Zweifaktor-Authentisierung :: Wie geht das?

by Volker Weber

728e7bc76b9312dc7d594690e0a5cebf

Anmeldung mit Username und Passwort ist schwierig, weil viele Menschen nicht wissen, welches Passwort wo zu welchem Username gehört. Sie schreiben vielleicht noch das Passwort auf, manchmal auch den Username, aber selten die Ressource, für die das gilt. Deshalb bringe ich den Leuten bei, immer drei Sachen aufzuschreiben. Wo, wer, wie. Wo? icloud. Wer? vowe@vowe.net Wie? Lampeglockepferd82schrubber

Wenn man das nicht macht, dann ist unklar, welches Passwort jetzt für das Postfach und welches für die iCloud gilt. Besser ist es nicht dasselbe.

Mit Zweifaktur-Authentisierung wird das noch mal schwieriger. Das Prinzip heißt "weiß was, hat was". Das "weiß was" haben wir schon geklärt. Aber jetzt brauchen wir einen zweiten Faktor, das "hat was". Ihr habt vielleicht schon diese Einmalpasswort-Generatoren gesehen. SecureID steht da meistens drauf. Alle 30 Sekunden spuckt das Display eine neue Zahlenkombination aus. Wer das Ding nicht hat, kann mit dem "weiß was" nichts anfangen.

Dieses "hat was" kann in verschiedener Weise gelöst werden. Etwa durch "kann eine SMS empfangen". Oder "geht unter dieser Nummer ans Telefon". Alle Accounts, die Zweifaktor anbieten, haben auch einen ganzen Kanon dieser Lösungen. Man kann sich häufig vorab auch eine Liste mit zehn Einmal-Passwörtern ausdrucken und die der Oma geben, die man dann anruft und sich die Zahlen vorlesen lässt.

Ich finde ein Verfahren praktisch: Authenticator App. Diese App macht das Gleiche wie die SecureID, für mehrere Konten gleichzeitig. Microsoft hat eine, Google auch, die meisten Passwort-Speicher auch. Die sind alle interoperabel, weil ein RFC-Standard verwendet wird und lediglich ein Seed Key ausgetauscht wird, aus dem sich unter Kenntnis der genauen Uhrzeit ein Einmal-Passwort berechnen lässt. Und was macht man, wenn das Handy weg ist? Ich kann beliebig viele Authenticator Apps konfigurieren, auf mehreren Geräten. Die zeigen alle stets die selben Einmalpasswörter an. Man muss halt vorher überlegen, was einem so alles passieren könnte.

Es gibt nur eins, was man keinesfalls machen sollte: Auf den zweiten Faktor verzichten. Und ganz dumm ist es, wenn man für einen Passwort Reset nur Zugang zu einem Mailkonto braucht, das nicht mit einem zweiten Faktor gesichert ist. In dem Fall reicht ein einziges Passwort, um ALLE Konten abzugreifen.

Comments

Das mit dem Mailkonto ist so eine Sache. IMAP und POP3 lässt sich in der Regel nicht per zweitem Faktor absichern, sondern funktioniert weiterhin nur mit einem Passwort.
D.h. man bräuchte eigentlich für Passwort Resets ein separates Mailkonto, bei dem man IMAP / POP3 deaktivieren kann (bzw. gar nicht möglich ist).

Manfred Wiktorin, 2019-01-08

Dort verwendet man sogenannte Application Passwords. Das Konto ist mit 2FA gesichert, der Client kriegt ein ganz eigenes Kennwort, das für nichts anderes gilt.

Volker Weber, 2019-01-08

Aber auch das Application Passwort ist nur ein Passwort. Der Angreifer bekommt zwar damit keinen Vollzugriff auf das Konto, aber Emails kann er damit genauso per IMAP abgreifen wie mein eigener Client auch.

Manfred Wiktorin, 2019-01-08

Du wirst dieses Passwort aber nicht wiederverwenden. Und damit klappt der Angriff auf ein anderes Konto eben nicht. Wir machen den Zaun immer so hoch wie wir können, nicht bis in den Himmel.

Volker Weber, 2019-01-08

Ich verwende (und empfehle) seit längerem Authy (https://authy.com), damit man die OTP Token-Generierung auf mehreren Geräten brauchen kann und diese in der Cloud gesichert sind.

Andy Brunner, 2019-01-08

Und im Grunde must Du Dir das Application Passwort auch gar nicht merken, dass man der Client hoffentlich sicher speichern, z.B. per TPM. Das generiert i.a.R. das melde Backend sehr zufällig und komplex.

Die Passwortlisten sind auch gar nicht der wichtigste Weg, passwortgeschützte Können zu kompromittieren - da ist das gute, alte Phishing effektiver, glaube ich (habe aber zugegebenermaßen gerade keine Statistik dazu zur Hand).

Ragnar Schierholz, 2019-01-08

Recent comments

Roland Dressler on How to make boring software look sexy :: Exhibit 1 Microsoft at 13:13
Hubert Stettner on May Android Updates :: Samsung wins again at 12:40
Hubert Stettner on How to make boring software look sexy :: Exhibit 1 Microsoft at 12:39
David Guillaume on May Android Updates :: Samsung wins again at 12:03
Lars Berntrop-Bos on May Android Updates :: Samsung wins again at 11:54
Martin Kautz on Externe SSD mit USB-C für aktuell 88 Euro at 11:07
Volker Weber on May Android Updates :: Samsung wins again at 10:36
Felix Kluge on May Android Updates :: Samsung wins again at 10:35
Thomas Cloer on Vipp 501 :: From my inbox at 10:12
Manfred Wiktorin on satellite für Android ist fertig at 10:05
Markus Heyl on Typ-2-Diabetes lässt sich wohl wieder zurückdrängen #dontbreakthechain at 09:51
Volker Weber on satellite für Android ist fertig at 09:44
Dirk Hagedorn on satellite für Android ist fertig at 09:43
Sami Bahri on No Limits at 07:12
Nick Coenen on No Limits at 02:58
Robert Schneider on Typ-2-Diabetes lässt sich wohl wieder zurückdrängen #dontbreakthechain at 18:28
Armin Grewe on Yancey Strickler :: The Internet is Becoming a Dark Forest at 17:44
Till Nachtmann on Yancey Strickler :: The Internet is Becoming a Dark Forest at 16:33
Volker Weber on Yancey Strickler :: The Internet is Becoming a Dark Forest at 15:22
Volker Weber on If you build barriers, people will build around you. If you are lucky. at 15:07
Armin Grewe on Yancey Strickler :: The Internet is Becoming a Dark Forest at 11:28
Theo Heselmans on If you build barriers, people will build around you. If you are lucky. at 11:13
Tim Oliver Spielmann on Ladeprobleme mit dem Apple Smart Battery Case at 09:00
Maikel Maes on Externe SSD mit USB-C für aktuell 88 Euro at 00:38
Volker Weber on Yet another butterfly for Apple at 20:58

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 14:57

visitors.gif

buy me coffee

Paypal vowe