• IT-Karriere:
  • Services:

Meister der Schlüssel

Eine weitere Möglichkeit für ein sicheres Login ist es, spezielle Hardware zu verwenden. Für Privatanwender bieten sich dabei vor allem Schlüssel an, die Einmalpasswörter erstellen. Diese werden auf Knopfdruck beim Login-Vorgang erzeugt und an den Seitenbetreiber übergeben. Nach einmaliger Benutzung ist das erstellte Passwort verbraucht und kann nicht erneut genutzt werden.

Stellenmarkt
  1. Lohmann & Rauscher GmbH & Co. KG, Rengsdorf
  2. über Jobware Personalberatung, Raum Paderborn

Der Vorteil solcher Geräte, die zum Beispiel unter dem Namen Yubikey oder Nitrokey vertrieben werden: Sie ermöglichen auch auf unvertrauten Geräten ein sicheres Login. So können zum Beispiel im Internetcafé im Urlaub E-Mails sicher abgerufen werden. Selbst wenn ein Keylogger mitläuft, ist die Information wertlos, da sie nur einmal zum Einloggen genutzt werden kann.

E-Mail-Account absichern

Wir verwenden zur Demonstration ein vom Mailprovider Mailbox.org bereitgestelltes Exemplar. Wählen wir beim E-Mail-Dienst das Login via Einmalpasswort aus, müssen wir zudem eine PIN festlegen. Auf Wunsch kann im Menü des Dienstes eingestellt werden, dass das Login nur noch via Einmalpasswort mit Yubikey durchgeführt werden kann, dann ist der Zugriff auf die E-Mails via IMAP oder POP3 aber nicht mehr möglich. Die gängigste Methode dürfte also sein, den Zugriff über die Weboberfläche mit dem Yubikey zu sichern, während der IMAP-Zugang weiterhin mit einem klassischen Passwort abgesichert ist.

Beim Login muss dann zuerst die PIN in das Passwortfeld eingegeben werden, danach wird per Druck auf den Yubikey das erzeugte Passwort eingetragen. Nutzer sollten beachten, dass sie sich bei Verwendung eines Yubikeys immer explizit abmelden, bevor sie das Browserfenster mit dem E-Mail-Dienst schließen. Das ist ohnehin zu empfehlen, bei Verwendung eines Yubikeys aber besonders wichtig, um die aktuelle Session offiziell zu beenden. Loggen sich Nutzer nicht aus, erscheint nach der nächsten Anmeldung eine Fehlermeldung und das Login muss erneut durchgeführt werden.

Hardwareschlüssel wie der Yubikey können noch mehr, als nur Einmalpasswörter zu generieren. Damit können auf einigen Geräten auch PGP-Schlüssel erzeugt und gespeichert und so eine sichere Aufbewahrung des Schlüsselmaterials gewährleistet werden. Einige Yubikey-Modelle verfügen zudem über NFC-Funktionalität und können so zum Eingeben sicherer Passwörter auf Smartphones genutzt werden, was ansonsten eine Qual ist.

  • Der Yubikey von Yubico ermöglicht die Verwendung von One-Time-Passwörtern. (Bild: Yubico)
  • Auf älteren Geräten bietet Apple nur eine Verifikation per SMS an. (Bild: Apple)
  • Die am meisten verwendete App für Zwei-Faktor-Authentifizierung ist Googles Authenticator. (Bild: Google)
  • Die am meisten verwendete App für Zwei-Faktor-Authentifizierung ist Googles Authenticator. (Bild: Google)
  • Auf neueren Geräten hat Apple Zwei-Faktor-Authentifizierung ins Betriebssystem integriert. (Bild: Apple)
  • Auf neueren Geräten hat Apple Zwei-Faktor-Authentifizierung ins Betriebssystem integriert. (Bild: Apple)
  • Dienste wie Mailchimp unterstützen die Authentifizierung mit Dritt-Apps wie Google Authenticator. (Bild: Mailchimp)
Der Yubikey von Yubico ermöglicht die Verwendung von One-Time-Passwörtern. (Bild: Yubico)


Besonders für Smartphones zu empfehlen ist die Verwendung in Kombination mit einem Passwortmanager wie Lastpass oder Keepass. Um die Entsperrung des Passwortspeichers via Yubikey durchführen zu können, wird bei Lastpass die Pro-Version benötigt, die rund 12 Euro pro Jahr kostet. In Verbindung mit der App Yubico-Authenticator können die Hardwareschlüssel auch bei Diensten eingesetzt werden ist, die die Geräte selbst nicht explizit unterstützen.

Auch ein Yubikey kann Fehler haben

Auch Yubikeys sind nicht frei von Fehlern. Im Jahr 2015 gab es ein Problem, bei dem Angreifer auch ohne Eingabe der PIN-Nummer sicherheitsrelevante Aktionen durchführen konnten. Aus Sicherheitsgründen kann die Firmware auf den Geräten nicht aktualisiert werden, um Manipulationen auszuschließen. In einem solchen Fall bleibt also nur der Austausch des Gerätes. Die Einmalpasswort-Funktion war von dem Fehler allerdings nicht betroffen.

In der Hackercommunity hat Yubikey-Hersteller Yubico durch den Wechsel auf einen geheimen Quellcode Sympathien verspielt. Wen das stört, für den bieten sich als alternative Geräte des in Berlin ansässigen Herstellers Nitrokey an.

Der Überblick zeigt: Die Einrichtung von Zwei-Faktor-Authentifizierung ist auch für Nichtprofis machbar. Der Bedienkomfort leidet kaum unter der zusätzlichen Sicherheit, da die Bestätigungscodes im normalen Betrieb selten abgefragt werden, sondern nur, wenn ein Login von einem unbekannten Gerät aus erfolgt. Obendrauf gibt es das gute Gefühl, dass selbst nach dem nächsten Passwortleak nicht sofort der eigene Account übernommen werden kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Google Authenticator und ähnliche Apps
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 49,99€
  2. 11,99€
  3. (u. a. Mega-Man 11 für 11,99€, Lost Planet 3 für 3,99€, Barotrauma für 11€)
  4. 14,99€

IchBIN 12. Dez 2016

Naja, das Problem ist, dass sie die Daten selbst haben wollen, um sie schützen zu...

Anonymouse 07. Dez 2016

Genau so ist es. Habs gerade aktiviert.

My1 06. Dez 2016

mach mal 4 Jahre draus, meine erste experience mit 2FA war Nov 2012 mit google, hab sogar...

eXeler0n 06. Dez 2016

Nur wer macht das? :-D

My1 06. Dez 2016

also für die beta von NC11 gibts U2F als addon, hab ich als test, braucht noch hilfe...


Folgen Sie uns
       


Opel Zafira-e Life Probe gefahren

Wir haben den Opel Zafira-e Life ausführlich getestet.

Opel Zafira-e Life Probe gefahren Video aufrufen
Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    Blackwidow V3 im Test: Razers Tastaturklassiker mit dem Ping
    Blackwidow V3 im Test
    Razers Tastaturklassiker mit dem Ping

    Die neue Version der Blackwidow mit Razers eigenen Klickschaltern ist eine grundsolide Tastatur mit tollen Keycaps - der metallische Nachhall der Switches ist allerdings gewöhnungsbedürftig.
    Ein Test von Tobias Költzsch

    1. Gaming-Notebook Razer Blade 15 mit Geforce RTX 3080 und gestecktem RAM
    2. Project Brooklyn Razer zeigt skurrilen Gaming-Stuhl mit ausrollbarem OLED
    3. Tomahawk Gaming Desktop Razers winziger Gaming-PC erhält Geforce RTX 3080

    Azure Active Directory: Weniger Verzeichnisdienst, mehr Tresor
    Azure Active Directory
    Weniger Verzeichnisdienst, mehr Tresor

    Microsofts bekannten Verzeichnisdienst Active Directory gibt es inzwischen auch in der Cloud des Herstellers. Golem.de zeigt, wie er dort funktioniert.
    Von Martin Loschwitz

    1. Microsoft Neue Datenschutzregeln für Sprachsteuerung
    2. Microsoft Betrüger erbeuten 20.000 Euro von Rentnerin
    3. Windows 10 20H2 Microsoft hebt Update-Sperre für einige Windows-PCs auf

      •  /