Abo
  • IT-Karriere:

2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.

Artikel von veröffentlicht am
GMX-Konten können nun mit zweitem Faktor abgesichert werden.
GMX-Konten können nun mit zweitem Faktor abgesichert werden. (Bild: GLady)

Als im Januar die persönlichen Daten von zahlreichen Politikern und Prominenten veröffentlicht wurden, empfahlen viele Sicherheitsexperten den Nutzern, die Zwei-Faktor-Authentifizierung (2FA) zu verwenden. Seit dem 5. Juni können auch die rund 18 Millionen GMX-Kunden die Sicherheitstechnik zur Absicherung ihrer E-Mails und Cloud-Daten aktivieren. Haben sie dies getan, müssen sie zusätzlich zu Benutzernamen und Passwort einen sechstelligen Code eingeben. Dieser wird nach dem TOTP-Standard (Time based One Time Password) in einer App oder einem Browser-Addon generiert. Das sicherere Webauthn wird seitens GMX vorerst nicht unterstützt.

Inhalt:
  1. 2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
  2. Zwei-Faktor-Verfahren mit Nachteilen

Der E-Mailanbieter Web.de, der wie GMX zu United Internet gehört, soll Ende Juni ebenfalls Zwei-Faktor-Authentifizierung erhalten.

Möchte ein GMX-Nutzer die neue Zwei-Faktor-Authentifizierung aktivieren, muss er zuerst seine Handynummer angeben und bestätigen. Technisch notwendig ist dies allerdings nicht. "Das ist ein wichtiger Faktor, falls der Kunde seine OTP-App verliert oder das Passwort vergisst", erklärt Christian Schäfer-Lorenz, Leiter technisches Produktmanagement bei GMX und Web.de. Über die Handynummer könne GMX dem Nutzer dann eine Hilfestellung zukommen lassen. Zusätzlich, aber nicht alternativ, lassen sich E-Mail-Adressen bei anderen Anbietern angeben. Die Daten würden nicht zu Werbezwecken verwendet, versichert Schäfer-Lorenz.

Zwei-Faktor-Authentifizierung via TOTP

GMX bietet als zweiten Faktor ausschließlich TOTP an. Bei dem Verfahren kommt ein Schlüssel zum Einsatz, welcher sowohl dem Dienst (also GMX) als auch dem Nutzer bekannt ist. Auf Basis des Schlüssels und der aktuellen Uhrzeit wird alle dreißig Sekunden ein neuer kryptografischer Hash-Wert generiert, aus dem ein sechsstelliger Code abgeleitet wird. Der Nutzer gibt diesen neben Benutzername und Passwort beim Anmeldevorgang ein. Auch der Dienstanbieter generiert den Code auf Basis desselben Schlüssels. Stimmen beide Codes überein, wird der Nutzer angemeldet.

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. Allianz Deutschland AG, München-Unterföhring

Um diesen Code generieren zu können, muss der Nutzer den von GMX generierten Schlüssel mittels QR-Code-Scan, Copy-and-paste oder Abtippen an eine TOTP-App übertragen. GMX selbst bietet keine an, sondern verweist auf die unzähligen bereits vorhandenen Apps, beispielsweise den Google Authenticator, Authy oder den Microsoft Authenticator. Alternativ könnten auch Browser-Plugins verwendet werden, sagt Schäfer-Lorenz.

TOTP kommt in der Branche zwar häufig zum Einsatz, hat aus einer Sicherheitsperspektive jedoch auch seine Schwächen. Neben diesen technischen Schwächen lässt sich bei manchen Diensten zudem die Zwei-Faktor-Authentifizierung leicht zurücksetzen und dadurch umgehen. GMX hat Golem.de erklärt, wie sie mit einem solchen Szenario umgehen.

Zwei-Faktor-Verfahren mit Nachteilen 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 8,99€
  2. (-72%) 16,99€
  3. 2,99€

kayozz 05. Jun 2019 / Themenstart

Danke. Ich nutze bisher den Google Authenticator, aber das scheint eine nette...

randya99 05. Jun 2019 / Themenstart

Für den Client musst du nicht wechseln. Das ist doch gerade das gute an E-Mail. Imho ist...

randya99 05. Jun 2019 / Themenstart

Dort kann man die STARTTLS Missgeburt deaktivieren (ok gibt es bei GMX nicht) und den...

AllDayPiano 05. Jun 2019 / Themenstart

Chiptan ist unterwegs halt echt doof. Per RFID der Bankkarte könnte man das noch etwas...

Fotobar 05. Jun 2019 / Themenstart

Als Trash-Adresse reicht dieser Saftladen von 1&1 allemal :D

Kommentieren


Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
    DIN 2137-T2-Layout ausprobiert
    Die Tastatur mit dem großen ß

    Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
    Von Andreas Sebayang und Tobias Költzsch

    1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
    2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
    3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

    Elektromobilität: Wohin mit den vielen Akkus?
    Elektromobilität
    Wohin mit den vielen Akkus?

    Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
    Ein Bericht von Dirk Kunde

    1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
    2. Batterieherstellung Kampf um die Zelle
    3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

      •  /