Mittwoch, 05.09.2012

Doppelte Sicherheit - per SMS oder App

Wir haben uns längst daran gewöhnt: Wenn wir uns in einem Onlinedienst anmelden, dann tragen wir Benutzername und Passwort ein. Aber besonders sicher ist das nicht. Denn allzu leicht hat ein Hacker das Passwort geknackt (viele verwenden viel zu simple Passwörter und/oder überall dasselbe). Die Folge: Kriminelle übernehmen ein Onlinekonto, schnüffeln herum oder richten schlimmstenfalls Schaden an.

Aber wie lässt sich dieses leidige Problem in den Griff bekommen? Es mangelt an Ideen und Konzepten, wodurch sich das weit verbreitete Benutzername/Passwort-Prinzip ersetzen ließe. Aber: Es gibt immerhin ein Konzept, wie man das Login-System deutlich sicherer machen kann - und zwar mit der sogenannten Zwei-Wege-Authentifizierung.

Bei der Zwei-Wege-Authentifizierung ist in der Regel das Handy/Smartphone mit im Spiel. Man hinterlegt seine Handynummer beim Onlinedienst und bekommt in bestimmten Situationen einen Code aufs Handy geschickt, wahlweise als SMS oder innerhalb einer App, und muss diesen Code zusätzlich zu Benutzername und Passwort eingeben. Das Plus an Sicherheit ist enorm: Nur wer Benutzername und Passwort kennt und Zugriff aufs Handy hat, kann sich einloggen. Für Hacker im Ausland vollkommen unmöglich. Nur Kriminelle im näheren Umfeld könnten könnten das tatsächlich schaffen.

In der Praxis bedeutet das natürlich etwas mehr Aufwand. Damit man sich nicht jedes Mal mit Benutzername, Passwort und Geheimcode aus dem Handy authentifizieren muss, gehen die meisten Onlinedienste, die bereits Zwei-Wege-Authentifizierung anbieten, so vor: Wenn etwas Ungewöhnliches passiert, zum Beispiel von einem neuen, bislang unbekannten Gerät Griff auf den Onlinedienst erfolgt, fragt das System nicht nur Benutzername und Passwort ab, sondern eben auch noch einen individuellen Geheimcode. Dasselbe, wenn man sich normalerweise aus Deutschland einloggt und dann urplötzlich aus Thailand oder Russland. In solchen Situationen ist von einem unerlaubten Zugriff auszugehen und mehr Sicherheit erforderlich.

Facebook, Google, Dropbox - immer mehr Dienste bieten dies an. Bislang in der Regel nur optional, wenn man sich drum kümmert und es unbedingt so haben will. Zum Beispiel der populäre Cloud-Dienst Dropbox. Hier ist es besonders sinnvoll, weil sich auf diese Weise vermeiden lässt, dass Fremde auf die Dropbox zugreifen - selbst wenn ihnen Benutzername und Passwort in die Hände fällt.

Um die zusätzliche Sicherheit zu aktivieren, muss man sich im Web in seinem Dropbox-Konto anmelden, dann den Bereich "Sicherheit" auswählen, nach unten scrollen und "Two-step verification" anklicken (der Menüpunkt ist noch in Englisch). Hier kann man dann seine Handynummer eintragen und muss sein Handy bestätigen. Am Ende erhält man einen mehrstelligen Code, den man ausdrucken soll - und am besten in die Schublade im Schreibtisch legt. Denn sollte man mal die Handynummer wechseln wollen, braucht man diesen zusätzlichen Sicherheitscode.

Ich kann diesen Aufwand nur dringend empfehlen. Die erste Anmeldung dauert ein paar Sekunden länger, aber eben nur einmal. Und man kann sicher sein, dass Dritte keine Chance haben, auf die Dropbox zuzugreifen. Auch bei den anderen Onlinediensten kostet die SMS (bislang noch) nichts. Teilweise gibt es auch Apps wie den Google Authenticator, der ohne SMS auskommt - und das generierte Passwort gleich im Smartphone anzeigt. Oder man kann sich Einmal-Codes ausdrucken, um etwa an einem fremden Rechner im Ausland auf sein Google-Konto zugreifen zu können, ohne einen Sicherheitscode aufs Handy zu holen - diesen Einmal-Code druckt man aus und nimmt ihn mit. Das grundsätzliche Konzept ist aber dasselbe.