So sicherst du deine Konten mit Zwei-Faktor-Authentifizierung ab

Wer seine Online-Konten möglichst gut schützen möchte, sollte neben schwer zu knackenden Passwörtern auch Zwei-Faktor-Authentifizierung verwenden. Viele Dienste bieten diese zusätzliche Sicherheitsschicht für den Anmeldeprozess inzwischen an. Zuletzt hat sie auch Amazon in Deutschland als „Zwei-Schritt-Verifizierung“ offiziell eingeführt. Bei Google heißt das Verfahren „Bestätigung in zwei Schritten“, Facebook nennt es einfach „Anmeldebestätigungen“ und Microsoft spricht von „Überprüfung in zwei Schritten“. Gemeint ist aber immer das gleiche: Die Zwei-Faktor-Authentifizierung (kurz 2FA) dient dazu, die Identität eines Nutzers mittels der Kombination zweier unabhängiger Komponenten zweifelsfrei nachzuweisen. Das kann laut Definition etwas sein, das der Nutzer weiß, besitzt oder das untrennbar zu ihm gehört. Konkrete Beispiele für diese Merkmale sind ein Passwort, ein Hardware-Token in Form eines USB-Sticks oder Smartphones sowie die Stimme oder der Fingerabdruck. Nur wenn der Anwender Merkmale aus zwei verschiedenen Gruppen bei der Anmeldung nachweisen kann, erhält er Zugang zu seinem Account.

Der Vorteil dieser Methode liegt darin, dass das Konto auch dann abgesichert bleibt, wenn Zugangsdaten wie Benutzername und Passwort in die falschen Hände geraten. Viele Kennwörter sind relativ leicht zu knacken. Doch selbst wenn eine sehr komplexe Passphrase verwendet wird, könnten sich Hacker diese direkt aus einer unzureichend abgesicherten Anbieter-Datenbank beschaffen. Angriffe dieser Art gibt es immer wieder. Für Aufsehen sorgte im November beispielsweise der Hack des Betreibers der Sexkontaktbörse Adult Friend Finder, bei dem insgesamt über 410 Millionen Konten und Passwörter kompromittiert wurden. Bei aktivierter Zwei-Faktor-Authentifizierung kann ein Hacker mit den Zugangsdaten allein nichts anfangen, weil ihm der zweite zum Identitätsnachweis benötigte Faktor fehlt. Allerdings ist 2FA in der Regel nicht standardmäßig eingeschaltet, sondern muss in den Kontoeinstellungen manuell eingerichtet werden.

Bei Amazon war die „Zwei-Schritt-Verifizierung“ bis vor Kurzem nur über Umwege nutzbar. Jetzt findet sich die für die Aktivierung benötigte Option auch in den Kontoeinstellungen der deutschen Website, inklusive Hilfeartikel. Zunächst musst du dich an deinem Amazon-Konto anmelden und unter Einstellungen den Punkt „Anmelde- und Sicherheitseinstellungen“ auswählen. Im folgenden Bildschirm findet sich die Option „Erweiterte Sicherheitseinstellungen“, ein Klick auf „Bearbeiten“ und dann auf „Erste Schritte“ startet den Einrichtungsassistenten für die Zwei-Schritt-Verifizierung. Nun musst du zunächst festlegen, ob du den Authentifizierungscode per SMS auf dein Handy geschickt bekommen möchtest oder lieber eine Authentifizierungs-App verwenden willst. Ersteres setzt die Angabe einer gültigen Telefonnummer voraus, Letzteres eine auf dem Smartphone installierte Anwendung wie Google Authenticator oder Authy, die den nur für begrenzte Zeit gültigen Code lokal generiert. Abgeschlossen wird der erste Einrichtungsschritt durch die Eingabe des via SMS oder App erhaltenen Codes und einen Klick auf „Code verifizieren und fortfahren“. Im nächsten Schritt musst du zur Sicherheit eine alternative Übermittlungsmethode definieren, falls die bevorzugte Variante nicht funktioniert.

Hast du die Einrichtung der Zwei-Schritt-Verifizierung erfolgreich abgeschlossen, musst du bei der Anmeldung an dein Amazon-Konto zusätzlich zu Benutzername und Passwort den für jede Sitzung neu generierten Sicherheitscode angeben. Auf Computern, die du häufig verwendest, kannst du optional einstellen, dass du keinen Code eingeben musst. Außerdem weist Amazon darauf hin, dass manche Geräte keine zweite Anzeige öffnen können, die zur Eingabe des Sicherheitscodes auffordert, die Zwei-Schritt-Verifizierung aber trotzdem erforderlich ist. In diesem Fall musst du dich zuerst mit deinem Passwort anmelden, worauf eine Fehlermeldung erscheint. Parallel erhältst du einen Code, den du dann am Ende des Passworts einfügst und durch erneuten Klick auf „Anmelden“ bestätigst.

Google bietet ebenfalls eine zweistufige Authentifizierung an, um Accounts durch eine zusätzliche Sicherheitsebene zu schützen. Zunächst meldest du dich an deinem Google-Konto an und wählst dann „Anmeldung & Sicherheit“. Unter „Anmeldung bei Google“ und dem Punkt „Passwort & Anmeldeverfahren“ findest du die Option „Bestätigung in zwei Schritten“, über die sich der Einrichtungsassistent starten lässt. Du hast die Wahl, ob du Sicherheitscodes per SMS, Sprachanruf oder Authentifizierungs-App erhalten möchtest. Alternativ ist auch die Nutzung eines Sicherheitsschlüssels möglich, der den offenen Standard FIDO Universal 2nd Factor (U2F) unterstützt (z.B. YubiKey). Ebenfalls kannst du festlegen, ob der Code immer abgefragt wird, oder nur dann, wenn du dich von einem Google bisher nicht bekannten Browser oder Gerät anmeldest.

Um die Zwei-Faktor-Authentifizierung bei Facebook einzurichten, musst du dich zuerst an deinem Konto einloggen. Anschließend öffnest du über das Menü oben rechts die Einstellungen und wählst dort den Bereich „Sicherheit“ aus. Dort findest du den Unterpunkt „Anmeldebestätigungen“ über den du die Abfrage eines Sicherheitscodes aktivieren kannst. Der Code muss immer dann eingegeben werden, wenn du dich von einem zuvor noch nicht genutzten Browser oder Gerät bei Facebook anmeldest. Klickst du das Kästchen bei „Anmeldecode für den Zugriff auf mein Konto über einen unbekannten Browser anfordern“ an, öffnet sich zum Start der Einrichtung ein Pop-up-Fenster. Nach einem Klick auf „Los geht’s“ folgt eine Abfrage des Handytyps. Verwendest du ein Android- oder iOS-Gerät, solltest du sicherstellen, dass du darauf die aktuelle Version der Facebook-App installiert hast. Anschließend musst du in der Mobilanwendung über das Menü den Codegenerator aktivieren. Den generierten Testcode gibst du dann auf der Einrichtungsseite ein und bestätigst ihn. Neben dem Codegenerator lässt sich auf Wunsch auch eine andere App zur Generierung von Anmeldecodes einrichten.

Nutzt du kein Android- oder iOS-Gerät, kannst du alternativ eine Telefonnummer hinterlegen, an die der Anmeldecode per SMS verschickt werden soll. Wenn du diese Methode wählst, solltest du aber beachten, dass auch Fremde standardmäßig durch eine Suche nach der Telefonnummer das zugehörige Facebook-Konto ausfindig machen können. Um dies zu verhindern, musst du in den Privatsphäre-Einstellungen unter „Wer kann nach mir suchen“ den Punkt „Wer kann mithilfe der von dir zur Verfügung gestellten Telefonnummer nach dir suchen“ bearbeiten. Die maximal verfügbare Einschränkung „Freunde“ sorgt dafür, dass Fremde dein Konto nicht mehr auf Basis der Telefonnummer finden können.

Microsoft-Konten lassen sich ebenfalls per Zwei-Faktor-Authentifizierung absichern. Die Überprüfung in zwei Schritten setzt eine alternative E-Mail-Adresse, eine Telefonnummer oder eine Authentifikator-App voraus. Wenn du dich von einem nicht vertrauenswürdigen Gerät oder von einem neuen Standort aus einloggst, übermittelt Microsoft einen Sicherheitscode, den du auf der Anmeldeseite zusätzlich zu Benutzername und Passwort eingeben musst.

Nach der Anmeldung an dein Microsoft-Konto kannst du die Überprüfung in zwei Schritten im Einstellungsbereich „Sicherheit und Datenschutz“ ein- und wieder ausschalten. Wähle dazu unter „Prüfung in zwei Schritten“ die entsprechende Option. Auch hier führt ein Assistent durch den Einrichtungsprozess. Neben der Übermittlungsmethode für die Sicherheitscodes kannst du auch gesonderte App-Kennwörter für Anwendungen und Geräte (etwa Xbox 360 oder ältere Windows Phones) festlegen, die keine Codes für die Überprüfung in zwei Schritten unterstützen. Außerdem wird ein 20-stelliger Wiederherstellungscode angezeigt, den du unbedingt notieren oder ausdrucken und an einem sicheren Ort aufbewahren solltest. Er ist die einzige Möglichkeit, bei Problemen mit der Authentifikator-App oder Verlust des Smartphones weiterhin Zugang zu deinem Konto zu erhalten.

Neben den genannten unterstützen auch viele andere Anbieter und Dienste Zwei-Faktor-Authentifizierung, darunter Apple, Blizzard, Dropbox, LastPass, LinkedIn, Office 365, Twitter, WhatsApp, WordPress und Yahoo. Eine hilfreiche Übersicht bietet die Website twofactorauth.org. Die Option zur Aktivierung der Zwei-Faktor-Authentifizierung findet sich in der Regel im Sicherheitsbereich der Kontoeinstellungen. Die Einrichtungsschritte bei den verschiedenen Diensten ähneln meist den hier beschriebenen.

Der einmalige Aufwand zur Einrichtung sowie der geringfügig längere Anmeldeprozess lohnen sich, da ein Konto mit Zwei-Faktor-Authentifizierung wesentlich besser abgesichert ist als beim ausschließlichen Einsatz eines Passworts. Es gibt aber einige Dinge zu beachten: Zum einen musst du dein Smartphone stets griffbereit haben, um den per SMS oder App übermittelten Code zu erhalten. Generell gilt, dass die Nutzung einer Authentifikator-App sicherer ist als der SMS-Empfang. Denn per Kurznachricht gesendete Codes können theoretisch abgefangen oder umgeleitet werden. Für den Fall, dass das Smartphone einmal ausfällt (Funkloch) oder verloren geht, solltest du bei der Einrichtung mindestens eine alternative Übermittlungsmethode (E-Mail, zweite Telefonnummer) angeben. Zum anderen empfiehlt es sich, immer eine Liste in Papierform mit Notfall- beziehungsweise Wiederherstellungscodes dabei zu haben.