2FA: Wie sicher sind TOTP, Fido, SMS und Push-Apps?

Zwei- oder Multi-Faktor-Authentifizierung soll uns sicherer machen. Wir erklären, wie TOTP, Fido & Co. funktionieren und wovor sie schützen.

Artikel von veröffentlicht am
2FA macht das Anmelden sicherer.
2FA macht das Anmelden sicherer. (Bild: Moritz Tremmel/Golem.de)

Die Webseite, auf der wir unsere Zugangsdaten eingeben sollen, sieht täuschend echt aus. Selbst die Domain scheint auf den ersten Blick richtig zu sein. Doch wenn wir unser Passwort eingeben, haben Kriminelle Zugriff auf unser Konto. Ein Massenphänomen im Internet.

Dabei sind die Täter durchaus innovativ und entwickeln dauernd neue, teils sehr ausgefeilte Tricks, um an unsere Zugangsdaten zu gelangen. Dabei ist Phishing längst nicht der einzige Angriff auf Zugangsdaten - sie können auch durch Ausprobieren, Erraten, Loggen oder aus Datenlecks bei anderen Diensten gewonnen werden.

Immer alles richtig zu machen, ist gar nicht so einfach - immer wieder fallen selbst IT-Profis in Eile auf eine Masche herein. Doch mit der Zwei-Faktor-Authentifizierung (2FA) oder auch Multi-Faktor-Authentifizierung (MFA) gibt es eine Möglichkeit, unsere Zugangsdaten abzusichern: Neben dem klassischen Benutzernamen und Passwort wird bei der 2FA eine weitere, vom Passwort unabhängige Komponente zum Log-in benötigt.

Entsprechend bieten immer mehr Dienste 2FA an - allerdings mit den unterschiedlichsten Ansätzen und Techniken, die wiederum ihre Tücken haben können. Wir geben einen Überblick über die gängigsten 2FA-Methoden und erklären, warum 2FA per SMS oder TOTP nicht vor Phishing schützen, das Fido-Protokoll jedoch schon.

Die größte Gefahr für 2FA ist das Zurücksetzen

Stellenmarkt
  1. Systemarchitekt (m/w/d)
    Landis+Gyr GmbH, Nürnberg, Walldorf
  2. Informatiker / Fachinformatiker als IT System- und Netzwerkadministrator (m/w/d)
    UTT Technische Textilien GmbH & Co KG, Krumbach
Detailsuche

Eine Gefahr aller Zwei-Faktor-Authentifizierungs-Verfahren sind die Dienste selbst. Denn in der Vergangenheit haben Kriminelle immer wieder gezeigt, wie leicht sich ein Konto übernehmen und die 2FA über einen simplen Anruf beim jeweiligen Anbieter deaktivieren lässt.

So fragte der Politiker-Hacker 0rbit im Namen des bekannten Youtubers Unge beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.

Die sicherste 2FA ist letztlich auch nur so sicher wie das Protokoll des jeweiligen Anbieters. Entsprechend wichtig ist es für die Sicherheit, dass die verwendeten Dienste dem Support nicht erlauben, einfach so die 2FA abzustellen oder zu ersetzen. Das Zurücksetzen darf - wenn überhaupt - nur mit sehr hohen Hürden möglich sein. Das lässt sich für die Endanwender jedoch meist nicht ohne Weiteres überprüfen.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Auf der anderen Seite liegt es jedoch auch in der Verantwortung der Endanwender, sich nicht auszusperren und immer mehrere 2FA-Zugänge anzulegen. So kommen Nutzer beispielsweise mit einem zweiten, bereits registrieren Fido-Stick wieder an ihr Konto, falls der erste verloren wurde oder kaputtgegangen ist. Alternativ lassen sich mehrere 2FA-Systeme kombinieren oder ein Backup des TOTP-Schlüssels erstellen.

Auch wenn die Sicherheit der Zwei-Faktor-Authentifizierung von der Umsetzung und dem Support des jeweiligen Dienstes abhängt, ist es aus einer Sicherheitsperspektive sinnvoll, eine 2FA einzusetzen, aber auch die Schwächen und Stärken der verschiedenen Systeme zu kennen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
mTAN: Ein Code per SMS kann leicht abgefangen werden 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Gaius Baltar 10. Aug 2022 / Themenstart

Naja, was ist bspw. mit Steam, welches faktisch einen TOTP nach Vorschrift generiert, den...

Truster 27. Jun 2022 / Themenstart

War/Ist bei Micrsosoft tatsächlich sehr leicht möglich, denn die App zeigt dir nicht an...

gunterkoenigsmann 26. Jun 2022 / Themenstart

In den Account-Einstellungen unter "mein Konto sichern".

robinx999 26. Jun 2022 / Themenstart

Prepaid zahlung ist bei Google, Amazon, Netflix überhaupt kein Problem. Bei Spotify ist...

Kommentieren



Aktuell auf der Startseite von Golem.de
Kabelnetz
Vodafone setzt neuartige Antennendosen ein

Ohne Radioport kommt die neue Antennendose und ist damit schon für DOCSIS 4.0 vorbereitet. Doch sie soll bereits jetzt Vorteile für Vodafone-Kunden bringen.

Kabelnetz: Vodafone setzt neuartige Antennendosen ein
Artikel
  1. Hybridmagnet: Chinesische Forscher erzeugen Rekord-Magnetfeld
    Hybridmagnet
    Chinesische Forscher erzeugen Rekord-Magnetfeld

    Mit einem Hybridmagneten hat ein Team in China einen Rekord aus den USA für das stärkste stabile Magnetfeld überboten.

  2. Clop: Ransomwaregruppe erpresst scheinbar falsches Wasserwerk
    Clop
    Ransomwaregruppe erpresst scheinbar falsches Wasserwerk

    Eine Ransomwaregruppe hat sich nach einem Hack eines Wasserversorgungsunternehmens in Großbritannien offenbar vertan und ein anderes Werk erpresst.

  3. MacTigr: Das Keyboard präsentiert mechanische Mac-Tastatur
    MacTigr
    Das Keyboard präsentiert mechanische Mac-Tastatur

    Die MacTigr ist eine speziell für Mac-Nutzer gedachte mechanische Tastatur mit USB-Hub, Cherry-Switches und Metallgehäuse.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • MindStar (Sapphire RX 6900XT 939€, G.Skill DDR4-3200 32GB 98€) • PS5 bestellbar • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
    •  /