Zweifaktor-Authentisierung :: Wie geht das?

by Volker Weber

728e7bc76b9312dc7d594690e0a5cebf

Anmeldung mit Username und Passwort ist schwierig, weil viele Menschen nicht wissen, welches Passwort wo zu welchem Username gehört. Sie schreiben vielleicht noch das Passwort auf, manchmal auch den Username, aber selten die Ressource, für die das gilt. Deshalb bringe ich den Leuten bei, immer drei Sachen aufzuschreiben. Wo, wer, wie. Wo? icloud. Wer? vowe@vowe.net Wie? Lampeglockepferd82schrubber

Wenn man das nicht macht, dann ist unklar, welches Passwort jetzt für das Postfach und welches für die iCloud gilt. Besser ist es nicht dasselbe.

Mit Zweifaktur-Authentisierung wird das noch mal schwieriger. Das Prinzip heißt "weiß was, hat was". Das "weiß was" haben wir schon geklärt. Aber jetzt brauchen wir einen zweiten Faktor, das "hat was". Ihr habt vielleicht schon diese Einmalpasswort-Generatoren gesehen. SecureID steht da meistens drauf. Alle 30 Sekunden spuckt das Display eine neue Zahlenkombination aus. Wer das Ding nicht hat, kann mit dem "weiß was" nichts anfangen.

Dieses "hat was" kann in verschiedener Weise gelöst werden. Etwa durch "kann eine SMS empfangen". Oder "geht unter dieser Nummer ans Telefon". Alle Accounts, die Zweifaktor anbieten, haben auch einen ganzen Kanon dieser Lösungen. Man kann sich häufig vorab auch eine Liste mit zehn Einmal-Passwörtern ausdrucken und die der Oma geben, die man dann anruft und sich die Zahlen vorlesen lässt.

Ich finde ein Verfahren praktisch: Authenticator App. Diese App macht das Gleiche wie die SecureID, für mehrere Konten gleichzeitig. Microsoft hat eine, Google auch, die meisten Passwort-Speicher auch. Die sind alle interoperabel, weil ein RFC-Standard verwendet wird und lediglich ein Seed Key ausgetauscht wird, aus dem sich unter Kenntnis der genauen Uhrzeit ein Einmal-Passwort berechnen lässt. Und was macht man, wenn das Handy weg ist? Ich kann beliebig viele Authenticator Apps konfigurieren, auf mehreren Geräten. Die zeigen alle stets die selben Einmalpasswörter an. Man muss halt vorher überlegen, was einem so alles passieren könnte.

Es gibt nur eins, was man keinesfalls machen sollte: Auf den zweiten Faktor verzichten. Und ganz dumm ist es, wenn man für einen Passwort Reset nur Zugang zu einem Mailkonto braucht, das nicht mit einem zweiten Faktor gesichert ist. In dem Fall reicht ein einziges Passwort, um ALLE Konten abzugreifen.

Comments

Das mit dem Mailkonto ist so eine Sache. IMAP und POP3 lässt sich in der Regel nicht per zweitem Faktor absichern, sondern funktioniert weiterhin nur mit einem Passwort.
D.h. man bräuchte eigentlich für Passwort Resets ein separates Mailkonto, bei dem man IMAP / POP3 deaktivieren kann (bzw. gar nicht möglich ist).

Manfred Wiktorin, 2019-01-08

Dort verwendet man sogenannte Application Passwords. Das Konto ist mit 2FA gesichert, der Client kriegt ein ganz eigenes Kennwort, das für nichts anderes gilt.

Volker Weber, 2019-01-08

Aber auch das Application Passwort ist nur ein Passwort. Der Angreifer bekommt zwar damit keinen Vollzugriff auf das Konto, aber Emails kann er damit genauso per IMAP abgreifen wie mein eigener Client auch.

Manfred Wiktorin, 2019-01-08

Du wirst dieses Passwort aber nicht wiederverwenden. Und damit klappt der Angriff auf ein anderes Konto eben nicht. Wir machen den Zaun immer so hoch wie wir können, nicht bis in den Himmel.

Volker Weber, 2019-01-08

Ich verwende (und empfehle) seit längerem Authy (https://authy.com), damit man die OTP Token-Generierung auf mehreren Geräten brauchen kann und diese in der Cloud gesichert sind.

Andy Brunner, 2019-01-08

Und im Grunde must Du Dir das Application Passwort auch gar nicht merken, dass man der Client hoffentlich sicher speichern, z.B. per TPM. Das generiert i.a.R. das melde Backend sehr zufällig und komplex.

Die Passwortlisten sind auch gar nicht der wichtigste Weg, passwortgeschützte Können zu kompromittieren - da ist das gute, alte Phishing effektiver, glaube ich (habe aber zugegebenermaßen gerade keine Statistik dazu zur Hand).

Ragnar Schierholz, 2019-01-08

Old vowe.net archive pages

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Paypal vowe