• IT-Karriere:
  • Services:

Zwei-Faktor-Verfahren mit Nachteilen

Voraussetzung für alle beteiligten Geräte ist, dass sie eine relativ genaue Uhrzeit verwenden. Weicht die Uhrzeit zu stark ab, werden nicht die aktuellen TOTP-Codes generiert. Die meisten Smartphones synchronisieren ihre Uhrzeit automatisch, entsprechend dürfte dies nur selten zum Problem werden.

Stellenmarkt
  1. Stadt Ludwigsburg, Ludwigsburg
  2. Standard Life Versicherung, Frankfurt am Main

Das TOTP-Verfahren hat allerdings weitere Schwächen. Kennt ein Dritter den Schlüssel, kann auch dieser die 2FA-Codes erzeugen. Zudem ist das Verfahren nicht Phishing-resistent. TOTP erschwert Phishing zwar, macht es aber nicht unmöglich. Gibt ein Nutzer beispielsweise seine Zugangsdaten sowie den TOTP-Code auf einer Phishingwebseite ein, kann diese das kleine TOTP-Zeitfenster nutzen, um sich mit den Daten bei dem eigentlichen Dienst einzuloggen. Mit der Software Modlishka kann das Verfahren beispielsweise für Google-Dienste automatisiert werden und sich so auch trotz des zweiten Faktors mit Hilfe von Phishing Zugang zu den Nutzerdaten verschafft werden. Die sicherere Alternative Webauthn ist durch Public-Key-Kryptografie vor solchen Angriffen geschützt. "Webauthn schauen wir uns zurzeit an", sagt Schäfer-Lorenz. Konkrete Pläne gebe es derzeit aber noch nicht.

Zwei-Faktor-Authentifizierung zurücksetzen

Ein kritischer Punkt bei der Implementiertung ist die 2FA- bzw. Passwort-zurücksetzen-Funktion, die auch von Angreifern missbraucht werden kann. Beispielsweise konnte der Politiker-Hacker 0rbit ein Twitter-Konto trotz Zwei-Faktor-Authentifizierung übernehmen, indem er den Twitter-Support dazu überredete, eben jene Sicherheitsfunktion auszuschalten.

GMX erzeugt bei der Einrichtung einen "Geheimschlüssel". Im Notfall kann der Nutzer den Geheimschlüssel über einen Recovery-Link, der ihm per SMS oder an eine hinterlegte E-Mail-Adresse geschickt wird, eingeben und die Zwei-Faktor-Authentifizierung zurücksetzen. Entsprechend sicher sollte der Geheimschlüssel verwahrt werden.

"Wenn wirklich alle Stricke reißen, gibt es auch die Möglichkeit, die hinterlegte Postadresse mit dem Personalausweis abzugleichen und dem Kunden einen neuen Geheimschlüssel per Brief zu schicken", sagt Schäfer-Lorenz. Sind die entsprechenden Daten bei GMX nicht oder falsch hinterlegt, könne kein Zugang zum Konto gewährt werden - aus Sicherheitsgründen. Ein Fall wie bei Twitter dürfe nicht passieren. "Sonst kann man das mit der Zwei-Faktor-Authentifizierung auch gleich sein lassen", kommentiert Schäfer-Lorenz.

Anwendungsspezifisches Passwort statt 2FA für IMAP

Nutzer von Mailprogrammen wie Thunderbird oder Outlook können derzeit keine Zwei-Faktor-Authentifizierung benutzen. Die verwendeten Protokolle IMAP, POP3 und SMTP unterstützen dies schlicht nicht. Wie viele andere Mailanbieter, die Zwei-Faktor-Authentifizierung anbieten, löst GMX dies durch anwendungsspezifische Passwörter. Diese können in der Weboberfläche von GMX generiert werden und ermöglichen Mailprogrammen einen Zugriff auf das Postfach ohne zweiten Faktor. "Wer Wert darauf legt, immer einen zweiten Faktor zu verwenden, sollte unsere Apps und Webmail verwenden", sagt Schäfer-Lorenz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Speedlink Orios RGB Metal Rubberdome Gaming-Tastatur für 25€, Speedlink Reticos RGB...
  2. 78,90€
  3. 48,39€
  4. (u. a. Apacer AS340 120GB SATA-SSD für 19,99€, Apacer AS350 256GB SATA-SSD für 28,99€, Tefal...

kayozz 05. Jun 2019

Danke. Ich nutze bisher den Google Authenticator, aber das scheint eine nette...

randya99 05. Jun 2019

Für den Client musst du nicht wechseln. Das ist doch gerade das gute an E-Mail. Imho ist...

randya99 05. Jun 2019

Dort kann man die STARTTLS Missgeburt deaktivieren (ok gibt es bei GMX nicht) und den...

AllDayPiano 05. Jun 2019

Chiptan ist unterwegs halt echt doof. Per RFID der Bankkarte könnte man das noch etwas...

Fotobar 05. Jun 2019

Als Trash-Adresse reicht dieser Saftladen von 1&1 allemal :D


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /