2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.

Artikel von veröffentlicht am
GMX-Konten können nun mit zweitem Faktor abgesichert werden.
GMX-Konten können nun mit zweitem Faktor abgesichert werden. (Bild: GLady)

Als im Januar die persönlichen Daten von zahlreichen Politikern und Prominenten veröffentlicht wurden, empfahlen viele Sicherheitsexperten den Nutzern, die Zwei-Faktor-Authentifizierung (2FA) zu verwenden. Seit dem 5. Juni können auch die rund 18 Millionen GMX-Kunden die Sicherheitstechnik zur Absicherung ihrer E-Mails und Cloud-Daten aktivieren. Haben sie dies getan, müssen sie zusätzlich zu Benutzernamen und Passwort einen sechstelligen Code eingeben. Dieser wird nach dem TOTP-Standard (Time based One Time Password) in einer App oder einem Browser-Addon generiert. Das sicherere Webauthn wird seitens GMX vorerst nicht unterstützt.

Inhalt:
  1. 2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
  2. Zwei-Faktor-Verfahren mit Nachteilen

Der E-Mailanbieter Web.de, der wie GMX zu United Internet gehört, soll Ende Juni ebenfalls Zwei-Faktor-Authentifizierung erhalten.

Möchte ein GMX-Nutzer die neue Zwei-Faktor-Authentifizierung aktivieren, muss er zuerst seine Handynummer angeben und bestätigen. Technisch notwendig ist dies allerdings nicht. "Das ist ein wichtiger Faktor, falls der Kunde seine OTP-App verliert oder das Passwort vergisst", erklärt Christian Schäfer-Lorenz, Leiter technisches Produktmanagement bei GMX und Web.de. Über die Handynummer könne GMX dem Nutzer dann eine Hilfestellung zukommen lassen. Zusätzlich, aber nicht alternativ, lassen sich E-Mail-Adressen bei anderen Anbietern angeben. Die Daten würden nicht zu Werbezwecken verwendet, versichert Schäfer-Lorenz.

Zwei-Faktor-Authentifizierung via TOTP

GMX bietet als zweiten Faktor ausschließlich TOTP an. Bei dem Verfahren kommt ein Schlüssel zum Einsatz, welcher sowohl dem Dienst (also GMX) als auch dem Nutzer bekannt ist. Auf Basis des Schlüssels und der aktuellen Uhrzeit wird alle dreißig Sekunden ein neuer kryptografischer Hash-Wert generiert, aus dem ein sechsstelliger Code abgeleitet wird. Der Nutzer gibt diesen neben Benutzername und Passwort beim Anmeldevorgang ein. Auch der Dienstanbieter generiert den Code auf Basis desselben Schlüssels. Stimmen beide Codes überein, wird der Nutzer angemeldet.

Stellenmarkt
  1. Project Lead (m/w/d)
    SEITENBAU GmbH, Konstanz, remote
  2. Senior Business Analyst*
    IKOR GmbH, deutschlandweit, remote
Detailsuche

Um diesen Code generieren zu können, muss der Nutzer den von GMX generierten Schlüssel mittels QR-Code-Scan, Copy-and-paste oder Abtippen an eine TOTP-App übertragen. GMX selbst bietet keine an, sondern verweist auf die unzähligen bereits vorhandenen Apps, beispielsweise den Google Authenticator, Authy oder den Microsoft Authenticator. Alternativ könnten auch Browser-Plugins verwendet werden, sagt Schäfer-Lorenz.

TOTP kommt in der Branche zwar häufig zum Einsatz, hat aus einer Sicherheitsperspektive jedoch auch seine Schwächen. Neben diesen technischen Schwächen lässt sich bei manchen Diensten zudem die Zwei-Faktor-Authentifizierung leicht zurücksetzen und dadurch umgehen. GMX hat Golem.de erklärt, wie sie mit einem solchen Szenario umgehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zwei-Faktor-Verfahren mit Nachteilen 
  1. 1
  2. 2
  3.  


gaga2 29. Mär 2022

Muss man nicht für Imap i.d.R. Anwendungsbezogene Passwörter generieren? (sofern 2...

randya99 05. Jun 2019

Für den Client musst du nicht wechseln. Das ist doch gerade das gute an E-Mail. Imho ist...

randya99 05. Jun 2019

Dort kann man die STARTTLS Missgeburt deaktivieren (ok gibt es bei GMX nicht) und den...

AllDayPiano 05. Jun 2019

Chiptan ist unterwegs halt echt doof. Per RFID der Bankkarte könnte man das noch etwas...



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Elektroauto: Mercedes passt EQA-Preise an
    Elektroauto
    Mercedes passt EQA-Preise an

    Mercedes erhöht den Preis für das Elektroauto EQA 250 und macht den EQA 250+ günstiger.

  2. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  3. Öffentlicher Nahverkehr: Linkspartei will 9-Euro-Ticket bis Ende 2022
    Öffentlicher Nahverkehr
    Linkspartei will 9-Euro-Ticket bis Ende 2022

    Die Linkspartei fordert eine längere Laufzeit für das 9-Euro-Ticket. Es solle mindestens bis Ende 2022 gelten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€, Kingston Fury DDR5-4800 32GB 195€) • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar [Werbung]
    •  /