kombination aus Benutzername und Passwort hinaus ab. Die Idee: Loggt Ihr Euch beispielsweise in Euren Mail-Account ein, müsst Ihr zunächst auf einem weiteren Weg ein einmaliges Passwort generieren. Angreifer, die „nur“ Eure Zugangsdaten erbeuten, kommen damit alleine also nicht rein. Einen guten Kompromiss aus Komfort und Sicherheit bieten so genannte Authentificator-Apps. Nachdem Ihr diese mit einem Konto verknüpft habt, generieren die Apps automatisch einen Code, der bei der jeder Anmeldung abgefragt wird. Immer mehr Online-Dienste unterstützen mittlerweile die 2FA-Einrichtung. Wir zeigen Euch exemplarisch anhand eines Google-Kontos, wie die Einrichtung der Zwei-Faktor-Authentifizierung per App funktioniert.


1. Passende 2FA-App auswählen

Die wichtigste Frage, die Ihr Euch bei der Einrichtung von 2FA für Eure Konten stellen solltet, ist die der passenden App. Es gibt eine ganze Reihe so genannter Authenticator-Apps, etwa Twilio Authy, den Google Authenticator, 2FSA oder die Open-Source-Apps Aegis (Android) und Tofu (iOS). Wichtig übrigens: Die Apps generieren „nur“ den Log-in-Code auf Basis einer Verknüpfung, die Ihr bei der Einrichtung der Zwei-Faktor-Authentifzierung vornehmt – es sei denn natürlich, Ihr nutzt einen Passwort-Manager mit 2FA-Funktion. Die „reinen“ 2FA-Apps benötigen also keine Zugangsdaten wie Benutzername und Passwort.

Die Absicherung von Online-Konten via 2FA-Apps ist ein guter Kompromiss aus Komfort und Sicherheit.

Für welche Ihr Euch entscheiden sollt? Nun… Das ist gar nicht so leicht. Wollt Ihr die Anmeldung auf ein Gerät beschränken und bei Bedarf Ich persönlich gehe einen bei Sicherheits-Afficionados verpönten Weg und nutze meinen seit Jahren bewährten Passwortmanager 1password als 2FA-App, da ich beruflich mit SEHR vielen unterschiedlichen Geräten arbeite und ich den Synchronisations-Komfort sehr schätze. Auch Authy oder 2FSA bieten eine Synchronisation der 2FA-Daten. Damit einher geht natürlich wieder ein zusätzlicher potenzieller Schwachpunkt in der Sicherheits-Architektur – ob das Euer Ding ist, müsst Ihr selbst entscheiden. Im 2FA-Vergleich des Wirecutters liegt Authy übrigens vorne, damit macht Ihr also im Zweifel auch nichts falsch – mir persönlich gefällt allerdings nicht, dass der Service eine Handynummer für die Anmeldung verlangt.


Unabhängig davon solltet Ihr auf jeden Fall eine 2FA-App nutzen, die ihrerseits mit einem eigenen Passwort, PIN-Code oder biometrisch abgesichert werden kann. So schafft Ihr eine zweite Hürde für Angreifer, die Zugriff auf Euer Smartphone haben. Hier scheidet etwa der Google Authenticator aus, der auf einem entsperrten Gerät fröhlich die 2-Faktor-Codes einblendet… Ebenfalls wichtig sein sollte die Möglichkeit, die generierten 2-Faktor-Anmeldungen in irgendeiner Weise sichern und bei Bedarf auf ein neues Gerät übertragen zu können. Ohne Konto und Synchronisation wie bei Authy oder den diversen kommerziellen Passwort-Managern müsst Ihr das ggf. manuell vornehmen. Prüft auf jeden Fall, ob die App Eurer Wahl entsprechende Optionen bietet – andernfalls steht Ihr beim Verlust Eures Smartphones dauerhaft vor verschlossenen Türen…

Die Sicherung der 2FA-App per Passwort, Fingerabdruck und Co. sollte Pflicht sein.

Für unsere Demo-Zwecke zeigen wir Euch, wie Ihr mit der feinen Open-Source-Lösung Aegis ein Konto absichert. Für Android-Nutzer erfüllt sie alle genannten Kriterien, etwa die Absicherung per Fingerabdruck oder die Möglichkeit, die 2FA-Datenbank zu sichern und bei Bedarf wiederherzustellen. Ihr bekommt die App wahlweise bei Google Play oder bei Mircos geliebtem F-Droid; den Quellcode der praktischen und kostenlosen Zwei-Faktor-Authentifizierungs-App könnt Ihr bei Interesse über GitHub einsehen.

Übrigens: Die meisten der gezeigten Schritte und Grundprinzipien lassen sich aber auf die anderen 2-Faktor-Apps übertragen, da hier in der Regel auf offene Standard gesetzt wird. Leider gibt es zwar immer noch eine Reihe von Diensten, die lieber auf eine eigene 2-Faktor-Implementierung anstelle von Standards setzen, in der Praxis kommt Ihr aber mit Lösungen wie Aegis und Co. weiter.

2. Zwei-Faktor-Authentifizierung in den Sicherheitsoptionen finden

Die nächste Herausforderung: Findet heraus, ob und unter welchen Namen die von Euch verwendeten Dienste die Zwei-Faktor-Authentifzierung anmelden. Je nach Anbieter kann die Funktion unterschiedliche Namen haben, etwa Anmeldung in zwei Schritten, zweistufige Überprüfung, Zusätzlicher Sicherheitsschritt oder irgendwas mit „Faktor“ ;) Eine gute Anlaufstelle und Hilfestellung bei der Suche nach den richtigen Sicherheitseinstellungen bietet Euch das 2fa.directory, das wir Euch in diesem Tuto ausführlich vorstellen.

Eine Idee, viele Namen: Bei Google läuft 2FA beispielsweise unter der Bezeichnung „Bestätigung in zwei Schritten“ (Quelle: Google.com)

3. Zwei-Faktor-Authentifizierung per QR-Code einrichten

Habt Ihr den entsprechenden Punkt gefunden und die passende App zur Hand und abgesichert, könnt Ihr endlich mit der Einrichtung des zweiten Faktors loslegen. Wir demonstrieren Euch die Nutzung von 2FA am Beispiel eines Dropbox-Kontos. Hier findet Ihr die Zwei-Faktor-Authentifizierung in den Account-Einstellungen im Reiter Sicherheit – Zweistufige Überprüfung. Aktiviert hier den Schalter und wählt anschließend den Punkt Über eine mobile App, um eine 2FA-App zu verwenden.

Die meisten Dienste – so auch Dropbox – blenden nun einen QR-Code ein. Alternativ gibt es praktisch immer auch die Möglichkeit, den geheimen Schlüssel, der zur Verifizierung der Anmeldung erzeugt wird, manuell einzugeben. In der Regel ist es aber am einfachsten, den Code einfach mit der App Eurer Wahl zu scannen.

Im Falle von Aegis tippt Ihr zur Einrichtung eines neuen 2FA-Kontos auf Neu und wählt in diesem Fall QR Code scannen. Anschließend richtet Ihr die Kamera auf den Code und gebt im nächsten Schritt bei Bedarf ein paar Infos ein (etwa den Namen des Dienstes). Ist das erledigt, generiert Eure 2-Faktor-App bereits die Codes, die bei den meisten Implementierungen im 30-Sekunden-Intervall wechseln.

Die eigentliche Einrichtung und Nutzung der Zwei-Faktor-Authentifizierung ist in wenigen Schritten erledigt.

Bestätigt nun auf Dropbox (bzw. dem Konto Eurer Wahl) durch Eingabe des Einmal-Passworts die Einrichtung und Ihr habt es geschafft: Ab sofort kommt niemand – inklusive Euch – in das Konto, ohne Zugriff auf den gewählten zweiten Faktor zu haben. Hurrah!

4. Backup-Methode bei Verlust des 2FA-Tokens einrichten

Das wohl aaaaaaaaallerwichtigste bei der Nutzung der Zwei-Faktor-Authentifizierung: Sorgt bitte unbedingt für eine Backup-Methode, um im Ernstfall (Verlust des Smartphones etc.) den Zugriff auf Euer Konto wiederherzustellen. Das gilt vor allem dann, wenn Ihr Euch gegen eine Zwei-Faktor-App mit integrierter Synchronisation entscheidet. Das ganze Konzept des zweiten Faktors ist darauf ausgelegt, dass im Ernstfall wirklich niemand mehr reinkommt – auch der Kundensupport kann Euch dann nicht mehr weiterhelfen.

Um genau diesen 2FA-GAU zu vermeiden, bieten praktisch alle Dienste diverse Backup-Methoden an. Geläufig sind zum Beispiel die so genannten einmaligen Backup-Codes, die etwa Google oder das soeben abgesicherte Dropbox anbieten. Mit diesem Code ist es jeweils exakt einmal möglich, de 2FA-Anmeldung via App zu überspringen und Euer Konto bei Bedarf wiederherzustellen.

Sichert Euch die Backup-Codes unbedingt, um Euch im Worst Case nicht aus Euren Konten auszusperren.

Speichert Euch diese unbedingt an einem möglichst maximal-sicheren Ort. Ob das nun ein Tresor sein muss oder auch ein Passwortmanager oder ein verschlüsselter Container mit Lösungen wie VeraCrypt oder Cryptomator, entscheidet Ihr – sorgt nur dafür, dass Ihr es nicht vergesst. Und natürlich, dass kein anderer Mensch Zugriff auf die Codes bekommt – sie dienen gewissermaßen als Zweitschlüssel für Eure Konten und sind entsprechend wertvoll. In der Regel werden die Codes wahlweise direkt bei der ersten Ersteinrichtung der Zwei-Faktor-Authentifizierung angezeigt oder lassen sich später nach erfolgreicher Anmeldung irgendwo in Eurem Benutzerkonto abrufen.

Es gibt noch andere Backup-Methoden, etwa die Wiederherstellung via SMS (die gilt allerdings als nicht allzu sicher und kann zum Bumerang werden, wenn Ihr Eure Rufnummer wechselt und dabei vergesst, die Dienste entsprechend zu aktualisieren) oder über einen Code an Eure E-Mail-Adresse – die solltet Ihr dann aber wiederum ihrerseits per 2-Faktor-Jedöhns gesichert haben.

Einige Dienste bieten übrigens auch die Verwendung mehrerer Zwei-Faktor-Lösungen an. So könnt Ihr beispielsweise einen Google-Account zusätzlich mit einem USB-Sicherheitsschlüssel wie dem Yubikey verschließen. Solche Sticks gelten als nochmal eine Nummer sicherer als die diversen App-Lösungen, sind aber leider noch nicht überall verfügbar. Einen Praxistest samt Anleitung zur Einrichtung eines Yubikey für verschiedene Online-Dienste präsentiert Euch Kollege Ben in diesem Tuto.

„Alles absichern“ ist nicht immer komfortabel

Ihr merkt vielleicht schon: Die Absicherung Eurer wichtigen Online-Konten via Zwei-Faktor-Authentifizierung ist mit nicht eben wenig Eigeninitiative verbunden und verlangt von Euch ein gewisses Maß an Sorgfalt. Doch genau wie eine gute Backup-Strategie oder die konsequente Verwendung sicherer Passwörter könnt Ihr Euch einer Sache gewiss sein: Bei der nächsten großen Passwort-Panne eines von Euch verwendeten Dienstes fühlt Ihr Euch deutlich besser, wenn Ihr vorher den zweiten Sicherheitsfaktor eingerichtet habt.

Die Kombination aus Passwort-Manager und Zwei-Faktor-Authentifizierung macht sichere Log-ins möglich.

Aus meiner persönlichen Erfahrung kann ich nach einigen Jahren mit 2FA-Praxis sagen: Mit der Zeit gewöhnt man sich daran, bei der Anmeldung ein Einmal-Passwort zu verwenden. Je nach von Euch gewählter App _kann_ das sogar richtig komfortabel funktionieren. Mich interessiert aber auch Eure Meinung zum Thema: Setzt Ihr die Zwei-Faktor-Authentifizierung ein oder nervt Euch die Nutzung? Falls ja: Bei welchen Diensten und mit welchen Apps bzw. anderen Faktoren? Haut Eure Meinungen und Erfahrungen zum Thema 2FA sehr gerne in die Kommentare unter diesem Text.

Noch mehr rund um das ebenso leidige wie wichtige Thema Sicherheit findet Ihr laufend aktuell unter diesem Link. Weitere Tutos rund um Apps aller Art sammeln wir wahlweise in unserer Android- oder der iPhone-Ecke.

Boris Hofferbert

Freier Journalist, seit seligen Amiga-Tagen technikbegeistert, am Desktop Apple- und unterwegs Android-Fan, zockt unter Windows, kann nicht ohne Musik (von Classic Rock über Ska bis Punk) und Hörbücher, schießt gerne Postkarten-Fotos, hat immer mindestens zwei Handys dabei und freut sich riesig über eine Kaffeespende ;-)

Empfohlene Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Schaltfläche "Zurück zum Anfang"
>		<script type='text/javascript'>
			!function(t){