Ein kompliziertes Wort für eine einfache Sache. Unter Zweifaktor-Authentifizierung versteht man, dass zum Anmelden in einem Benutzerkonto nicht nur Benutzername und Passwort notwendig sind (etwas, das man weiß) sondern auch noch etwas, das man hat, etwa das Smartphone. Wenn man Benutzername und Passwort eingegeben hat, generiert das Smartphone zusätzlich einen Code, der für kurze Zeit gültig ist. Wer das Smartphone nicht in Händen hält, bekommt keinen Code und kann sich nicht anmelden.

Viele Dienste wie GMail, Facebook, Dropbox, etc bieten die Möglichkeit, diese Sicherheitsfunktion zu verwenden. Die Einrichtung ist für jeden Dienst unterschiedlich aber nicht schwierig. Für einige will ich hier die Vorgehensweise beschreiben.

Warum?

Vorsicht schützt zwar gegen Passwortklau, in einigen Situationen kann man dennoch unbeabsichtigt Opfer werden:

  • Ein Computer ist mit einem Virus oder Trojaner infiziert – bei Freunden, im Copy-Shop, an der Uni, im Internet-Café oder der eigene. Oft schneidet Schadsoftware Benutzernamen und Passwörter mit.
  • Man hat ein Konto auf einer Internet-Seite und beim Anbieter wird virtuell eingebrochen, die Passwörter werden geklaut. Wer das gleiche Passwort für die Mailadresse verwendet, gibt damit auch diese preis.
  • Eine Sicherheitslücke im Webbrowser oder sonstigen Programmen wird ausgenutzt und die Passwörter werden direkt vom Computer geklaut.

Hier schützt dann die Zweifaktor-Authentifizierung. Ein Angreifer kann zwar Benutzername und Passwort wissen, ihm fehlt aber das Smartphone, das Codes generiert.

Einrichtung

App

Grundvoraussetzung ist eine App:

Google Authenticator für Android, iOS und Windows.

Google Authenticator ist eine Open Source-App, mit der die meisten Dienste kompatibel sind. Zunächst genügt es, sie zu installieren, die Einrichtung wird im folgenden beschrieben.

Dienste

Die Anmeldung mit Google Authenticator muss für jeden Dienst eigens aktiviert werden. Ich beschreibe hier drei der wichtigsten Dienste:

Google Mail

Für viele ist Google Mail der Schlüssel zum digitalen Leben – E-Mails laufen darüber (und damit die Passwort-Zurücksetzen-Funktion der meisten anderen Dienste) aber auch Kalender, Adressbuch, das Android-Handy, etc. Dieses Konto mit Zweifaktor-Authentifizierung zu schützen ist äußerst wichtig.

aktivieren

In den Sicherheitseinstellungen des Google-Accounts findet sich die Möglichkeit, die Bestätigung in zwei Schritten zu aktivieren:

Klickt man auf Einrichten und bestätigt im nächsten Schritt über den blauen Knopf, wird man nach einer Rufnummer gefragt, an die per SMS oder Sprachanruf ein Code geschickt wird, der bestätigt werden muss. Dadurch wird sichergestellt, dass die Nummer funktioniert und man sich nicht selbst aus dem Konto aussperrt. Hat man im zweiten Schritt den erhaltenen Code eingegeben, kann man im dritten Schritt den aktuell verwendeten Computer als vertrauenswürdig definieren, damit man nur alle 30 Tage und nicht bei jedem Anmelden einen Code angeben muss.

Authenticator-App einrichten

Theoretisch wäre man an dieser Stelle bereits fertig – bei jedem Anmelden erhält man nun von Google eine SMS oder einen automatischen Anruf mit einem Code, der zusätzlich zu Benutzername und Passwort einzugeben ist. Noch etwas praktischer ist die Verwendung der Authenticator-App. Dazu kann im Einstellungsbereich für die Bestätigung in zwei Schritten auf den Knopf Zur App wechseln geklickt werden:

Im Dialog wählt man sein Smartphone-Modell und klickt auf Weiter.

Man startet die Google-Authenticator - App und öffnet dort das Menü. Der Menüpunkt Konto einrichten bietet die bequeme Möglichkeit, zur Einrichtung einen Barcode zu scannen. Man richtet das Smartphone auf den Bildschirm und fotografiert den angezeigten Barcode. Hat alles geklappt, erscheint im Smartphone eine Zeile mit einer sechsstelligen Zahl und einer kleinen blauen Uhr, welche die Zeit bis zum Ablauf des Codes anzeigt.

Diesen Code muss man auf der Google-Seite zur Bestätigung eingeben. Ab sofort ist für jede Anmeldung bei GMail der vom Smartphone generierte Code notwendig.

Facebook

Für viele Menschen das soziale Zentrum im Internet; hier kann viel zwischenmenschlicher Schaden angerichtet werden! Der Schutz lohnt sich also auch hier.

aktivieren

Auch Facebook hat ein Zentrum für Sicherheitseinstellungen. Hier klickt man auf Bearbeiten neben den Anmeldebestätigungen:

Hat man den Haken gesetzt, bestätigt man noch die Dialoge. Facebook fordert dazu auf, die offizielle Facebook-App auf dem Smartphone aufzurufen und dort den Code-Generator zu verwenden. Das funktioniert natürlich; wer die App nicht verwendet oder lieber alle Codes an einem Ort (dem Google-Authenticator) hat, kann auf Du hast Probleme klicken. Hier hat man die Möglichkeit, einen Schlüssel anzufordern, den man im Authenticator eingeben kann. Dazu startet man wieder die App, wählt im Menü wieder Konto einrichten und dort Schlüssel eingeben.

Man gibt als Kontonamen etwa Facebook und darunter den im Webbrowser angezeigten Code ein. Hat man den Schlüssel eingegeben, erhält man wieder eine neue Zeile mit einem Code, den man direkt bei Facebook zur Bestätigung angeben muss. Hat das geklappt, ist ab sofort die Anmeldebestätigung auch für Facebook aktiviert. Einmal bestätigte und gespeicherte Rechner müssen in Zukunft nicht mehr bestätigt werden.

Dropbox

Dropbox ist praktisch zum Sichern und Teilen von Dokumenten, Bildern und sonstigen Dateien des persönlichen und geschäftlichen Lebens. Ein idealer Kandidat, den es besonders zu sichern gilt!

aktivieren

Für Dropbox muss man die Konto-Einstellungen im Bereich Sicherheit öffnen.

Unter Zweistufige Überprüfung klickt man auf Aktivieren, dort dann auf Erste Schritte. Als nächstes muss man zur Sicherheit das Passwort eingeben. Im nächsten Schritt kann man schon über eine mobile App wählen. Im Google Authenticator wählt man wieder im Menü Konto einrichten und scannt den angezeigten Barcode. Nach einem Klick auf Weiter muss man einen Code für Dropbox im Webbrowser zur Bestätigung eingeben. Hat das geklappt, kann man für den Fall der Fälle eine Handynummer als Ersatz für die App hinterlegen und sich im nächsten Schritt den geheimen Schlüssel notieren. Nach Klick auf Zweistufige Überprüfung aktivieren ist man fertig und neue Anmeldungen in der Dropbox benötigen ebenfalls den Code vom Smartphone.

Weitere Dienste

Neben diesen drei sehr zentralen Diensten bieten auch noch viele andere die sichere Anmeldung mit Hilfe von Zweifaktor-Authentifizierung an, darunter: