Abo
  • IT-Karriere:

Zwei-Faktor-Verfahren mit Nachteilen

Voraussetzung für alle beteiligten Geräte ist, dass sie eine relativ genaue Uhrzeit verwenden. Weicht die Uhrzeit zu stark ab, werden nicht die aktuellen TOTP-Codes generiert. Die meisten Smartphones synchronisieren ihre Uhrzeit automatisch, entsprechend dürfte dies nur selten zum Problem werden.

Stellenmarkt
  1. Tönnies Lebensmittel GmbH & Co. KG, Rheda-Wiedenbrück
  2. afb Application Services AG, München

Das TOTP-Verfahren hat allerdings weitere Schwächen. Kennt ein Dritter den Schlüssel, kann auch dieser die 2FA-Codes erzeugen. Zudem ist das Verfahren nicht Phishing-resistent. TOTP erschwert Phishing zwar, macht es aber nicht unmöglich. Gibt ein Nutzer beispielsweise seine Zugangsdaten sowie den TOTP-Code auf einer Phishingwebseite ein, kann diese das kleine TOTP-Zeitfenster nutzen, um sich mit den Daten bei dem eigentlichen Dienst einzuloggen. Mit der Software Modlishka kann das Verfahren beispielsweise für Google-Dienste automatisiert werden und sich so auch trotz des zweiten Faktors mit Hilfe von Phishing Zugang zu den Nutzerdaten verschafft werden. Die sicherere Alternative Webauthn ist durch Public-Key-Kryptografie vor solchen Angriffen geschützt. "Webauthn schauen wir uns zurzeit an", sagt Schäfer-Lorenz. Konkrete Pläne gebe es derzeit aber noch nicht.

Zwei-Faktor-Authentifizierung zurücksetzen

Ein kritischer Punkt bei der Implementiertung ist die 2FA- bzw. Passwort-zurücksetzen-Funktion, die auch von Angreifern missbraucht werden kann. Beispielsweise konnte der Politiker-Hacker 0rbit ein Twitter-Konto trotz Zwei-Faktor-Authentifizierung übernehmen, indem er den Twitter-Support dazu überredete, eben jene Sicherheitsfunktion auszuschalten.

GMX erzeugt bei der Einrichtung einen "Geheimschlüssel". Im Notfall kann der Nutzer den Geheimschlüssel über einen Recovery-Link, der ihm per SMS oder an eine hinterlegte E-Mail-Adresse geschickt wird, eingeben und die Zwei-Faktor-Authentifizierung zurücksetzen. Entsprechend sicher sollte der Geheimschlüssel verwahrt werden.

"Wenn wirklich alle Stricke reißen, gibt es auch die Möglichkeit, die hinterlegte Postadresse mit dem Personalausweis abzugleichen und dem Kunden einen neuen Geheimschlüssel per Brief zu schicken", sagt Schäfer-Lorenz. Sind die entsprechenden Daten bei GMX nicht oder falsch hinterlegt, könne kein Zugang zum Konto gewährt werden - aus Sicherheitsgründen. Ein Fall wie bei Twitter dürfe nicht passieren. "Sonst kann man das mit der Zwei-Faktor-Authentifizierung auch gleich sein lassen", kommentiert Schäfer-Lorenz.

Anwendungsspezifisches Passwort statt 2FA für IMAP

Nutzer von Mailprogrammen wie Thunderbird oder Outlook können derzeit keine Zwei-Faktor-Authentifizierung benutzen. Die verwendeten Protokolle IMAP, POP3 und SMTP unterstützen dies schlicht nicht. Wie viele andere Mailanbieter, die Zwei-Faktor-Authentifizierung anbieten, löst GMX dies durch anwendungsspezifische Passwörter. Diese können in der Weboberfläche von GMX generiert werden und ermöglichen Mailprogrammen einen Zugriff auf das Postfach ohne zweiten Faktor. "Wer Wert darauf legt, immer einen zweiten Faktor zu verwenden, sollte unsere Apps und Webmail verwenden", sagt Schäfer-Lorenz.

 2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
  1.  
  2. 1
  3. 2
Zu den Kommentaren springen
Meistgelesen
  1. CO2
    Wie Kohlebergwerke zum Klimaschutz beitragen können
  2. IT-Fachkräftemangel
    Arbeit ohne Ende
  3. Funk Unlimited
    Freenet kündigt Kunden mit hohem Datenverbrauch
  4. 5G-Media Initiative
    Fernsehen über 5G geht nicht einfach über das Mobilfunknetz
  5. IT-Standorte
    Wie kann Leipzig Hypezig bleiben?
Anzeige
Spiele-Angebote
  2. 4,99€
  3. 4,99€
  4. 4,19€
Kommentarübersicht
Re: 2FA wird überbewertet
kayozz 05. Jun 2019 / Themenstart

Danke. Ich nutze bisher den Google Authenticator, aber das scheint eine nette...

Re: OT: Empfehlung für Mailprovider?
randya99 05. Jun 2019 / Themenstart

Für den Client musst du nicht wechseln. Das ist doch gerade das gute an E-Mail. Imho ist...

Eigener Mailserver bzw. sichere Praktiken...
randya99 05. Jun 2019 / Themenstart

Dort kann man die STARTTLS Missgeburt deaktivieren (ok gibt es bei GMX nicht) und den...

Re: Ab Semptember auch beim Online Banking!
AllDayPiano 05. Jun 2019 / Themenstart

Chiptan ist unterwegs halt echt doof. Per RFID der Bankkarte könnte man das noch etwas...

Re: Technisch war GMX ja immer ein wenig...
Fotobar 05. Jun 2019 / Themenstart

Als Trash-Adresse reicht dieser Saftladen von 1&1 allemal :D

Kommentieren

Folgen Sie uns
       
Akku-Recycling bei Duesenfeld

Das Unternehmen Duesenfeld aus Peine hat ein Verfahren für das Recycling von Elektroauto-Akkus entwickelt.

Akku-Recycling bei Duesenfeld Video aufrufen
Elektroauto
CO2-Emissionen und Lithium: Ist das Elektroauto wirklich ein Irrweg?
CO2-Emissionen und Lithium
Ist das Elektroauto wirklich ein Irrweg?

In den vergangenen Monaten ist die Kritik an batteriebetriebenen Elektroautos stärker geworden. Golem.de hat sich die Argumente der vielen Kritiker zur CO2-Bilanz und zum Rohstoff-Abbau einmal genauer angeschaut.
Eine Analyse von Friedhelm Greis

  1. Reichweitenangst Mit dem E-Auto von China nach Deutschland
  2. Ari 458 Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
  3. Nobe 100 Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand
Razer Blade
Razer Blade 15 Advanced im Test: Treffen der Generationen
Razer Blade 15 Advanced im Test
Treffen der Generationen

Auf den ersten Blick ähneln sich das neue und das ein Jahr alte Razer Blade 15: Beide setzen auf ein identisches erstklassiges Chassis. Der größte Vorteil des neuen Modells sind aber nicht offensichtliche Argumente - sondern das, was drinnen steckt.
Ein Test von Oliver Nickel

  1. Blade 15 Advanced Razer packt RTX 2080 und OLED-Panel in 15-Zöller
  2. Blade Stealth (2019) Razer packt Geforce MX150 in 13-Zoll-Ultrabook
Ricoh
Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /