(Update) Die Anmeldung bei Onlineshops, Social-Media-Accounts, Bezahldienstleistern oder anderen Websites erfolgt in der Regel durch Eingabe von Benutzername und Passwort.
Eine solche 1-Faktor-Authentifizierung ist jedoch weniger sicher, als es auf den ersten Blick scheint. Nicht nur, dass sich leicht zu knackende Passwörter wie „1234“ immer noch beträchtlicher Beliebtheit erfreuen, Hacker sind auch ausgesprochen findig (und erfolgreich), wenn es darum geht, in den Besitz von Anmeldedaten zu gelangen. Mit Brute-Force- oder Social-Engineering-Angriffen beispielsweise gelingt dies immer wieder. Ist das Passwort dann erst einmal geknackt, haben die Hacker Zugriff auf sensible Daten und freie Bahn für Identitätsdiebstahl, Finanzbetrug oder Malware-Infektionen.
Für zusätzlichen Schutz gegen Cyberkriminelle sollten Sie Ihre Online-Konten daher möglichst mit einer zweiten Sicherheitsebene – einem zweiten, unabhängigen Faktor – absichern. Smartphones sind als zweiter Faktor sehr gut geeignet, denn sie sind als ständiger Begleiter fast immer griffbereit. Erfahren Sie hier, wie die 2-Faktor-Authentifizierung (2FA) funktioniert und wie Sie Ihr Smartphone oder Tablet per App in einen zweiten Faktor verwandeln, und lernen Sie die besten Authentifizierungs-Apps kennen!
Wie funktioniert Zwei-Faktor-Authentifizierung (2FA)?
Für den Zugang zu einem Online-Konto müssen Nutzer der 2FA sich zunächst wie gewohnt mit ihrem Benutzernamen und Passwort einloggen (erster Faktor). In einem zweiten Schritt wird dann ein Sicherheitsschlüssel eingegeben, der an den Nutzer gesendet oder direkt beim Nutzer generiert wurde, z. B. von einer Smartcard, einem USB-Sicherheitstoken oder einer Smartphone-App (zweiter Faktor). Online-Accounts sind somit deutlich besser geschützt, denn ohne Zugriff auf den zweiten Faktor können Hacker auch mit der korrekten Kombination von Nutzername und Passwort nichts anfangen.
Viele Unternehmen bieten bereits das Zwei-Faktor-Authentifizierungsverfahren für eine möglichst sichere Anmeldung auf ihren Websites an, und es werden immer mehr. Einen guten Überblick über die Online-Shops, Dienste und Websites, die 2FA anbieten, finden Sie im 2FA-Directory oder bei der 2FA.jetzt-Initiative.
2FA-Verfahren: am sichersten per App
2FA ist nicht neu: Online-Banking-Nutzer kennen vielleicht noch die TAN-Listen mit Codes zur einmaligen Benutzung als zweiter Faktor – sogenannte Einmalkennwörter, die nur für eine Transaktion gelten (One-time Password, OTP). Statt Papierlisten gibt es heute unterschiedliche Verfahren für die Erzeugung und Übermittlung von Einmalkennwörtern. OTPs können etwa per SMS, Push-Benachrichtigung, E-Mail oder Sprachnachricht versendet werden; besonders verbreitet ist noch immer das Versenden von Einmalkennwörtern per SMS. Solche Verfahren sind aber unsicher, denn SMS, E-Mails etc. können umgeleitet oder von böswilligen Apps auf einem kompromittierten Gerät abgefangen werden.
Als besonders sicher gelten dagegen zeitlich limitierte Einmalkennwörter, die vor Ort beim Nutzer mittels TOTP-Algorithmus (Time-based One-time Password) generiert werden. Sie lassen sich auch mit Smartphone-Apps nutzen und sind damit sehr benutzerfreundlich – eine wichtige Voraussetzung für konsequenten Einsatz. Und so funktioniert TOTP per App: Auf Grundlage eines Schlüssels („Geheimnis“), der nur dem TOTP-Generator (also der 2FA-App) und der Website mit dem Online-Konto bekannt ist, und der aktuellen Uhrzeit wird ein Kennwort berechnet, das nur für kurze Zeit gültig ist, in der Regel für 30 Sekunden. Das Smartphone oder Tablet muss für die Codegenerierung nicht mit dem Internet verbunden sein. Die Kopplung von Online-Konto und Authentifizierungs-App (der Austausch des „Geheimnisses“) erfolgt meist durch Einscannen eines auf der Website angezeigten QR-Codes.
So gehen Sie vor, um Ihre Accounts per Authentifizierungs-App abzusichern:
- Installieren Sie die Authentifizierungs-App auf Ihrem Smartphone oder Ihrem Tablet.
- Aktivieren Sie die 2-Faktor Authentifizierung in den Sicherheitseinstellungen des Dienstes, mit dem Sie die App verwenden möchten, und wählen Sie den passenden zweiten Faktor („Authenticator App“ o. ä.).
- Der Dienst zeigt Ihnen dann einen QR-Code oder auch eine Zeichenfolge, um das gemeinsame Geheimnis auszutauschen. Scannen Sie den Code mit der App oder geben Sie darin die Zeichenfolge ein. Die App zeigt nun einen Code an, den Sie bei Ihrem Dienst eingeben müssen.
- Nach der Kopplung generiert die App bei Bedarf alle 30 Sekunden einen neuen Einmalcode für den Dienst, der Ihnen in Kombination mit Ihrem Passwort den Zugang zu Ihrem Account ermöglicht.
Google Authenticator & Alternativen: Die besten Authentifizierungs-Apps
Die folgenden kostenlosen Authentifizierungs-Apps verwenden alle das empfohlene TOTP-Verfahren, machen die Einrichtung leicht und die 2FA-Anwendung komfortabel. Manche Apps wie der LastPass Authenticator unterstützen darüber hinaus weitere Verfahren wie SMS OTP oder USB-Sticks (Yubikey).
Google Authenticator: Der Platzhirsch
Google Authenticator
Auch wenn es etliche Alternativen zum Google Authenticator gibt, die App von Google ist nach wie vor die beliebteste. Ein Vorteil dieser 2FA-App ist die lange Liste unterstützter Websites. Es fehlt jedoch die Möglichkeit, Codes auf verschiedenen Geräten anzuzeigen. Zudem ist die Erstellung von Backups recht umständlich. Die Übertragung der App auf ein neues Gerät erfolgt manuell über die Zwei-Faktor-Authentifizierungs-Seite von Google. Die Google-Authentifizierungs-App gibt es – wie die meisten anderen 2FA-Apps – nur als mobile Version. Für die Anwendung am Desktop-PC oder Laptop müssen Sie Drittanbieter-Tools wie WinAuth oder WinOTP nutzen oder einen Blick auf Authy weiter unten in diesem Beitrag werfen.
Zum Download für Android. Zum Download für iPhone.
Microsoft Authenticator: Backups in der Cloud
Microsoft Authenticator
Authenticator ist das Microsoft-Pendant zur Google Authentifizierungs-App und gehört ebenfalls zu den Platzhirschen in diesem Segment. Sie können die 2FA-App nutzen, um Ihr Microsoft-Konto abzusichern oder sich ohne Passwort anzumelden. Sie dient aber auch als Code-Generator für alle anderen Konten und Websites, die zeitbasierte TOTP-Authentifizierung unterstützen. Microsoft Authenticator bietet zudem die Möglichkeit von Cloud-Backups über ein persönliches Konto. Die App ist kostenfrei und kann mit Android-Smartphones und iPhones genutzt werden.
Zum Download für Android. Zum Download für iPhone.
Authy: Für mehr als ein Gerät
Authy
Authy ist eine attraktive Alternative zum Google Authenticator, denn Websites, die die Authentifizierungs-App von Google unterstützen, funktionieren in der Regel auch mit Authy. Die 2FA-App überzeugt mit leichter Bedienung, ansprechendem Design und praktischen zusätzlichen Funktionen. Authy steht kostenlos zum Download für Windows, Mac, Linux, Android und iOS bereit.
Hauptunterschiede zur Google-Konkurrenz: Sie können mit Authy verschlüsselte Backups in der Cloud erstellen und die Daten über mehrere Geräte hinweg synchronisieren. So können Sie mehrere Geräte als zweiten Faktor nutzen und sind auf der sicheren Seite, wenn Sie eines verlieren sollten. Zum leichten Wechseln zwischen mehreren Konten zeigt die App eingerichtete Konten übersichtlich am unteren Bildschirmrand an.
LastPass Authenticator: Einloggen per Fingertipp
LastPass
Der Anbieter LastPass ist für seinen gleichnamigen Passwort-Manager bekannt, bietet aber mit dem LastPass Authenticator ebenfalls eine leicht zu bedienende Alternative zum Google Authenticator an. Diese unterstützt ähnlich wie Authy auch Multi-Sync und Code-Backups; für letztere benötigen Sie aber LastPass und ein kostenloses LastPass-Konto.
Mit LastPass Authenticator haben Sie die Wahl zwischen verschiedenen Authentifizierungsmethoden: Die App erstellt Codes per TOTP, unterstützt aber auch SMS-Codes oder Push-Benachrichtigungen. Mit diesen Push-Benachrichtigungen reicht es auf ausgewählten Websites wie Amazon, Dropbox oder Facebook aus, das Einloggen durch einmaligen Fingertipp auf „OK“ zu bestätigen. Dafür müssen Sie die LastPass-Browser-Erweiterung installiert haben und an Ihrem LastPass-Account angemeldet sein. LastPass-Nutzer am PC können sich zudem ohne Masterpasswort im Passwort-Manager einloggen.
Zum Download für Android. Zum Download für iPhone.
Was tun bei verlorenem oder defektem Smartphone?
Die Befürchtung, keinen Zugang mehr zu seinen Konten zu haben, ist für viele ein Hauptgrund, keine 2-Faktor-Authentifizierung einzusetzen. Aber diese Befürchtung ist weitgehend unbegründet. Zum einen gibt es Authentifizierungs-Apps, die auf mehreren Geräten installiert und genutzt werden können (z. B. Authy oder LastPass Authenticator). Wenn möglich, sollten Sie unbedingt von dieser Möglichkeit Gebrauch machen und die App auf einem zweiten Smartphone, Tablet oder auf dem Smartphone einer vertrauenswürdigen Person einrichten.
Aber auch Nutzer der Apps von Microsoft oder Google bleiben bei Verlust Ihres Smartphones nicht für immer ausgesperrt – wenn sie vorgesorgt haben. Google-Authenticator-Nutzer haben die Möglichkeit, Backup-Codess auszudrucken oder sicher zu speichern. Damit gelingen Logins dann auch ohne das hinterlegte Endgerät. Die Microsoft-App ermöglicht Cloud-Backups der Kontoinformationen, die dann auf einem neuem Gerät wiederhergestellt werden können.
Die besten Zwei-Faktor-Authentifizierungsverfahren – Fazit
Die vorgestellten Authentifizierungs-Apps erfüllen ihre Aufgabe sicher und zuverlässig. Authy bietet mit Backups und Multi-Sync Vorteile und überzeugt mit seinem gelungenen Interface. LastPass ist ebenfalls eine gute Alternative zum Google Authenticator und bietet zusätzlich zur Identifizierung per Code auch eine bequeme Fingertipp-Authentifizierung. Wer sich Sorgen um seine Log-ins bei Verlust seines Smartphones macht, dem bieten Authy und LastPass Authenticator eine einfache vorbeugende Möglichkeit: die Installation der App auf einem weiteren Endgerät.
- Kostenlose Übersetzungsprogramme – die besten Online-Tools in der Übersicht - 1. März 2023
- Microsoft Word kostenlos nutzen – die Online-Version mit allen Basisfunktionen - 7. Dezember 2022
- Digitale Transformation im Mittelstand – Status Quo - 6. Dezember 2022
Warum ist eigentlich die Zwei-Faktor-Authentifizierung bei der Anmeldung am KIS nicht mit einer 2FA-App möglich? Warum nur per SMS?
Schließe mich der Frage an. Bitte implementieren, wäre großartig!
Viele Grüße!
hätte ich auch gern dringend!
Warum nicht was deutsches: https://www.secsign.com/de/
Hallo RaHa,
vielen Dank für die Ergänzung. Das wäre eine Alternative zu den vorgestellten Tools, allerdings ist das Tool von SecSign kostenpflichtig.
Mit besten Grüßen
Wolf-Dieter Fiege
Offensichtlich hat SecSign reagiert.
Laut Website kostet nur die Einbindung in eigene Inhouse-Lösungen.
https://www.secsign.com/de/entwickler/haufige-fragen/
Alss eine erstzunehmende Alternative.
Ich habe mir jetzt mal die diversen Apps angeschaut. Die einzige App die ich empfehlen kann ist der“Aegis Authenticator“. Die einzige Berechtigung die diese App verlangt ist Kamerazugriff. Alle anderen Authenticator-Apps verlangen Berechtigungen die eine Authenticator-App m.E. nicht benötigt (z.B. Ruhemous deaktivieren, Zugriff auf die Kontakte, Zugriff auf Internet, Zugriff auf den Vibrator etc. pp.). Authy treibt es besonders arg, indem das Erstellen eines Benutzerkontos erzwungen wird, vermutlich werden Daten irgendwo in den USA gespeichert wo man nicht weiss wer da alles mitlesen kann (Wichtige Daten wie z.B. der geheieme Schlüssel haben außerhalb des Smartphones nichts zu suchen, schon garnicht auf einem Server in den USA., wo vielleicht der Geheimdienst im Klartext mitlesen kann).
@ René H.
Deine Paar Sätze waren mehr wert als der gesamter Artikel!
Vielen Dank!
authenticator pro wäre was
Mir wäre die App anstatt SMS auch tausendmal lieber. Aber vor allem wäre eine Zweifachauthentifizierung beim Einloggen in den Webmail dringend notwendig! Denn wenn jemand mal doch meinen Mailaccount geknackt haben sollte, kann so sonst alle Mails bezgl. Zurücksetzen von Kennwörter oder anderen Dingen abfangen. Doch ich finde nirgends die Möglichkeit, hier meine Mailaccount per Zeifachauthentifizierung zu schützen.
Ich vermisse hier die 2FA Methode mit Hardware Keys wie YubiKey. Einer der sichersten Methoden überhaupt. Warum nicht auch gleich auf das Passwort ganz verzichten und nur noch mit einem Hardware Key anmelden. Klar ist das eine kleine Umgewöhnung, aber die Handhabung ist doch deutlich einfacher, als sich ein sehr sicheres Passwort merken zu müssen. Wie man WordPress auf WebAuthn mit YubiKey umstellt, zeigen wir in unserem aktuellen Blogartikel.