Zweifaktor-Authentisierung :: Wie geht das?

by Volker Weber

728e7bc76b9312dc7d594690e0a5cebf

Anmeldung mit Username und Passwort ist schwierig, weil viele Menschen nicht wissen, welches Passwort wo zu welchem Username gehört. Sie schreiben vielleicht noch das Passwort auf, manchmal auch den Username, aber selten die Ressource, für die das gilt. Deshalb bringe ich den Leuten bei, immer drei Sachen aufzuschreiben. Wo, wer, wie. Wo? icloud. Wer? vowe@vowe.net Wie? Lampeglockepferd82schrubber

Wenn man das nicht macht, dann ist unklar, welches Passwort jetzt für das Postfach und welches für die iCloud gilt. Besser ist es nicht dasselbe.

Mit Zweifaktur-Authentisierung wird das noch mal schwieriger. Das Prinzip heißt "weiß was, hat was". Das "weiß was" haben wir schon geklärt. Aber jetzt brauchen wir einen zweiten Faktor, das "hat was". Ihr habt vielleicht schon diese Einmalpasswort-Generatoren gesehen. SecureID steht da meistens drauf. Alle 30 Sekunden spuckt das Display eine neue Zahlenkombination aus. Wer das Ding nicht hat, kann mit dem "weiß was" nichts anfangen.

Dieses "hat was" kann in verschiedener Weise gelöst werden. Etwa durch "kann eine SMS empfangen". Oder "geht unter dieser Nummer ans Telefon". Alle Accounts, die Zweifaktor anbieten, haben auch einen ganzen Kanon dieser Lösungen. Man kann sich häufig vorab auch eine Liste mit zehn Einmal-Passwörtern ausdrucken und die der Oma geben, die man dann anruft und sich die Zahlen vorlesen lässt.

Ich finde ein Verfahren praktisch: Authenticator App. Diese App macht das Gleiche wie die SecureID, für mehrere Konten gleichzeitig. Microsoft hat eine, Google auch, die meisten Passwort-Speicher auch. Die sind alle interoperabel, weil ein RFC-Standard verwendet wird und lediglich ein Seed Key ausgetauscht wird, aus dem sich unter Kenntnis der genauen Uhrzeit ein Einmal-Passwort berechnen lässt. Und was macht man, wenn das Handy weg ist? Ich kann beliebig viele Authenticator Apps konfigurieren, auf mehreren Geräten. Die zeigen alle stets die selben Einmalpasswörter an. Man muss halt vorher überlegen, was einem so alles passieren könnte.

Es gibt nur eins, was man keinesfalls machen sollte: Auf den zweiten Faktor verzichten. Und ganz dumm ist es, wenn man für einen Passwort Reset nur Zugang zu einem Mailkonto braucht, das nicht mit einem zweiten Faktor gesichert ist. In dem Fall reicht ein einziges Passwort, um ALLE Konten abzugreifen.

Comments

Das mit dem Mailkonto ist so eine Sache. IMAP und POP3 lässt sich in der Regel nicht per zweitem Faktor absichern, sondern funktioniert weiterhin nur mit einem Passwort.
D.h. man bräuchte eigentlich für Passwort Resets ein separates Mailkonto, bei dem man IMAP / POP3 deaktivieren kann (bzw. gar nicht möglich ist).

Manfred Wiktorin, 2019-01-08

Dort verwendet man sogenannte Application Passwords. Das Konto ist mit 2FA gesichert, der Client kriegt ein ganz eigenes Kennwort, das für nichts anderes gilt.

Volker Weber, 2019-01-08

Aber auch das Application Passwort ist nur ein Passwort. Der Angreifer bekommt zwar damit keinen Vollzugriff auf das Konto, aber Emails kann er damit genauso per IMAP abgreifen wie mein eigener Client auch.

Manfred Wiktorin, 2019-01-08

Du wirst dieses Passwort aber nicht wiederverwenden. Und damit klappt der Angriff auf ein anderes Konto eben nicht. Wir machen den Zaun immer so hoch wie wir können, nicht bis in den Himmel.

Volker Weber, 2019-01-08

Ich verwende (und empfehle) seit längerem Authy (https://authy.com), damit man die OTP Token-Generierung auf mehreren Geräten brauchen kann und diese in der Cloud gesichert sind.

Andy Brunner, 2019-01-08

Und im Grunde must Du Dir das Application Passwort auch gar nicht merken, dass man der Client hoffentlich sicher speichern, z.B. per TPM. Das generiert i.a.R. das melde Backend sehr zufällig und komplex.

Die Passwortlisten sind auch gar nicht der wichtigste Weg, passwortgeschützte Können zu kompromittieren - da ist das gute, alte Phishing effektiver, glaube ich (habe aber zugegebenermaßen gerade keine Statistik dazu zur Hand).

Ragnar Schierholz, 2019-01-08

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

Sebastian Botz on IoP – the internet of pets – predictive maintenance of a cat at 12:19
Daniel Kirstenpfad on IoP – the internet of pets – predictive maintenance of a cat at 20:41
Federico Hernandez on IoP – the internet of pets – predictive maintenance of a cat at 13:38
Steffen Nork on Dynamic Theme :: Tapetenwechsel at 12:34
Frank Köhler on Alles gut at 11:05
Ralf-Philipp Weinmann on Samsung Galaxy S10 :: Erste Eindrücke at 05:53
Ralf-Philipp Weinmann on Lenovo vs Apple laptops at 05:25
Volker Weber on Samsung in der Schepp Schachtel at 23:28
Lucius Bobikiewicz on Samsung in der Schepp Schachtel at 19:47
Volker Weber on Samsung in der Schepp Schachtel at 18:46
Jörg Weske on Samsung in der Schepp Schachtel at 18:25
Lucius Bobikiewicz on Samsung in der Schepp Schachtel at 17:44
Johannes Neubrecht on Samsung in der Schepp Schachtel at 16:23
Oliver Regelmann on The Hottest Chat App for Teens Is ... Google Docs :: The Atlantic at 15:47
Rob McDonagh on The Hottest Chat App for Teens Is ... Google Docs :: The Atlantic at 14:46
Gerhard Heeke on Dynamic Theme :: Tapetenwechsel at 10:25
Volker Weber on Dynamic Theme :: Tapetenwechsel at 20:10
Amy Blumenfield on Dynamic Theme :: Tapetenwechsel at 20:06
Volker Weber on Invoxia Triby :: Demnächst in diesem Theater at 16:21
Torben Volkmann on Invoxia Triby :: Demnächst in diesem Theater at 16:20
Volker Weber on You have to learn to live with Apple bugs at 12:00
Mike Hartmann on You have to learn to live with Apple bugs at 11:29
Peter Meuser on Headsets für Skype und Teams at 19:47
Dirk Rose on You have to learn to live with Apple bugs at 10:18
Chris Frei on Invoxia Pet Tracker :: Der Test beginnt at 08:19

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 14:29

visitors.gif

buy me coffee

Paypal vowe