zwei-Faktor-Authentifizierung

Mit der Einführung einer vollen Ende-zu-Ende-Verschlüsselung für die iCloud-Daten hat Apple Ende 2022 für eine echte Überraschung gesorgt. Durch die Aktivierung des erweiterten Datenschutzes sorgt Ihr dafür, dass nahezu alle Daten, die Ihr der Apple-Cloud anvertraut, komplett verschlüsselt sind. Zwar lag ein Großteil der Daten schon vorher verschlüsselt auf den Apple-Servern, allerdings waren die nötigen Schlüssel dafür auch bei Apple.

Mit der neuen Einstellung ändert sich das: Ihr bekommt die Schlüssel in die Hand und es gibt keine Möglichkeit mehr für Apple oder andere Dritte, die Daten zu entsperren. Wie Ihr die iCloud-Vollverschlüsselung einrichtet und was Ihr dabei unbedingt beachten solltet, zeigen wir Euch hier.

iCloud-Verschlüsselung mit erweitertem Datenschutz: Das müsst Ihr wissen

Die neue Verschlüsselungseinstellung sorgt dafür, dass nahezu alle Daten, die Ihr in der iCloud speichert, verschlüsselt sind. Das gilt dann auch für Kategorien wie Eure Fotos, Notizen, Erinnerungen und mehr, die bislang lediglich während der Übertragung auf die Server gesichert waren. Ein paar Ausnahmen von der Verschlüsselung gibt es allerdings immer noch, etwa die Kalenderdaten. Die basieren laut Apple auf dem CalDAV-Standard, der keine Ende-zu-Ende-Verschlüsselung unterstützt.

Aktiviert Ihr den neuen erweiterten Datenschutz, liegen auf den Apple-Servern lediglich verschlüsselte Dateien, nicht aber die nötigen Schlüssel dafür. Weder Apple noch eventuelle Angreifer können damit ohne Euren Schlüssel etwas anfangen. Die Entschlüsselung erfolgt dann erst auf einem iPhone, iPad oder Mac, das Ihr in Euren iCloud-Account aufgenommen habt.

Wenn Ihr mehr über die technischen Details sowie die Unterschiede zwischen dem „normalen“ und dem erweiterten Datenschutz wissen wollt, solltet Ihr einen Blick in die Supportseiten von Apple werfen. Hier ist auch genau aufgelistet, welche Daten wie verschlüsselt sind, welche Ausnahmen es gibt und was Ihr sonst noch beachten müsst.

Vorsicht: Alte Macs, iPhones etc. fliegen raus!

Damit die ganze Nummer funktioniert, benötigt Ihr aber auch entsprechend aktuelle Version von iOS, iPadOS und macOS. Bei iOS und iPadOS müsst Ihr die Geräte auf die Version 16.3 oder höher aktualisieren, auf dem Mac muss macOS in Version 13.2 oder neuer laufen.

Etwas versteckt findet sich in den Supportseiten aber auch ein wichtiger Hinweis: Aktiviert Ihr den erweiterten Datenschutz für Euren iCloud-Account, könnt Ihr mit Apple-Geräten, die noch nicht auf die neueste Version aktualisiert sind, nicht mehr auf die Daten zugreifen. Habt Ihr also noch einen Mac mit macOS 12 Monterey im Einsatz oder ein iGerät, das kein Update auf iOS 16 erhält, solltet Ihr Euch zweimal überlegen, ob Ihr die Verschlüsselung nutzen möchtet. Auch andere Apple-Geräte wie Apple Watches, Apple TV etc. müssen aktualisiert sein.

Immerhin: Apple warnt während der Einrichtung, wenn ein nicht-kompatibles Gerät mit dem iCloud-Konto verknüpft ist. In meinem Fall war das beispielsweise mein Schubladen-iPhone-SE der ersten Generation, das kein Update für iOS 16 erhält. Außerdem warnte mich das System vor einer vermeintlich veralteten Windows-Integration.

Tatsächlich synchronisiere ich die iCloud-Drive-Daten auch auf einen Windows-PC, auf dem bereits die aktuellste Version des Windows-Clients lief. Hier war die Lösung aber mit einer einfachen Neu-Anmeldung im System erledigt, die Verschlüsselung funktioniert also auch im Tandem mit Windows-Rechnern.

iCloud: Wiederherstellungsschlüssel oder Wiederherstellungskontakt einrichten

Wenn Ihr die erweiterten Datenschutzfunktionen für die iCloud aktiviert, verliert Ihr zwangsläufig die Option, den Zugriff auf einen gesperrten iCloud-Account mithilfe von Apple wiederherzustellen. In anderen Worten: Ihr seid selbst dafür verantwortlich, im Ernstfall wieder an Eure Daten zu kommen. Apple fasst es folgendermaßen zusammen:

Wenn du den erweiterten Datenschutz aktivierst und anschließend den Zugriff auf deinen Account verlierst, verfügt Apple nicht über die Verschlüsselungsschlüssel und kann dich bei der Wiederherstellung nicht unterstützen – in diesem Fall benötigst du deinen Gerätecode oder dein Passwort, einen Wiederherstellungskontakt oder einen persönlichen Wiederherstellungsschlüssel.

Apple

Aus diesem Grund verpflichtet Euch Apple, vor der Einrichtung der Ende-zu-Ende-Verschlüsselung wahlweise mindestens den Wiederherstellungsschlüssel für Euer Konto einzurichten oder einen vertrauenswürdigen Wiedererstellungskontakt zu bestimmen. Beide Lösungen erlauben es, beim Zugriffsverlust auf ein Gerät – also etwa, wenn Ihr ein Passwort vergessen oder ihr keinen Zugriff auf ein anderes Apple-Gerät mit aktivierter 2-Faktor-Authentifizierung habt.

Kurzgesagt: Im Worst Case könnt mit einem solchen Schlüssel oder einem entsprechenden Kontakt den Zugriff auf Eure Daten zurück erhalten. Beim Schlüssel handelt es sich um eine Zufallskombination aus Zahlen und Buchstaben, die Ihr für die Wiederherstellung Eures Kontos nutzen könnt. Diesen solltet Ihr natürlich möglichst sicher aufbewahren, etwa in einem guten Passwortmanager oder einem verschlüsselten Container. Oder natürlich offline, ausgedruckt und sicher verstaut. Hier seid Ihr gefragt ;-)

So erstellt Ihr einen Wiederherstellungsschlüssel auf dem iPhone, iPad oder Mac

1. Öffnet die Einstellungen von iOS/iPadOS bzw. die Systemeinstellungen auf Eurem Mac.
2. Navigiert zum Untermenü Apple-ID – Passwort & Sicherheit – Account-Wiederherstellung.
3. Tippt hier auf Wiederherstellungsschlüssel.
4. Befolgt nun den Assistenten, um die Einrichtung eines Wiederherstellungsschlüssels durchzuführen.

Während der Einrichtung werdet Ihr dazu aufgefordert, den Schlüssel zu bestätigen. Das funktioniert natürlich nur, wenn Ihn vorher sauber gesichert habt. Wie gesagt: Achtet gut darauf, wo und wie Ihr den Schlüssel sichert, da er im Ernstfall Eure letzte Chance ist, ein Konto wiederherzustellen. Gleichzeitig solltet Ihr natürlich auch darauf achten, dass er nicht in fremde Hände gerät, da der Schlüssel auch den Zugriff auf Euer Konto ermöglicht. So ist das mit der Sicherheit ;)

Alternativ oder auch zusätzlich könnt Ihr auch noch einen Wiederherstellungskontakt bestimmen. Die- oder derjenige kann Euch im Notfall dabei helfen, das iCloud-Konto wiederherzustellen bzw. Euch anzumelden, wenn Ihr keine andere Möglichkeit zur Verifizierung zur Hand habt. Voraussetzung dafür ist, dass der Kontakt ebenfalls im Apple-Kosmos unterwegs ist und den Apple-Messenger iMessage verwendet.

So bestimmt Ihr einen Wiederherstellungskontakt für Euer Apple-Konto:

1. Navigiert auf dem iPhone, iPad oder Mac wie oben beschrieben in die Einstellungen zum Bereich Account-Wiederherstellung.
2. Tippt hier bei Wiederherstellungshilfe auf Kontakt hinzufügen.
3. Wählt nun den Kontakt aus, den Ihr verwenden möchtet. Habt Ihr die Familienfreigabe eingerichtet, werden die entsprechenden Menschen automatisch vorgeschlagen.
4. Dein Kontakt erhält nun per iMessage eine Nachricht mit deiner Anfrage. Sobald er oder sie die Anfrage bestätigt, kannst du im Ernstfall auf den Wiederherstellungskontakt zurückgreifen.

Habt Ihr mindestens eine der beiden Wiederherstellungsoptionen eingerichtet, könnt Ihr mit der Aktivierung der Ende-zu-Ende-Verschlüsselung für iCloud fortfahren. Übrigens: Im Menü Account-Wiederherstellung könnt Ihr natürlich auch bei Bedarf einen anderen Kontakt für die Wiederherstellungshilfe bestimmen oder den Rettungsschlüssel neu erstellen. Wie bei allen sicherheitsrelevanten Maßnahmen lohnt es sich, die Einstellungen von Zeit zu Zeit zu prüfen und bei Bedarf anzupassen. Ihr erspart Euch damit im Ernstfall eine ganze Menge Stress.

Unabhängig dieser beiden Punkte muss für die Verschlüsselung auch die Zwei-Faktor-Authentifizierung für Euer iCloud-Konto eingerichtet sein. Das habt Ihr mit hoher Wahrscheinlichkeit in der Vergangenheit eh bereits gemacht, weil Apple die Sicherheitsfunktion seit einigen Jahren zur Pflicht macht. Falls nicht, könnt Ihr es natürlich jederzeit nachholen. Apple liefert hier die nötigen Schritte dafür. Allgemeines darüber, warum und wieso Ihr den vielzitierten zweiten Faktor nutzen solltet, zeigen wir Euch ausführlich in diesem Tuto.

Erweiterter Datenschutz: Ende-zu-Ende-Verschlüsselung für iCloud aktivieren

So, genug der langen Vorrede! Die eigentlich Einrichtung der Ende-zu-Ende-Verschlüsselung für Eure iCloud-Daten ist schnell erledigt, wenn alle Vorkehrungen getroffen sind. Ihr könnt sie wahlweise auf einem iPhone, iPad oder Mac einrichten, da sie automatisch für das gesamte Apple-Konto gilt. Wir zeigen Euch die Konfiguration exemplarisch auf einem iPad mit iPadOS 16.3.:

1. Öffnet die Einstellungen und tippt auf Eure Apple-ID, um die Kontoeinstellungen aufzurufen.
2. Wählt hier den Punkt iCloud und wechselt in das Untermenü Erweiterter Datenschutz.
3. Tippt hier auf Erweiterten Datenschutz aktivieren.
4. Das System prüft nun, ob gegebenenfalls nicht-kompatible Geräte mit Eurem Konto verbunden sind. Diese müsst Ihr nun entweder aktualisieren oder aus dem Konto entfernen, um fortzufahren.
5. Bestätigt nun noch einmal den Sicherheitshinweis. Anschließend müsst Ihr eine der zuvor verwendeten Fallback-Methoden nutzen, um die Verschlüsselung zu aktivieren, also beispielsweise die Eingabe des persönlichen Sicherheitsschlüssels.
6. Abschließend fragt Euch das System noch nach dem Code bzw. Passwort des Geräts, auf dem Ihr den Datenschutz eingebt.
7. Puh. Aber: Profit!

Ab sofort genießt Ihr die Datenhoheit über fast alles, was Ihr so in der Apple-Wolke lagert. Wie Ihr seht, hat es aber durchaus seinen Grund, dass Apple die ganze Nummer nicht einfach ab Werk für alle aktiviert. Vor allem die Verwaltung und Sicherung der Wiederherstellungsoptionen ist ein Aspekt, der vermutlich nicht wenige Menschen abschreckt.

Auf der anderen Seite ist es eine sehr, sehr, sehr gute Entscheidung, dass die Daten nun wirklich sicher in der Apple Cloud sind. Die Nutzung von Komfortfunktionen wie dem Apple Fotostream ist damit zumindest für mich mit weniger Magengrummeln verbunden. Da Apple auch von seinen gut gemeinten, aber dennoch fragwürdigen Upload-Scans absieht (mehr dazu im Statement der EFF), ist diese Entwicklung wohl wirklich ein großer Sprung für den Datenschutz.

Ich habe selbst lange überlegt, wo ich den Schlüssel speichere, um im Ernstfall dranzukommen. Die Lösung war für mich ein verschlüsseltes Dokument auf einem lokal verfügbaren NAS, für das ich wiederum regelmäßige Backups durchführe. Tendenziell werde ich durch meine Vielzahl an Apple-Geräten im Haushalt wohl nie in die Bredouille kommen, meinen iCloud-Zugriff komplett wiederherzustellen, aber man kann ja nie wissen.

13% sparen

Apple iPhone 13 (128 GB) - Mitternacht *

899,00 €

779,00 €

Bei Amazon ansehen *

(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)

16% sparen

Apple iPhone 15 (128 GB) - Schwarz *

949,00 €

793,00 €

Bei Amazon ansehen *

(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)

Wie macht Ihr das, liebe Mit-Apfelaner? Habt Ihr die E2E-Verschlüsselung eingeschaltet oder lieber auf den Komfort durch die Apple-Verwaltung zurückgreifen? Oder verzichtet Ihr ganz auf die iCloud und nutzt lieber eigene Cloudlösungen? Und falls Ihr den erweiterten Datenschutz verwendet: Hat alles funktioniert? Oder seid Ihr an veralteten Geräten gescheitert? Lasst es uns gerne in den Kommentaren wissen!

Noch mehr rund um alles mit Apfel drauf findet Ihr unter diesem Link.

Hand aufs Herz: Speichert Ihr Eure Webseiten-Passwörter im Browser oder nutzt Ihr lieber einen richtigen Passwortmanager? Ich lehne mich mal weit aus dem Fenster und behaupte, dass nicht sooooo wenige unter Euch auch Firefox, Safari oder eben Google Chrome Eure Passwörter anvertraut. Wenn Ihr Euch irgendwo mit Benutzername und Passwort anmeldet, bedarf es nur eines Klicks, die Zugangsdaten zu speichern. Doch wo genau landen sie eigentlich, wie könnt Ihr sie ändern und wie sind sie vor fremden Zugriff geschützt?

Google Chrome: Integrierter Passwortmanager

Google Chrome bietet einen integrierten Passwortmanager, der Eure Zugangsdaten verschlüsselt abspeichert. Anders als bei „echten“ Passwortmanagern wie beispielsweise KeePass oder dem von mir präferierten 1password müsst Ihr aber in der Regel kein Master-Passwort eingeben, damit Chrome die Felder ausfüllt. Aus diesem Grund solltet Ihr die Speichermöglichkeit auch wirklich nur in Anspruch nehmen, wenn Ihr sicher der einzige Mensch mit Zugriff auf den Browser seid.

Der Grund: Nicht nur kann jeder, der sich vor Eurem Chrome-Rechner platziert, munter mit mit den Log-ins hantieren, Chrome verrät sie auf Wunsch auch. Sobald Ihr in einem Feld mit einem automatisch ausgefüllten Kennwort auf das Auge klickt, zeigt Chrome das Passwort in Klartext an. Suboptimal.

So könnt Ihr die von Chrome gespeicherten Passwörter einsehen

Nutzt Ihr de internen Passwortmanager dennoch, gibt es natürlich noch einen anderen Weg, die gesicherten Passwörter zu prüfen. Öffnet dazu über die drei Punkte die Einstellungen von Chrome. Hier navigiert Ihr links zum Bereich Automatisches Ausfüllen und klickt dann auf Passwörter.

Hier seht Ihr nun eine Liste aller gesicherten Zugänge. Wollt Ihr nun ein Passwort einsehen, müsst Ihr auf das Auge klicken. Anders als beim direkten Besuch der Seite werdet Ihr in diesem Fall aber um die Eingabe eines Zugangskennworts gefragt. Chrome verwendet dabei die Kontensicherheit des Betriebssystems, als etwa das Admin-Kennwort von Linux oder macOS oder auch eine PIN-Sperre unter Windows.

Nun könnt Ihr per Klick auf das Augen-Symbol die Kennwörter im Klartext ansehen. Über die drei Punkte habt Ihr noch weitere Optionen. Beispielsweise könnt Ihr damit ein Passwort aus dem Tresor löschen oder die Zugangsdaten editieren.

Gehackte Passwörter finden und änden

Falls Euch Chrome bei der Anzeige der Passwörter mit einer Meldung wie 23 gehackte Passwörter“ begrüßt, solltet Ihr umgehend handeln. Der Browser checkt die gesicherten Kennwörter automatisch bei Sicherheitsdatenbanken wie haveibeenpwned gegen. Sollten Eure Zugangsdaten also auf dubiosen Wegen in irgendwelche Darknet– oder sonstige bösen Quellen gelandet sein, werdet Ihr hier informiert und könnt handeln.

Für die meisten Onlinedienste bietet Chrome in einem solchen Fall gleich die Möglichkeit an, das Passwort schnell über einen Link zu ändern. Klickt dazu auf Passwort ändern und führt die Schritte durch.

Nebenbei könnt Ihr auf diese Weise auch ein wenig Kontenhygiene betreiben und nicht mehr verwendete Accounts endgültig löschen. Wollt Ihr das Konto hingegen weiterhin nutzen, prüft auf jeden Fall, ob Ihr neben einem Passwort auch gleich eine Zwei-Faktor-Authentifizierung einrichten könnt – das reduziert die Gefahr von geklauten Passwörtern deutlich.

Wie ist das bei Euch: Vertraut Ihr Chrome (oder auch Firefox und Co.) Eure Passwörter an? Verratet es uns gerne in den Kommentaren. Noch mehr Tipps und Tricks rund um das Endlosthema Sicherheit findet Ihr unter diesem Link, mehr zu Chrome im speziellen gibt’s hier zu entdecken.

Per Zwei-Faktor-Authentifizierung sichert Ihr den Zugang zu einem Konto über die Kombination aus Benutzername und Passwort hinaus ab. Die Idee: Loggt Ihr Euch beispielsweise in Euren Mail-Account ein, müsst Ihr zunächst auf einem weiteren Weg ein einmaliges Passwort generieren. Angreifer, die „nur“ Eure Zugangsdaten erbeuten, kommen damit alleine also nicht rein. Einen guten Kompromiss aus Komfort und Sicherheit bieten so genannte Authentificator-Apps. Nachdem Ihr diese mit einem Konto verknüpft habt, generieren die Apps automatisch einen Code, der bei der jeder Anmeldung abgefragt wird. Immer mehr Online-Dienste unterstützen mittlerweile die 2FA-Einrichtung. Wir zeigen Euch exemplarisch anhand eines Google-Kontos, wie die Einrichtung der Zwei-Faktor-Authentifizierung per App funktioniert.

1. Passende 2FA-App auswählen

Die wichtigste Frage, die Ihr Euch bei der Einrichtung von 2FA für Eure Konten stellen solltet, ist die der passenden App. Es gibt eine ganze Reihe so genannter Authenticator-Apps, etwa Twilio Authy, den Google Authenticator, 2FSA oder die Open-Source-Apps Aegis (Android) und Tofu (iOS). Wichtig übrigens: Die Apps generieren „nur“ den Log-in-Code auf Basis einer Verknüpfung, die Ihr bei der Einrichtung der Zwei-Faktor-Authentifzierung vornehmt – es sei denn natürlich, Ihr nutzt einen Passwort-Manager mit 2FA-Funktion. Die „reinen“ 2FA-Apps benötigen also keine Zugangsdaten wie Benutzername und Passwort.

Für welche Ihr Euch entscheiden sollt? Nun… Das ist gar nicht so leicht. Wollt Ihr die Anmeldung auf ein Gerät beschränken und bei Bedarf Ich persönlich gehe einen bei Sicherheits-Afficionados verpönten Weg und nutze meinen seit Jahren bewährten Passwortmanager 1password als 2FA-App, da ich beruflich mit SEHR vielen unterschiedlichen Geräten arbeite und ich den Synchronisations-Komfort sehr schätze. Auch Authy oder 2FSA bieten eine Synchronisation der 2FA-Daten. Damit einher geht natürlich wieder ein zusätzlicher potenzieller Schwachpunkt in der Sicherheits-Architektur – ob das Euer Ding ist, müsst Ihr selbst entscheiden. Im 2FA-Vergleich des Wirecutters liegt Authy übrigens vorne, damit macht Ihr also im Zweifel auch nichts falsch – mir persönlich gefällt allerdings nicht, dass der Service eine Handynummer für die Anmeldung verlangt.

Unabhängig davon solltet Ihr auf jeden Fall eine 2FA-App nutzen, die ihrerseits mit einem eigenen Passwort, PIN-Code oder biometrisch abgesichert werden kann. So schafft Ihr eine zweite Hürde für Angreifer, die Zugriff auf Euer Smartphone haben. Hier scheidet etwa der Google Authenticator aus, der auf einem entsperrten Gerät fröhlich die 2-Faktor-Codes einblendet… Ebenfalls wichtig sein sollte die Möglichkeit, die generierten 2-Faktor-Anmeldungen in irgendeiner Weise sichern und bei Bedarf auf ein neues Gerät übertragen zu können. Ohne Konto und Synchronisation wie bei Authy oder den diversen kommerziellen Passwort-Managern müsst Ihr das ggf. manuell vornehmen. Prüft auf jeden Fall, ob die App Eurer Wahl entsprechende Optionen bietet – andernfalls steht Ihr beim Verlust Eures Smartphones dauerhaft vor verschlossenen Türen…

Für unsere Demo-Zwecke zeigen wir Euch, wie Ihr mit der feinen Open-Source-Lösung Aegis ein Konto absichert. Für Android-Nutzer erfüllt sie alle genannten Kriterien, etwa die Absicherung per Fingerabdruck oder die Möglichkeit, die 2FA-Datenbank zu sichern und bei Bedarf wiederherzustellen. Ihr bekommt die App wahlweise bei Google Play oder bei Mircos geliebtem F-Droid; den Quellcode der praktischen und kostenlosen Zwei-Faktor-Authentifizierungs-App könnt Ihr bei Interesse über GitHub einsehen.

Übrigens: Die meisten der gezeigten Schritte und Grundprinzipien lassen sich aber auf die anderen 2-Faktor-Apps übertragen, da hier in der Regel auf offene Standard gesetzt wird. Leider gibt es zwar immer noch eine Reihe von Diensten, die lieber auf eine eigene 2-Faktor-Implementierung anstelle von Standards setzen, in der Praxis kommt Ihr aber mit Lösungen wie Aegis und Co. weiter.

2. Zwei-Faktor-Authentifizierung in den Sicherheitsoptionen finden

Die nächste Herausforderung: Findet heraus, ob und unter welchen Namen die von Euch verwendeten Dienste die Zwei-Faktor-Authentifzierung anmelden. Je nach Anbieter kann die Funktion unterschiedliche Namen haben, etwa Anmeldung in zwei Schritten, zweistufige Überprüfung, Zusätzlicher Sicherheitsschritt oder irgendwas mit „Faktor“ ;) Eine gute Anlaufstelle und Hilfestellung bei der Suche nach den richtigen Sicherheitseinstellungen bietet Euch das 2fa.directory, das wir Euch in diesem Tuto ausführlich vorstellen.

3. Zwei-Faktor-Authentifizierung per QR-Code einrichten

Habt Ihr den entsprechenden Punkt gefunden und die passende App zur Hand und abgesichert, könnt Ihr endlich mit der Einrichtung des zweiten Faktors loslegen. Wir demonstrieren Euch die Nutzung von 2FA am Beispiel eines Dropbox-Kontos. Hier findet Ihr die Zwei-Faktor-Authentifizierung in den Account-Einstellungen im Reiter Sicherheit – Zweistufige Überprüfung. Aktiviert hier den Schalter und wählt anschließend den Punkt Über eine mobile App, um eine 2FA-App zu verwenden.

Die meisten Dienste – so auch Dropbox – blenden nun einen QR-Code ein. Alternativ gibt es praktisch immer auch die Möglichkeit, den geheimen Schlüssel, der zur Verifizierung der Anmeldung erzeugt wird, manuell einzugeben. In der Regel ist es aber am einfachsten, den Code einfach mit der App Eurer Wahl zu scannen.

Im Falle von Aegis tippt Ihr zur Einrichtung eines neuen 2FA-Kontos auf Neu und wählt in diesem Fall QR Code scannen. Anschließend richtet Ihr die Kamera auf den Code und gebt im nächsten Schritt bei Bedarf ein paar Infos ein (etwa den Namen des Dienstes). Ist das erledigt, generiert Eure 2-Faktor-App bereits die Codes, die bei den meisten Implementierungen im 30-Sekunden-Intervall wechseln.

Bestätigt nun auf Dropbox (bzw. dem Konto Eurer Wahl) durch Eingabe des Einmal-Passworts die Einrichtung und Ihr habt es geschafft: Ab sofort kommt niemand – inklusive Euch – in das Konto, ohne Zugriff auf den gewählten zweiten Faktor zu haben. Hurrah!

4. Backup-Methode bei Verlust des 2FA-Tokens einrichten

Das wohl aaaaaaaaallerwichtigste bei der Nutzung der Zwei-Faktor-Authentifizierung: Sorgt bitte unbedingt für eine Backup-Methode, um im Ernstfall (Verlust des Smartphones etc.) den Zugriff auf Euer Konto wiederherzustellen. Das gilt vor allem dann, wenn Ihr Euch gegen eine Zwei-Faktor-App mit integrierter Synchronisation entscheidet. Das ganze Konzept des zweiten Faktors ist darauf ausgelegt, dass im Ernstfall wirklich niemand mehr reinkommt – auch der Kundensupport kann Euch dann nicht mehr weiterhelfen.

Um genau diesen 2FA-GAU zu vermeiden, bieten praktisch alle Dienste diverse Backup-Methoden an. Geläufig sind zum Beispiel die so genannten einmaligen Backup-Codes, die etwa Google oder das soeben abgesicherte Dropbox anbieten. Mit diesem Code ist es jeweils exakt einmal möglich, de 2FA-Anmeldung via App zu überspringen und Euer Konto bei Bedarf wiederherzustellen.

Speichert Euch diese unbedingt an einem möglichst maximal-sicheren Ort. Ob das nun ein Tresor sein muss oder auch ein Passwortmanager oder ein verschlüsselter Container mit Lösungen wie VeraCrypt oder Cryptomator, entscheidet Ihr – sorgt nur dafür, dass Ihr es nicht vergesst. Und natürlich, dass kein anderer Mensch Zugriff auf die Codes bekommt – sie dienen gewissermaßen als Zweitschlüssel für Eure Konten und sind entsprechend wertvoll. In der Regel werden die Codes wahlweise direkt bei der ersten Ersteinrichtung der Zwei-Faktor-Authentifizierung angezeigt oder lassen sich später nach erfolgreicher Anmeldung irgendwo in Eurem Benutzerkonto abrufen.

Es gibt noch andere Backup-Methoden, etwa die Wiederherstellung via SMS (die gilt allerdings als nicht allzu sicher und kann zum Bumerang werden, wenn Ihr Eure Rufnummer wechselt und dabei vergesst, die Dienste entsprechend zu aktualisieren) oder über einen Code an Eure E-Mail-Adresse – die solltet Ihr dann aber wiederum ihrerseits per 2-Faktor-Jedöhns gesichert haben.

Yubico - YubiKey 5 NFC - Sicherheitsschlüssel mit Zwei-Faktor-Authentifizierung, passend für USB-A Anschlüsse und funktioniert mit unterstützten NFC-Mobilgeräten, black *

55,95 €

Bei Amazon ansehen *

(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)

Yubico - YubiKey 5C NFC - Two Factor Authentication Security Key, Fits USB-C Ports and Works with Supported NFC Mobile Devices - Protect Your Online Accounts with More Than a Password *

65,45 €

Bei Amazon ansehen *

(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)

Einige Dienste bieten übrigens auch die Verwendung mehrerer Zwei-Faktor-Lösungen an. So könnt Ihr beispielsweise einen Google-Account zusätzlich mit einem USB-Sicherheitsschlüssel wie dem Yubikey verschließen. Solche Sticks gelten als nochmal eine Nummer sicherer als die diversen App-Lösungen, sind aber leider noch nicht überall verfügbar. Einen Praxistest samt Anleitung zur Einrichtung eines Yubikey für verschiedene Online-Dienste präsentiert Euch Kollege Ben in diesem Tuto.

„Alles absichern“ ist nicht immer komfortabel

Ihr merkt vielleicht schon: Die Absicherung Eurer wichtigen Online-Konten via Zwei-Faktor-Authentifizierung ist mit nicht eben wenig Eigeninitiative verbunden und verlangt von Euch ein gewisses Maß an Sorgfalt. Doch genau wie eine gute Backup-Strategie oder die konsequente Verwendung sicherer Passwörter könnt Ihr Euch einer Sache gewiss sein: Bei der nächsten großen Passwort-Panne eines von Euch verwendeten Dienstes fühlt Ihr Euch deutlich besser, wenn Ihr vorher den zweiten Sicherheitsfaktor eingerichtet habt.

Aus meiner persönlichen Erfahrung kann ich nach einigen Jahren mit 2FA-Praxis sagen: Mit der Zeit gewöhnt man sich daran, bei der Anmeldung ein Einmal-Passwort zu verwenden. Je nach von Euch gewählter App _kann_ das sogar richtig komfortabel funktionieren. Mich interessiert aber auch Eure Meinung zum Thema: Setzt Ihr die Zwei-Faktor-Authentifizierung ein oder nervt Euch die Nutzung? Falls ja: Bei welchen Diensten und mit welchen Apps bzw. anderen Faktoren? Haut Eure Meinungen und Erfahrungen zum Thema 2FA sehr gerne in die Kommentare unter diesem Text.

Noch mehr rund um das ebenso leidige wie wichtige Thema Sicherheit findet Ihr laufend aktuell unter diesem Link. Weitere Tutos rund um Apps aller Art sammeln wir wahlweise in unserer Android- oder der iPhone-Ecke.

Sicherheit kann eben doch sexy sein! Normalerweise bedeutet Sicherheitssoftware: Aufwand, Kosten und wenn’s gut läuft, passiert gar nichts. Bei Passwort-Manager sieht das schon ganz anders aus, denn Ihr bekommt nicht nur deutlich mehr Sicherheit, sondern auch mehr Komfort – Ihr müsst nämlich nie wieder Login-Daten eingeben oder Euch Passwörter merken. Die vielleicht beste Lösung dafür ist KeePass: Das Programm ist Open Source und somit könnt Ihr ziemlich sicher sein, dass mit Euren Passwörtern kein Schindluder getrieben wird. Zudem liegen die Logins nicht auf irgendeinem fremden Server, sondern bei Euch. Freilich ist KeePass kostenlos, in Browser integrierbar und verfügbar für Windows, Linux, OS X, Android, iOS und viele weitere Systeme, sogar Symbian. Wir zeigen Euch die komplette Einrichtung und die Integration und Nutzung in Firefox.Weiterlesen »

Dropbox wurde angeblich gehackt, auf jeden Fall tauchten gestern zahlreiche Benutzernamen und Passwort-Kombinationen im Netz auf. Woher die stammen, ist noch fraglich: Zwar meldet Dropbox, dass sie nicht gehackt worden seien, stattdessen seien die Zugangsdaten aus Drittanbieter-Diensten entwendet worden. Doch egal ob Hack oder nicht: Spätestens jetzt solltet Ihr Euer Dropbox-Konto per Zwei-Faktor-Authentifizierung wirklich sicher machen. Wir zeigen, wie es geht.Weiterlesen »

Nachdem vergangene Woche durch eine iCloud-Sicherheitslücke Nacktbilder verschiedener Prominenter im Web erschienen sind, die von Hackern erbeutet wurden, stellt sich jedem Apple-Nutzer die Frage, wie er seine Cloud sicherer gestalten kann. Zwar hat Apple die Sicherheitslücke – es gab keine Sperre nach mehreren Anmeldeversuchen, was Brute-Force-Angriffe massiv erleichterte – abgestellt, trotzdem bleibt ein flaues Gefühl. Zum Glück gibt es ein weiteres Sicherheitsnetz, die sogenannte „Zweistufige Anmeldung“ oder „two factor authentication“, die dank zusätzlicher Mobilfunk-PIN für mehr Sicherheit sorgt. Wir zeigen, wir Ihr sie für die iCloud aktiviert.Weiterlesen »