In diesem Artikel geht es darum, dass wir unsere Online-Accounts gut absichern, damit Angreifer keine Chance haben uns den Zugang zu stehlen.
Passwörter sind nicht genug
Ich fange mit dem lästigen Thema der Passwörter… Immer vergisst man die und findet nicht wieder. Und dann müssen die noch sicher sein, sich nicht wiederholen… Ich habe mich schon lange für einen Passwort-Manager entschieden (Strongbox in meinem Fall). Lasse mir dort die Passwörter erzeugen und speichern. Trotzdem könnte es passieren, dass jemand mein Password bei der Eingabe abfängt, mir eine „Fake-Seite“ unterjubelt und ich auf den Trick reinfalle. Und hat jemand erst das Passwort, werde ich auch den Account verlieren. Je nach Account könnte mir der Verlust sogar Geld kosten. Ein Identitätsdiebstahl ist eine sehr unangenehme Sache, die die ganze Welt der Person auf den Kopf stellt. Es gibt beim Absichern der Account jedoch einen weiteren Trick: Benutzung eines zweiten Faktors, der meine Identität bestätigt. Dann ist es auch weniger schlimm, wenn das Passwort an sich unsicher ist.
Mehr Sicherheit mit 2FA
Eine mögliche Lösung, um meine Accounts abzusichern: 2FA, Zwei-Faktor-Authentifizierung. Wir kennen alle die Bestätigung mit einem zweiten Faktor aus dem Online-Banking: Manchmal bekommt man eine SMS, manchmal muss man die App der Bank nutzen, um beim Einloggen in das Online-Konto die Identität zu bestätigen.
Der erste Faktor bleibt: Etwas, was ich weiß, nämlich der Benutzername und das zugehörige Passwort. Hinzu kommt der zweite Faktor: Etwas, was ich habe. Das kann bei SMS oder Apps eben das Smartphone sein. Allerdings kann das Smartphone kompromittiert sein und so ist auch der zwei Faktor dem Angreifer zugänglich. Außerdem geht bei Verlust des Smartphones auch der Zugriff auf die Apps verloren, wo der zweite Faktor (ein Code) angezeigt wurde. Und so ist die Nutzung des Smartphones als zweiten Faktor zwar kostengünstig, es gibt jedoch eine sicherere Alternative: Ein Sicherheitsschlüssel.
YubiKey
So ein Sicherheitsschlüssel, zum Beispiel der YubiKey der Firma Yubico, ist ein kleiner USB-Stick, der die Zugangscodes generiert (die, die im Beispiel davor das Smartphone angezeigt hat). Der Vorteil so eines Schlüssels ist die hohe Sicherheit, denn nur der Besitzer des Schlüssels kann Codes generieren. Ein Angreifer aus dem Internet kann den Schlüssel nicht kompromittieren. Allerdings führt auch hier der Verlust des Sicherheitsschlüssels dazu, dass man auf die Codes nicht zugreifen kann. Daher empfiehlt sich ein Backup-Schlüssel, den man sicher aufbewahrt.
Wenn man den YubiKey am PC oder Smartphone betreibt, zeigt die von Yubico bereitgestellte App „Yubico Authenticator“ die von dem YubiKey generierten Codes an. Diese erfragt die Seite oder App, in die man sich einloggen will, nach der Eingabe des Passworts. Nur wenn man den Schlüssel hat, kann man Codes generieren. Und nur mit dem Code auf den jeweiligen Account zugreifen. Der Angreifer muss nun neben dem Passwort auch noch den Schlüssel aus der Tasche klauen, was bei Angriffen über das Internet eine ziemlich hohe Hürde darstellen dürfte.
Ein YubiKey kommt selten allein
Da sich die YubiKeys nicht kopieren lassen (was sie auch sicher macht), kann man nicht einfach ein Backup des Keys anlegen. Und sollte man den Key verlieren, hat man keinen Zugriff mehr auf die Generierung des zweiten Faktors und damit auf die Accounts. Daher empfiehlt es sich beide Schlüssel in den Accounts anzulernen. Mehr dazu direkt von Yubico: https://www.yubico.com/spare/
* = Affiliate-Links
Schreibe einen Kommentar