Artikel über die Sicherheit von Passwörtern erscheinen genauso regelmäßig wie Diätpläne. Beiden ist gemein, dass sie ihr Ziel nicht erreichen, denn meist handelt der Mensch anders, als sich ein rational agierender Wissenschaftler dies vorstellt.
Dennoch ist es falsch, den Kopf bei Sicherheitsfragen in den Sand zu stecken. Sicherheit wird umso wichtiger, je mehr essentielle digitale Güter geschützt werden müssen. Damit ist nicht nur das Bankkonto gemeint, sondern auch das Amazon-Konto, Social-Media-Profile, das Bitcoin-Wallet und eben auch der Zugang zu Domains. Sowohl die Qualität als auch die Quantität der Angriffe nimmt stetig zu. In den letzen 12 Jahren hat sich nach Angaben der Anti-Phishing Working Group (APWG) Phishing um 5.753 Prozent gesteigert.
| Quartal/Jahr | Anzahl der Phishingfälle |
|---|---|
| Q4/2004 | 1.609 |
| Q4/2016 | 92.564 |
Quelle: Phishing Attack Trends Report – 4Q 2016
Wie aber gestaltet man ein Sicherheitssystem, dass den legitimen Inhaber verlässlich verifiziert und dabei einfach und kostengünstig ist? Der mahnende Aufruf, sichere Passwörter zu verwenden hat es nicht geschafft. Noch immer verwenden viele User ein mittelmäßiges Passwort, dass sie bei mehreren Anbietern verwenden. Wird dieses Passwort durch einen Hacker ausspioniert, kann er mehrere wichtige Benutzerkonten übernehmen und den legitimen User aussperren.
Dabei ist die riskante Passwortstrategie vieler User sogar nachvollziehbar. Wie soll sich ein Mensch eine zwei- bis dreistellige Anzahl von Passwörter merken, die den Anforderungen von Sicherheitsexperten genügen? Sobald ein User anfängt die Aufgabe zu lösen, indem er beispielsweise unterschiedliche Passwörter nach einem merkbaren Muster erstellt, schafft er gleichzeitig den Schwachpunkt, den ein Hacker ausnutzen kann: die Mustererkennung. Eine verbreitete Antwort auf dieses Problem sind Passwortmanager, die es dem User erleichtern, einmalige, sichere Passwörter automatisch zu generieren. Ist der Passwortmanager jedoch kompromittiert, hat der Angreifer Zugriff auf alle gespeicherten Konten.
Systeme mit mehr Sicherheitselementen als Loginname und Passwort verursachen mehr Aufwand bei der Verifizierung und sind mit höheren Kosten verbunden. Diese Systeme erfordern ein weiteres Legitimationsmerkmal, einen zweiten Faktor. Beim Online Banking ist dies beispielsweise eine HBCI-Chipkarte und Kartenleser aber auch PINs zählen dazu.
Für alle Sicherheitssysteme gilt eine einfache Formel: Sicherheit und Komfort stehen sich unvereinbar gegenüber. Ein Nutzer entscheidet sich, wie viel Sicherheit oder Komfort er sich wünscht. Mehr Sicherheit bedeutet weniger Komfort – mehr Komfort bedeutet weniger Sicherheit. Die Kunst ist es, die Sicherheit so weit zu erhöhen, dass die Komforteinbußen im Alltag erträglich bleiben. Mit einem Smartphone läßt sich ein guter Mix aus zusätzlicher Sicherheit bei einem akzeptablen Aufwand erreichen. Erreicht wird dies mit sogenannten One-Time-Password- oder Authenticator-Apps.
Mit einem Smartphone ist es möglich, einen zusätzlichen zweiten Faktor abzufragen, ohne den Login-Aufwand und die Kosten so zu erhöhen, dass der User abgeschreckt wird. Meist wird dazu ein Code als SMS verschickt oder ein Code mit einer App generiert. united-domains hat sich bei der Sicherung des Domain-Portfolios für die zweite Variante entschieden. Über eine OTP/Authenticator-App wird ein Code generiert, der 30 Sekunden gültig ist.
Was passiert, wenn ich mich ausschließe?
Einige Nutzer befürchten, sich aus allen Diensten mit zweistufiger Verifizierung auszuschließen, wenn Sie ihr Smartphone verlieren oder es gestohlen wird. Abhängig vom Anbieter gibt es mehrere Möglichkeiten, die zweistufige Verifizierung zu deaktivieren. Die am häufigsten verwendete Variante sind Backup-Codes. Auch wir setzen auf Backup-Codes, die Sie sich nach der Aktivierung der zweistufigen Verifizierung ausdrucken können.
Backup und gesicherter Zugang zur 2FA-App
Hat ein User mehrere 2FA-Accounts, kann es aufwändig werden, diese jeweils zu aktivieren und zu deaktivieren und nicht immer stehen die ausgedruckten Backup-Codes zur Verfügung. Je nach App ist es daher möglich, ein Backup aller 2FA-Konten zu machen, um bei einem Verlust des Smartphones einfach die Generierung von Codes für alle 2FA-Dienste wiederherstellen zu können.
OTP-Auth für iOS bietet hierfür eine einfach Lösung. Alle Konten können gesichert und/oder synchronisiert werden. Sowohl über iCloud als auch lokal über iTunes. Unter Android bietet Authy eine ähnliche Funktionalität.
Im Gegensatz zu Googles Authenticator bieten OTP-Auth, Authy und Microsoft’s Authenticator einen Zugangsschutz zur App bevor die Einmalpasswörter (OTPs) angezeigt werden. Je nach Betriebssystem ist das TouchID (iOS) und/oder ein PIN-/Passwortschutz.
Mehrere Benutzer für ein Domain-Portfolio
Eine OTP/Authenticator-App kann auf mehreren Geräten installiert werden und auf jedem Gerät die Einmalcodes generieren. In der OTP-Auth-App ist es sogar möglich, den QR-Code erneut anzuzeigen, um ihn zu speichern oder einem Kollegen zu geben. In der Google-Authenticator-App wird der QR-Code (das Geheimnis) nicht gespeichert und kann nicht nachträglich übertragen werden. Sofern mehrere Benutzer die Google-Authenticator-App verwenden möchten, muß also das Geheimnis oder der QR-Code sicher gespeichert werden.
Welche App geeignet ist, wird durch die individuellen Anforderungen bestimmt: Vertrauen in den Anbieter, Komfort und Sicherheit.
App-Downloads
| Anbieter | iOS | Android |
|---|---|---|
| Authy.com | App-Store | Play-Store |
| Google Authenticator | App-Store | Play-Store |
| Microsoft Authenticator | App-Store | Play-Store |
| OTP-Auth | App-Store | n/a |
