Meister der Schlüssel

Eine weitere Möglichkeit für ein sicheres Login ist es, spezielle Hardware zu verwenden. Für Privatanwender bieten sich dabei vor allem Schlüssel an, die Einmalpasswörter erstellen. Diese werden auf Knopfdruck beim Login-Vorgang erzeugt und an den Seitenbetreiber übergeben. Nach einmaliger Benutzung ist das erstellte Passwort verbraucht und kann nicht erneut genutzt werden.

Stellenmarkt
  1. IT-Experten (m/w/d) für die Abteilung Sicherheitsberatung
    Landesamt für Sicherheit in der Informationstechnik, Nürnberg
  2. Product Configuration Manager (w/m/d)
    WILO SE, Dortmund
Detailsuche

Der Vorteil solcher Geräte, die zum Beispiel unter dem Namen Yubikey oder Nitrokey vertrieben werden: Sie ermöglichen auch auf unvertrauten Geräten ein sicheres Login. So können zum Beispiel im Internetcafé im Urlaub E-Mails sicher abgerufen werden. Selbst wenn ein Keylogger mitläuft, ist die Information wertlos, da sie nur einmal zum Einloggen genutzt werden kann.

E-Mail-Account absichern

Wir verwenden zur Demonstration ein vom Mailprovider Mailbox.org bereitgestelltes Exemplar. Wählen wir beim E-Mail-Dienst das Login via Einmalpasswort aus, müssen wir zudem eine PIN festlegen. Auf Wunsch kann im Menü des Dienstes eingestellt werden, dass das Login nur noch via Einmalpasswort mit Yubikey durchgeführt werden kann, dann ist der Zugriff auf die E-Mails via IMAP oder POP3 aber nicht mehr möglich. Die gängigste Methode dürfte also sein, den Zugriff über die Weboberfläche mit dem Yubikey zu sichern, während der IMAP-Zugang weiterhin mit einem klassischen Passwort abgesichert ist.

Beim Login muss dann zuerst die PIN in das Passwortfeld eingegeben werden, danach wird per Druck auf den Yubikey das erzeugte Passwort eingetragen. Nutzer sollten beachten, dass sie sich bei Verwendung eines Yubikeys immer explizit abmelden, bevor sie das Browserfenster mit dem E-Mail-Dienst schließen. Das ist ohnehin zu empfehlen, bei Verwendung eines Yubikeys aber besonders wichtig, um die aktuelle Session offiziell zu beenden. Loggen sich Nutzer nicht aus, erscheint nach der nächsten Anmeldung eine Fehlermeldung und das Login muss erneut durchgeführt werden.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Hardwareschlüssel wie der Yubikey können noch mehr, als nur Einmalpasswörter zu generieren. Damit können auf einigen Geräten auch PGP-Schlüssel erzeugt und gespeichert und so eine sichere Aufbewahrung des Schlüsselmaterials gewährleistet werden. Einige Yubikey-Modelle verfügen zudem über NFC-Funktionalität und können so zum Eingeben sicherer Passwörter auf Smartphones genutzt werden, was ansonsten eine Qual ist.

  • Der Yubikey von Yubico ermöglicht die Verwendung von One-Time-Passwörtern. (Bild: Yubico)
  • Auf älteren Geräten bietet Apple nur eine Verifikation per SMS an. (Bild: Apple)
  • Die am meisten verwendete App für Zwei-Faktor-Authentifizierung ist Googles Authenticator. (Bild: Google)
  • Die am meisten verwendete App für Zwei-Faktor-Authentifizierung ist Googles Authenticator. (Bild: Google)
  • Auf neueren Geräten hat Apple Zwei-Faktor-Authentifizierung ins Betriebssystem integriert. (Bild: Apple)
  • Auf neueren Geräten hat Apple Zwei-Faktor-Authentifizierung ins Betriebssystem integriert. (Bild: Apple)
  • Dienste wie Mailchimp unterstützen die Authentifizierung mit Dritt-Apps wie Google Authenticator. (Bild: Mailchimp)
Der Yubikey von Yubico ermöglicht die Verwendung von One-Time-Passwörtern. (Bild: Yubico)


Besonders für Smartphones zu empfehlen ist die Verwendung in Kombination mit einem Passwortmanager wie Lastpass oder Keepass. Um die Entsperrung des Passwortspeichers via Yubikey durchführen zu können, wird bei Lastpass die Pro-Version benötigt, die rund 12 Euro pro Jahr kostet. In Verbindung mit der App Yubico-Authenticator können die Hardwareschlüssel auch bei Diensten eingesetzt werden ist, die die Geräte selbst nicht explizit unterstützen.

Auch ein Yubikey kann Fehler haben

Auch Yubikeys sind nicht frei von Fehlern. Im Jahr 2015 gab es ein Problem, bei dem Angreifer auch ohne Eingabe der PIN-Nummer sicherheitsrelevante Aktionen durchführen konnten. Aus Sicherheitsgründen kann die Firmware auf den Geräten nicht aktualisiert werden, um Manipulationen auszuschließen. In einem solchen Fall bleibt also nur der Austausch des Gerätes. Die Einmalpasswort-Funktion war von dem Fehler allerdings nicht betroffen.

In der Hackercommunity hat Yubikey-Hersteller Yubico durch den Wechsel auf einen geheimen Quellcode Sympathien verspielt. Wen das stört, für den bieten sich als alternative Geräte des in Berlin ansässigen Herstellers Nitrokey an.

Der Überblick zeigt: Die Einrichtung von Zwei-Faktor-Authentifizierung ist auch für Nichtprofis machbar. Der Bedienkomfort leidet kaum unter der zusätzlichen Sicherheit, da die Bestätigungscodes im normalen Betrieb selten abgefragt werden, sondern nur, wenn ein Login von einem unbekannten Gerät aus erfolgt. Obendrauf gibt es das gute Gefühl, dass selbst nach dem nächsten Passwortleak nicht sofort der eigene Account übernommen werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Google Authenticator und ähnliche Apps
  1.  
  2. 1
  3. 2
  4. 3


IchBIN 12. Dez 2016

Naja, das Problem ist, dass sie die Daten selbst haben wollen, um sie schützen zu...

Anonymouse 07. Dez 2016

Genau so ist es. Habs gerade aktiviert.

My1 06. Dez 2016

mach mal 4 Jahre draus, meine erste experience mit 2FA war Nov 2012 mit google, hab sogar...

eXeler0n 06. Dez 2016

Nur wer macht das? :-D

My1 06. Dez 2016

also für die beta von NC11 gibts U2F als addon, hab ich als test, braucht noch hilfe...



Aktuell auf der Startseite von Golem.de
Star Trek: Enterprise
Mit Warp 5 zur vorzeitigen Absetzung

Vor 20 Jahren startete mit Enterprise die damals ungewöhnlichste Star-Trek-Serie. Das unrühmliche Ende nach vier Jahren erscheint heute unverdient.
Von Tobias Költzsch

Star Trek: Enterprise: Mit Warp 5 zur vorzeitigen Absetzung
Artikel
  1. Xiaomi: BSI untersucht Sicherheit in Smartphones aus China
    Xiaomi
    BSI untersucht Sicherheit in Smartphones aus China

    Nach Zensurvorwürfen gegen Smartphone-Hersteller aus China untersucht nun auch das BSI die Geräte und deren Filter.

  2. Bitcoin: China verbietet Handel mit Kryptowährungen
    Bitcoin
    China verbietet Handel mit Kryptowährungen

    Die chinesische Zentralbank will den Handel mit Kryptowährungen wie Bitcoin komplett verbieten. Die Kurse beginnen zu fallen.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /