2FA: Wie sicher sind TOTP, Fido, SMS und Push-Apps?

Zwei- oder Multi-Faktor-Authentifizierung soll uns sicherer machen. Wir erklären, wie TOTP, Fido & Co. funktionieren und wovor sie schützen.

Artikel von veröffentlicht am
2FA macht das Anmelden sicherer.
2FA macht das Anmelden sicherer. (Bild: Moritz Tremmel/Golem.de)

Die Webseite, auf der wir unsere Zugangsdaten eingeben sollen, sieht täuschend echt aus. Selbst die Domain scheint auf den ersten Blick richtig zu sein. Doch wenn wir unser Passwort eingeben, haben Kriminelle Zugriff auf unser Konto. Ein Massenphänomen im Internet.

Dabei sind die Täter durchaus innovativ und entwickeln dauernd neue, teils sehr ausgefeilte Tricks, um an unsere Zugangsdaten zu gelangen. Dabei ist Phishing längst nicht der einzige Angriff auf Zugangsdaten - sie können auch durch Ausprobieren, Erraten, Loggen oder aus Datenlecks bei anderen Diensten gewonnen werden.

Immer alles richtig zu machen, ist gar nicht so einfach - immer wieder fallen selbst IT-Profis in Eile auf eine Masche herein. Doch mit der Zwei-Faktor-Authentifizierung (2FA) oder auch Multi-Faktor-Authentifizierung (MFA) gibt es eine Möglichkeit, unsere Zugangsdaten abzusichern: Neben dem klassischen Benutzernamen und Passwort wird bei der 2FA eine weitere, vom Passwort unabhängige Komponente zum Log-in benötigt.

Entsprechend bieten immer mehr Dienste 2FA an - allerdings mit den unterschiedlichsten Ansätzen und Techniken, die wiederum ihre Tücken haben können. Wir geben einen Überblick über die gängigsten 2FA-Methoden und erklären, warum 2FA per SMS oder TOTP nicht vor Phishing schützen, das Fido-Protokoll jedoch schon.

Die größte Gefahr für 2FA ist das Zurücksetzen

Stellenmarkt
  1. IT-Systemadministrator (m/w/x)
    über grinnberg GmbH, Raum Neumünster
  2. IT-Administratorin (d/m/w)
    DAS Environmental Expert GmbH, Dresden
Detailsuche

Eine Gefahr aller Zwei-Faktor-Authentifizierungs-Verfahren sind die Dienste selbst. Denn in der Vergangenheit haben Kriminelle immer wieder gezeigt, wie leicht sich ein Konto übernehmen und die 2FA über einen simplen Anruf beim jeweiligen Anbieter deaktivieren lässt.

So fragte der Politiker-Hacker 0rbit im Namen des bekannten Youtubers Unge beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.

Die sicherste 2FA ist letztlich auch nur so sicher wie das Protokoll des jeweiligen Anbieters. Entsprechend wichtig ist es für die Sicherheit, dass die verwendeten Dienste dem Support nicht erlauben, einfach so die 2FA abzustellen oder zu ersetzen. Das Zurücksetzen darf - wenn überhaupt - nur mit sehr hohen Hürden möglich sein. Das lässt sich für die Endanwender jedoch meist nicht ohne Weiteres überprüfen.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Auf der anderen Seite liegt es jedoch auch in der Verantwortung der Endanwender, sich nicht auszusperren und immer mehrere 2FA-Zugänge anzulegen. So kommen Nutzer beispielsweise mit einem zweiten, bereits registrieren Fido-Stick wieder an ihr Konto, falls der erste verloren wurde oder kaputtgegangen ist. Alternativ lassen sich mehrere 2FA-Systeme kombinieren oder ein Backup des TOTP-Schlüssels erstellen.

Auch wenn die Sicherheit der Zwei-Faktor-Authentifizierung von der Umsetzung und dem Support des jeweiligen Dienstes abhängt, ist es aus einer Sicherheitsperspektive sinnvoll, eine 2FA einzusetzen, aber auch die Schwächen und Stärken der verschiedenen Systeme zu kennen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
mTAN: Ein Code per SMS kann leicht abgefangen werden 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


tomatentee 11:56 / Themenstart

Wenn Anbieter da kein Rate-Limiting einbauen...nunja.

robinx999 09:43 / Themenstart

Natürlich bieten sie angriffsfläche, aber einfach sagen Account ist weg Pech gehabt ist...

senf.dazu 09:22 / Themenstart

Nach meinem Verständnis funktioniert die Fido Sicherheitstechnik mit Mobiles/Desktops...

Truster 24. Jun 2022 / Themenstart

der yubikey kann genau das: über den Manager konfigurierst du auf langen Tastendruck ein...

Kommentieren



Aktuell auf der Startseite von Golem.de
Franziska Giffey
Deepfake von Klitschko täuscht Berlins Bürgermeisterin

Berlins Regierende Bürgermeisterin Franziska Giffey (SPD) hat per Videokonferenz mit einem Deepfake von Vitali Klitschko gesprochen. Der Betrug flog auf.

Franziska Giffey: Deepfake von Klitschko täuscht Berlins Bürgermeisterin
Artikel
  1. Datenpanne: IT-Mitarbeiter verliert USB-Stick mit Meldedaten einer Stadt
    Datenpanne
    IT-Mitarbeiter verliert USB-Stick mit Meldedaten einer Stadt

    Die Tasche mit dem USB-Stick wurde über in ihr ebenfalls enthaltene Smartphone geortet und gefunden.

  2. Hollywood und das Internet: Sind wir schon drin?
    Hollywood und das Internet
    Sind wir schon drin?

    Die neue Dokuserie Web of Make Believe taucht auf Netflix in die Untiefen des Internets ein. So realistisch hat Hollywood das Netz jahrzehntelang nicht thematisiert.
    Von Peter Osteried

  3. Logistik: Post will mit Solarschiff Pakete in Berlin verteilen
    Logistik
    Post will mit Solarschiff Pakete in Berlin verteilen

    Die Post will Pakettransporte von der Straße aufs Wasser verlagern. Das erste der Schiffe wird mit Solarstrom betrieben. In Zukunft sollen sie autonom fahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI 323CQRDE (WQHD, 165 Hz) 399€ • LG OLED 48C17LB 919€ • Samsung 980 PRO (PS5-komp.) 2 TB 234,45€ • Apple HomePod Mini 84€ • 16.000 Artikel günstiger bei Media Markt • MindStar (u. a. AMD Ryzen 7 5700G 239€, Samsung 970 EVO Plus 250 GB 39€ und Corsair Crystal 680X RGB 159€) [Werbung]
    •  /