Mastodon: Konto mit 2-Faktor-Authentifizierung absichern
Ein gutes Passwort ist okay, aber wirklich sicher wird es erst mit dem Smartphone
Wenn Ihr neu bei Mastodon seid, sollte Ihr direkt mal für ein wenig mehr Sicherheit sorgen. Nun, auch wenn Ihr schon länger dabei seid und es vergessen habt. Standardmäßig genügt für die Anmeldung das Wissen um die Login-Daten. Muss man zusätzlich den Besitz etwa von einem Smartphone nachweisen, wird es deutlich sicherer.
2FA - Wissen und Besitz
Falls Ihr 2FA kennt, einfach dieses Kapitel überspringen. Fall es Euch nichts sagt: 2-Faktor-Authentifizierung kennt Ihr bestimmt von Paypal-Zahlungen oder auch Online-Banking-Überweisungen. Faktor 1 ist meist Wissen. Ihr müsst wissen, wie Nutzername und Passwort lauten. Faktor 2 ist irgendetwas in Eurem Besitz, beispielsweise ein Smartphone, ein TAN-Generator plus Bankkarte oder ein separater Sicherheitsschlüssel (USB-Stick, Karte etc.).
Beim klassischen Online-Banking loggt Ihr Euch normalerweise per Wissen (Nutzername/Passwort) online ein und bestätigt Überweisungen mit Besitz etwa Eurer Bankkarte oder eines verifizierten Smartphones. Den Besitz weist Ihr dann über die wie auch immer erhaltene TAN nach.
Bei Paypal fühlt es sich in der Praxis etwas anders an: Das Wissen gibt man da schließlich meist nur einmalig bei der Einrichtung preis und verwendet anschließend ein biometrisches Merkmal, meist den Fingerabdruck. Bei einem so eingerichteten Account sind also im Grunde beide Faktoren Besitz: Smartphone und (durch Wissen verifizierter) Daumen. Und ja, selbstverständlich werden genau zu solchen Zwecken auch Daumen geklaut ... Darum gibt es Handvenenscanner, um sicherzustellen, dass nicht ein entkoppeltes biometrisches Merkmal authentifiziert wird, sondern nur eines, dass noch am lebenden Wirt hängt ;)
Dass ein Hacker am anderen Ende der Welt an Tausende Login-Daten kommt - kann passieren. Dass derselbe Hacker um die Welt reist und seinen Opfern die Smartphones oder sonstigen Besitz-Faktoren klaut wohl eher nicht. Umgekehrt ist es ebenso unwahrscheinlich, dass ein Smartphone-Dieb zufällig Eure Login-Daten kennt.
Bei Mastodon läuft das Ganze zum Beispiel über Google Authenticator: Dieser generiert alle 30 Sekunden für jedes verknüpfte Konto einen 6-stelligen Code als Einmal-Passwort, den Ihr beim Login zusätzlich zu den Login-Daten eingeben müsst. Und da dieser Code eben nur mit einem verifizierten Smartphone korrekt erstellt wird, ist es eben wieder Wissen und Besitz.
Noch mehr zum komplexen Thema 2-Faktor-Authentifizierung und wie Ihr sie nutzt, zeigen wir Euch in diesem Tuto.
Der Vollständigkeit halber: Es gibt viele Möglichkeiten, passende Codes zu erstellen, es muss weder Google Authenticator sein noch ein Smartphone. Auch für den Windows-Desktop gibt es mit WinAuth eine entsprechende Open-Source-App. Offiziell und explizit empfohlen werden jedoch nur Google Authenticator und fürs iPhone Authenticator.
Mastodon absichern
Nach so viel Blabla ist das eigentliche Prozedere ein Klacks:
- Google Authenticator oder ähnliches installieren
- In Mastodon unter Einstellungen/Konto/Zwei-Faktor-Auth die Einrichtung starten
- Passwort bestätigen - es wird ein QR-Code angezeigt
- In Google Authenticator auf das Plus-Icon tappen und den QR-Code scannen
- Generierten Code bei Mastodon eingeben - fertig
Bei diesem Setup bräuchten Diebe im Grunde sogar drei Faktoren: Wissen um das Mastodon-Login, Besitz des Smartphones und in der Praxis aller Wahrscheinlichkeit nach Euren Fingerabdruck, um das Smartphone auch entsperren zu können. Wenig Aufwand, massive Verbesserung.