2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.

Artikel von veröffentlicht am
GMX-Konten können nun mit zweitem Faktor abgesichert werden.
GMX-Konten können nun mit zweitem Faktor abgesichert werden. (Bild: GLady)

Als im Januar die persönlichen Daten von zahlreichen Politikern und Prominenten veröffentlicht wurden, empfahlen viele Sicherheitsexperten den Nutzern, die Zwei-Faktor-Authentifizierung (2FA) zu verwenden. Seit dem 5. Juni können auch die rund 18 Millionen GMX-Kunden die Sicherheitstechnik zur Absicherung ihrer E-Mails und Cloud-Daten aktivieren. Haben sie dies getan, müssen sie zusätzlich zu Benutzernamen und Passwort einen sechstelligen Code eingeben. Dieser wird nach dem TOTP-Standard (Time based One Time Password) in einer App oder einem Browser-Addon generiert. Das sicherere Webauthn wird seitens GMX vorerst nicht unterstützt.

Inhalt:
  1. 2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
  2. Zwei-Faktor-Verfahren mit Nachteilen

Der E-Mailanbieter Web.de, der wie GMX zu United Internet gehört, soll Ende Juni ebenfalls Zwei-Faktor-Authentifizierung erhalten.

Möchte ein GMX-Nutzer die neue Zwei-Faktor-Authentifizierung aktivieren, muss er zuerst seine Handynummer angeben und bestätigen. Technisch notwendig ist dies allerdings nicht. "Das ist ein wichtiger Faktor, falls der Kunde seine OTP-App verliert oder das Passwort vergisst", erklärt Christian Schäfer-Lorenz, Leiter technisches Produktmanagement bei GMX und Web.de. Über die Handynummer könne GMX dem Nutzer dann eine Hilfestellung zukommen lassen. Zusätzlich, aber nicht alternativ, lassen sich E-Mail-Adressen bei anderen Anbietern angeben. Die Daten würden nicht zu Werbezwecken verwendet, versichert Schäfer-Lorenz.

Zwei-Faktor-Authentifizierung via TOTP

GMX bietet als zweiten Faktor ausschließlich TOTP an. Bei dem Verfahren kommt ein Schlüssel zum Einsatz, welcher sowohl dem Dienst (also GMX) als auch dem Nutzer bekannt ist. Auf Basis des Schlüssels und der aktuellen Uhrzeit wird alle dreißig Sekunden ein neuer kryptografischer Hash-Wert generiert, aus dem ein sechsstelliger Code abgeleitet wird. Der Nutzer gibt diesen neben Benutzername und Passwort beim Anmeldevorgang ein. Auch der Dienstanbieter generiert den Code auf Basis desselben Schlüssels. Stimmen beide Codes überein, wird der Nutzer angemeldet.

Stellenmarkt
  1. Chief Information Officer - CIO (m/w/d)
    CONITAS GmbH, Karlsruhe
  2. Leiter Global IT (m/w/d)
    über Dr. Maier & Partner GmbH Executive Search, Rhein-Neckar-Raum
Detailsuche

Um diesen Code generieren zu können, muss der Nutzer den von GMX generierten Schlüssel mittels QR-Code-Scan, Copy-and-paste oder Abtippen an eine TOTP-App übertragen. GMX selbst bietet keine an, sondern verweist auf die unzähligen bereits vorhandenen Apps, beispielsweise den Google Authenticator, Authy oder den Microsoft Authenticator. Alternativ könnten auch Browser-Plugins verwendet werden, sagt Schäfer-Lorenz.

TOTP kommt in der Branche zwar häufig zum Einsatz, hat aus einer Sicherheitsperspektive jedoch auch seine Schwächen. Neben diesen technischen Schwächen lässt sich bei manchen Diensten zudem die Zwei-Faktor-Authentifizierung leicht zurücksetzen und dadurch umgehen. GMX hat Golem.de erklärt, wie sie mit einem solchen Szenario umgehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zwei-Faktor-Verfahren mit Nachteilen 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Nextbox von Nitrokey im Test
Die eigene Cloud im Wohnzimmer

Mit der Nextbox hat Nitrokey eine Cloud für zu Hause entwickelt, um die man sich nicht kümmern muss. Dafür kann man sie auf der ganzen Welt erreichen.
Ein Test von Moritz Tremmel

Nextbox von Nitrokey im Test: Die eigene Cloud im Wohnzimmer
Artikel
  1. Microsoft Windows: Google soll Suchergebnisse zum geleakten Windows 11 löschen
    Microsoft Windows
    Google soll Suchergebnisse zum geleakten Windows 11 löschen

    Die Webseite Beebom hatte offenbar aktiv das geleakte Windows 11 verbreitet. Microsoft will die Referenzen auf Google dazu nicht mehr sehen.

  2. Strom abgeschaltet: China nimmt zweitgrößte Bitcoin-Mining-Provinz vom Netz
    Strom abgeschaltet
    China nimmt zweitgrößte Bitcoin-Mining-Provinz vom Netz

    China hat in der Provinz Sichuan 26 Bitcoin-Mining-Farmen den Strom abgedreht. Der Kurs der Kryptowährung stürzt währenddessen erneut ab.

  3. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

kayozz 05. Jun 2019

Danke. Ich nutze bisher den Google Authenticator, aber das scheint eine nette...

randya99 05. Jun 2019

Für den Client musst du nicht wechseln. Das ist doch gerade das gute an E-Mail. Imho ist...

randya99 05. Jun 2019

Dort kann man die STARTTLS Missgeburt deaktivieren (ok gibt es bei GMX nicht) und den...

AllDayPiano 05. Jun 2019

Chiptan ist unterwegs halt echt doof. Per RFID der Bankkarte könnte man das noch etwas...

Fotobar 05. Jun 2019

Als Trash-Adresse reicht dieser Saftladen von 1&1 allemal :D


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • Switch Lite 174,99€ • Fire TV Stick 4K 28,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • HyperX Cloud II 51,29€ • Apple-Produkte (u. a. iPhone 12 128GB 769€) • Fernseher [Werbung]
    •  /