Vor allem Suchmaschinen-Konzern Google bewarb die Zwei-Faktor-Authentifizierung in der Vergangenheit sehr offensiv. Sie sei wesentlich sicherer, schütze sie doch vor Passwort-Diebstählen, mitlaufenden Keyloggern und Hacks, hieß es in den eindringlichen Botschaften des Hauses. Der Erfolg dieser Bemühungen war überschaubar: Selbst sehr optimistische Schätzungen gehen davon aus, dass maximal fünf Prozent der Google-User die Zwei-Faktor-Authentifizierung nutzen. Die Hürde liegt der Wahrnehmung vieler Nutzer nach zu hoch. Doch dies täuscht.
Zwei-Faktor-Authentifizierung: Die Angebote von Google und Apple
Dass die Zwei-Faktor-Authentifizierung hilfreich ist, wird von niemandem bestritten. Ein extremes Beispiel: Der Pishing-Angriff auf den Computer von Hillary Clintons Wahlkampfmanager John Podesta wäre erfolglos gewesen, hätte jener ein entsprechendes System genutzt.
Google und Apple haben, wie viele andere auch, längst Systeme eingeführt, die nutzerfreundlich und einfach sind. Google nutzt beispielsweise das Smartphone und die App Google Authentificator für das zweite Merkmal. User müssen als ersten Faktor das Passwort eingeben und erhalten von der App als zweiten Faktor ein Einmal-Passwort, der als Bestätigungscode bezeichnet wird. Der Code kann per SMS versandt oder direkt in der Applikation angezeigt werden. Variante 1 ist allerdings nicht sehr empfehlenswert, weil sich SMS leicht abfangen lassen.
Apple arbeitet ähnlich, allerdings stellt schon das Betriebssystem die Zwei-Faktor-Authentifizierung bereit – vorausgesetzt, wenigstens iOS 9 oder Mac OS X El Capitan wird genutzt. Der Nutzer legt ein Gerät fest, das er als vertrauenswürdig definiert. Auf das Gerät wird beim Einloggen in bestimmte Dienste ein Code gesandt. Als Beispiel: Wer sich über einen Windowsrechner online in seinen iCloud-Account einloggt, muss diesen Schritt über sein iPhone bestätigen.
Zweiter Faktor über externe Hardware
Generell lassen sich fast alle Online-Services über den Einsatz externer Hardware mit einem zweiten Faktor sichern. Als Beispiel sei Yubikey genannt: Das Gerät erzeugt Einmal-Passwörter. Keylogger oder Hacks stellen so keine Bedrohung mehr da, weil das Passwort nach Benutzung sofort ungültig wird. Allerdings ist der Einsatz solcher Geräte kostenpflichtig – zudem muss man es dabei haben. Yubikey hat zuletzt zudem scharfe Kritik geerntet, weil der Quellcode der zugehörigen Software inzwischen geheim ist. Als Alternative bietet sich beispielsweise NItrokey an.
Zusammengefasst gilt: Besonders kompliziert ist die Zwei-Faktor-Authentifizierung eigentlich nicht. Auch Laien können sie problemlos nutzen. Es mangelt aber an einem Bewusstsein, wie einfach der entsprechende Schritt ist und welchen Mehrwert an Sicherheit er bedeutet.
