2-Faktor Authentifizierung

Seit einiger Zeit überprüfe ich alle meine Konten darauf, ob eine 2-Faktor Authentfizierung unterstützt ist. Da das Thema “Sicherheit” einen immer höheren Stellenwert erhält, Kennwörter aber immer öfter in öffentlichen Kennwort Listen auftauchen, bietet sich dieses Verfahren für die Absicherung der eigenen digitalen Identität an. Im folgenden will ich die 2-Faktor Authentifizerung erläutern. Ziel des Artikels ist nicht einen IT-Fachartikel zu schreiben sondern für mein näheres Umfeld die Notwendigkeit und Funktionsweise zu erläutern.

Was ist 2-Faktor Authentifizerung

Die 2-Faktor Authentifizierung, bedeutet, dass man 2 verschiedene von einander unabhängige “Dinge” übermitteln muss, um an persönlichen Einstellungen/Informationen oder ähnliches zu kommen. Dieser etwas philosophische Ansatz lässt sich natürlich etwas konkreter fassen: Man verwendet neben den Kennwort ein zweites Merkmal, zum Beispiel eine einmal-Pin wie wir sie vom Banking her kennen oder biometrische Identifikationsmerkmale wie ein Iris- oder Fingerabdruckscan. Biometrische Informationen betrachte ich persönlich eher als “Spielerei”, viele Artikel über moderne Implementierungen biometrischer Scanverfahren (siehe Apple oder Samsung) zeigen, das diese Verfahren i.d.R. nicht als “sicher” eingestuft werden können. Etabliert hat sich in den letzten Jahren die Nutzung von “Timed one-time passwords” (TOTP) über eine Android App (Ja gibts sicher auch für den Apfel). Dabei werden in regelmäßigen Zyklen (ca. alle 30 Sekunden) 6-stellige Zufallsnummern in einem Schema generiert, welches sowohl der Server auf dem ich mich authentifizieren will, als auch die App, kennen. Dieses “Schema” wird einmal beim einrichten zwischen dem Server und der App ausgetauscht und besteht i.d.R. aus einer recht langen Nummer. Um diese nicht abtippen zu müssen, wird meist ein QR Code zum scannen angeboten.

Zu Validierung muss nun ein generierter 6-stelliger Code aus der App in der Anwendung angegeben werden. Stimmt diese Nummer, ist das 2-Faktor-Authentifzierungsverfahren validiert und ab sofort aktiv. Das “Schema” wird verschlüsselt in der App gespeichert. Wird die App deinstalliert oder geht das Handy verloren muss die Verbindung zwischen dem Server und einer neuen App Installation wieder hergestellt werden. In diesem Fall ist es sehr hilfreich, an irgendeinem Gerät noch an der Serveranwendung angemeldet zu sein. Andernfalls muss der eine oder andere Prozess zum Zurücksetzen des Kontos gestartet werden, der je nach Anbieter mehr oder weniger komplex sein kann. Bei den meisten der Anbieter werden sogenannte “Backup-Codes” erzeugt, die einmalig für eine Anmeldung verwendet werden können. Dies Backup codes sollte man sich nach der Einrichtung der 2-Faktor Autentifizierung an einer sicheren Stelle (z.B. in KeePass) aufbewahren.

Möchte ich mich nach der Einrichtung an dem Server (Amazon, gmail, …) anmelden, muss ich wie gewohnt meinem Benutzernamen und Kennwort eingeben. Ist die geschehen, fordert der Server in einem neuen Dialog die 6-stellige Nummer, die die App aktuell generiert. Einige der Apps bieten da auch noch etwas mehr Komfort und Fragen ggf. nur noch, ob die Anmeldung bestätigt werden soll. In diesem Fall besteht zwischen der App und dem Anbieter noch eine zusätzliche Online Verbindung. Auch gibt es bei vielen Anbietern die Möglichkeit bei häufig genutzten Geräten (z.B. dem persönlichen Laptop auf dem man ständig arbeitet) die Angabe des OTP nach einmaliger Eingabe zu verhindern.

Apps für die 2-Faktor Authentifizierung

Ich selber habe die Apps von Microsoft (Microsoft Authenticator) und Google (Google Authenticator) genutzt und war mit beiden auch zufrieden. Mittlerweile nutze ich auch die App “andOTP”.
Neben diesen 3 genannten gibt es noch etliche weitere Apps im jeweililgen App-Store, hier hilft die Suche nach “2-Faktor” weiter.

Arbeitet man wie ich viel am Laptop, wird man relativ schnell anfangen “KeePass” zu nutzen, um seine Kennwörter zu verwalten. Besonders mag ich hier die Möglichkeit der automatischen Anmeldung an einer Login-Oberfläche mittels der automatischen Eingabe durch KeePass. Man öffnet die Anwendung (z.B. Amazon), wechselt in KeePass, sucht den Amazon Eintrag und drückt die Tastenkombination Strg+V. Danach “tippt” KeePass den Benutzernamen, dann die Tab-Taste, das Kennwort und bestätigt mit “Enter”. Somit entfällt die Eingabe des Kennworts. Dies funktioniert natürlich nicht mehr, wenn die Anwendung 2-Faktor Authentifzierung verwendet. Hierfür gibt es aber diverse Plugins für KeePass die alle unter “OTP” auf der KeePass Plugins Seite gelistet sind. Ich verwende hier das Plugin “TrayTOTP“, welches die Erzeugung von Einmalkennwörtern als auch die Erweiterung des “Auto-Type” Mechanismus von KeePass zulässt.

Anwendungen die 2-Faktor Authentifizierung unterstützen

Hier sind alle Anwendungen gelistet, die ich verwende und die eine 2-Faktor Authentifizierung unterstützen. Darüber hinaus gibt es eine Menge mehr Websiten mit 2-Faktor Support. Unter “https://twofactorauth.org” könnt Ihr nach den von euch genutzten Portals suchen.

• Facebook
• Google (Nicht über Apps, sonder via registriertem Handy)
• LinkedIn (nur SMS)
• XING
• Amazon
• Microsoft
• Trello
• eBay (nur SMS)
• WordPress
• Twitter
• Gitea (ein leichtgewichtiger git server)
• Github
• Paypal (nur SMS)
• GOG.COM (nur Mail)

Im Falle von Microsoft, Facebook, Twitter und Google können natürlich auch weitere Websiten über die 2-Faktor Authentifizierung abgesichert werden, wenn diese eine Anmeldung über den jeweiligen Account zulassen.

Zugriff mit weiteren Applikation

Nun gibt es ggf. noch ein Problem. Was ist, wenn ich mit einer Anwendung auf eine Plattform (z.B. facebook) zugreifen will und die Anwendung unterstützt die 2-Faktor Authentifizierung aus verschiedenen Gründen nicht? Für diesen Fall sucht Ihr am besten nach dem Stichwort “App-Password”. Dieses könnt ihr bei allen Anbietern generieren und ist ein relativ langer Key der den direkten Zugriff ohne den zweiten Faktor zulässt. Selbstredend sollte der Einsatz dieser “App-Passwörter”, wenn geht, vermieden werden.

Ich hoffe, ich konnte euch das Thema etwas näher bringen und Ihr startet nun auch damit, eure Anwendungen über die 2-Faktor Authentifizierung abzusichern.