• IT-Karriere:
  • Services:

2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.

Artikel von veröffentlicht am
GMX-Konten können nun mit zweitem Faktor abgesichert werden.
GMX-Konten können nun mit zweitem Faktor abgesichert werden. (Bild: GLady)

Als im Januar die persönlichen Daten von zahlreichen Politikern und Prominenten veröffentlicht wurden, empfahlen viele Sicherheitsexperten den Nutzern, die Zwei-Faktor-Authentifizierung (2FA) zu verwenden. Seit dem 5. Juni können auch die rund 18 Millionen GMX-Kunden die Sicherheitstechnik zur Absicherung ihrer E-Mails und Cloud-Daten aktivieren. Haben sie dies getan, müssen sie zusätzlich zu Benutzernamen und Passwort einen sechstelligen Code eingeben. Dieser wird nach dem TOTP-Standard (Time based One Time Password) in einer App oder einem Browser-Addon generiert. Das sicherere Webauthn wird seitens GMX vorerst nicht unterstützt.

Inhalt:
  1. 2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
  2. Zwei-Faktor-Verfahren mit Nachteilen

Der E-Mailanbieter Web.de, der wie GMX zu United Internet gehört, soll Ende Juni ebenfalls Zwei-Faktor-Authentifizierung erhalten.

Möchte ein GMX-Nutzer die neue Zwei-Faktor-Authentifizierung aktivieren, muss er zuerst seine Handynummer angeben und bestätigen. Technisch notwendig ist dies allerdings nicht. "Das ist ein wichtiger Faktor, falls der Kunde seine OTP-App verliert oder das Passwort vergisst", erklärt Christian Schäfer-Lorenz, Leiter technisches Produktmanagement bei GMX und Web.de. Über die Handynummer könne GMX dem Nutzer dann eine Hilfestellung zukommen lassen. Zusätzlich, aber nicht alternativ, lassen sich E-Mail-Adressen bei anderen Anbietern angeben. Die Daten würden nicht zu Werbezwecken verwendet, versichert Schäfer-Lorenz.

Zwei-Faktor-Authentifizierung via TOTP

GMX bietet als zweiten Faktor ausschließlich TOTP an. Bei dem Verfahren kommt ein Schlüssel zum Einsatz, welcher sowohl dem Dienst (also GMX) als auch dem Nutzer bekannt ist. Auf Basis des Schlüssels und der aktuellen Uhrzeit wird alle dreißig Sekunden ein neuer kryptografischer Hash-Wert generiert, aus dem ein sechsstelliger Code abgeleitet wird. Der Nutzer gibt diesen neben Benutzername und Passwort beim Anmeldevorgang ein. Auch der Dienstanbieter generiert den Code auf Basis desselben Schlüssels. Stimmen beide Codes überein, wird der Nutzer angemeldet.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. DATIS IT - Services GmbH, Mannheim

Um diesen Code generieren zu können, muss der Nutzer den von GMX generierten Schlüssel mittels QR-Code-Scan, Copy-and-paste oder Abtippen an eine TOTP-App übertragen. GMX selbst bietet keine an, sondern verweist auf die unzähligen bereits vorhandenen Apps, beispielsweise den Google Authenticator, Authy oder den Microsoft Authenticator. Alternativ könnten auch Browser-Plugins verwendet werden, sagt Schäfer-Lorenz.

TOTP kommt in der Branche zwar häufig zum Einsatz, hat aus einer Sicherheitsperspektive jedoch auch seine Schwächen. Neben diesen technischen Schwächen lässt sich bei manchen Diensten zudem die Zwei-Faktor-Authentifizierung leicht zurücksetzen und dadurch umgehen. GMX hat Golem.de erklärt, wie sie mit einem solchen Szenario umgehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zwei-Faktor-Verfahren mit Nachteilen 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)
  3. 1439,90€ (Vergleichspreis: 1530,95€)

kayozz 05. Jun 2019

Danke. Ich nutze bisher den Google Authenticator, aber das scheint eine nette...

randya99 05. Jun 2019

Für den Client musst du nicht wechseln. Das ist doch gerade das gute an E-Mail. Imho ist...

randya99 05. Jun 2019

Dort kann man die STARTTLS Missgeburt deaktivieren (ok gibt es bei GMX nicht) und den...

AllDayPiano 05. Jun 2019

Chiptan ist unterwegs halt echt doof. Per RFID der Bankkarte könnte man das noch etwas...

Fotobar 05. Jun 2019

Als Trash-Adresse reicht dieser Saftladen von 1&1 allemal :D


Folgen Sie uns
       


Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen
  2. Support-Ende Neben Windows 7 ist jetzt auch Server 2008 unsicher
  3. Sprachaufnahmen Gespräche von Skype praktisch ohne Datenschutz analysiert

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /