2FA: Wie sicher sind TOTP, Fido, SMS und Push-Apps?
Zwei- oder Multi-Faktor-Authentifizierung soll uns sicherer machen. Wir erklären, wie TOTP, Fido & Co. funktionieren und wovor sie schützen.

Die Webseite, auf der wir unsere Zugangsdaten eingeben sollen, sieht täuschend echt aus. Selbst die Domain scheint auf den ersten Blick richtig zu sein. Doch wenn wir unser Passwort eingeben, haben Kriminelle Zugriff auf unser Konto. Ein Massenphänomen im Internet.
- 2FA: Wie sicher sind TOTP, Fido, SMS und Push-Apps?
- mTAN: Ein Code per SMS kann leicht abgefangen werden
- TOTP: Der Schlüssel zum 30-Sekunden-Code
- Fido: Sichere 2FA und Passwort-Killer
- 2FA-App: Wenn der zweite Faktor hundertmal klingelt
Dabei sind die Täter durchaus innovativ und entwickeln dauernd neue, teils sehr ausgefeilte Tricks, um an unsere Zugangsdaten zu gelangen. Dabei ist Phishing längst nicht der einzige Angriff auf Zugangsdaten - sie können auch durch Ausprobieren, Erraten, Loggen oder aus Datenlecks bei anderen Diensten gewonnen werden.
Immer alles richtig zu machen, ist gar nicht so einfach - immer wieder fallen selbst IT-Profis in Eile auf eine Masche herein. Doch mit der Zwei-Faktor-Authentifizierung (2FA) oder auch Multi-Faktor-Authentifizierung (MFA) gibt es eine Möglichkeit, unsere Zugangsdaten abzusichern: Neben dem klassischen Benutzernamen und Passwort wird bei der 2FA eine weitere, vom Passwort unabhängige Komponente zum Log-in benötigt.
Entsprechend bieten immer mehr Dienste 2FA an - allerdings mit den unterschiedlichsten Ansätzen und Techniken, die wiederum ihre Tücken haben können. Wir geben einen Überblick über die gängigsten 2FA-Methoden und erklären, warum 2FA per SMS oder TOTP nicht vor Phishing schützen, das Fido-Protokoll jedoch schon.
Die größte Gefahr für 2FA ist das Zurücksetzen
Eine Gefahr aller Zwei-Faktor-Authentifizierungs-Verfahren sind die Dienste selbst. Denn in der Vergangenheit haben Kriminelle immer wieder gezeigt, wie leicht sich ein Konto übernehmen und die 2FA über einen simplen Anruf beim jeweiligen Anbieter deaktivieren lässt.
So fragte der Politiker-Hacker 0rbit im Namen des bekannten Youtubers Unge beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.
Die sicherste 2FA ist letztlich auch nur so sicher wie das Protokoll des jeweiligen Anbieters. Entsprechend wichtig ist es für die Sicherheit, dass die verwendeten Dienste dem Support nicht erlauben, einfach so die 2FA abzustellen oder zu ersetzen. Das Zurücksetzen darf - wenn überhaupt - nur mit sehr hohen Hürden möglich sein. Das lässt sich für die Endanwender jedoch meist nicht ohne Weiteres überprüfen.
Auf der anderen Seite liegt es jedoch auch in der Verantwortung der Endanwender, sich nicht auszusperren und immer mehrere 2FA-Zugänge anzulegen. So kommen Nutzer beispielsweise mit einem zweiten, bereits registrieren Fido-Stick wieder an ihr Konto, falls der erste verloren wurde oder kaputtgegangen ist. Alternativ lassen sich mehrere 2FA-Systeme kombinieren oder ein Backup des TOTP-Schlüssels erstellen.
Auch wenn die Sicherheit der Zwei-Faktor-Authentifizierung von der Umsetzung und dem Support des jeweiligen Dienstes abhängt, ist es aus einer Sicherheitsperspektive sinnvoll, eine 2FA einzusetzen, aber auch die Schwächen und Stärken der verschiedenen Systeme zu kennen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
mTAN: Ein Code per SMS kann leicht abgefangen werden |
Naja, was ist bspw. mit Steam, welches faktisch einen TOTP nach Vorschrift generiert, den...
War/Ist bei Micrsosoft tatsächlich sehr leicht möglich, denn die App zeigt dir nicht an...
In den Account-Einstellungen unter "mein Konto sichern".
Prepaid zahlung ist bei Google, Amazon, Netflix überhaupt kein Problem. Bei Spotify ist...
Kommentieren