Aus verschiedenen Gründen ist es zu empfehlen, dass Sie bei wichtigen Online-Diensten und Plattformen wie tchop eine zweite Barriere nach dem Passwort einrichten: die sogenannte Zwei-Faktor-Authentifizierung. Denn zwischen Hackern und ihrem Online-Account steht ansonsten kaum mehr als die Kombination aus Ihrer Email, einer ID und einem Passwort. Irgendwann ist auch das beste Passwort geknackt – und wenn nur durch Zufall bei einer “Brute Force”-Attacke. Manchmal müssen Diebe aber gar nicht erst Ihr Passwort knacken. Bei der Eingabe Ihres Passworts können Angreifer heimlich per Keylogger mitlesen – besonders auf fremden Rechnern ein schwer einzugrenzendes Risiko. Oder aber dass von Ihnen praktisch überall verwendete Passwort, fällt anderen beim Eindruck in die Datenbank eines großen Dienst-Anbieters in die Hände.
Was passiert bei der Zwei-Faktor Authentifizierung ?
Bei der Zwei-Faktor-Authentifizierung geschieht folgendes: Sie geben wie gewohnt Name und Passwort ein, um sich anzumelden. Bei aktivierter Zwei-Faktoren-Authentifizierung werden Sie danach nach einer sechsstelligen PIN gefragt. Zugang erlangen Sie nur, wenn also zunächst Ihr Passwort und dann dazu die passende PIN korrekt eingegeben werden.
Die PIN generieren sie via einer speziellen Gratis-App einfach auf Ihrem Smartphone oder Tablet-PC selbst. Der wirkungsvolle Schutz der Zwei-Faktor-Authentifizierung besteht nun darin, dass Ihr Passwort in den Händen eines Hackers für diesen nutzlos ist. Der Angreifer benötigt zusätzlich Ihr Smartphone, um sich am PC Zugang zur tchop Plattform und zum CMS zu erschleichen.
Welchen Vorteil hat die Nutzung einer speziellen Authenticator-App?
Von anderen Methoden der Zwei-Faktor-Authentifizierung kennen Sie vielleicht den Versand des PINs via SMS. Dies mag sich einfach und komfortabel anfühlen. Aber wirklich sicher ist dies aus folgenden Gründen nicht:
- Fremde Augen können schnell einen Blick auf Passwörter erhaschen, die per SMS überliefert werden. Denn diese werden in der Regel auf dem Sperrbildschirm offen angezeigt.
- Selbst wenn die Benachrichtigungen deaktiviert sind, kann eine SIM-Karte ganz einfach entfernt und in ein anderes Smartphone eingelegt werden, um so auf SMS-Nachrichten, die Passwörter enthalten, zugreifen zu können.
- SMS-Nachrichten, die Passwörter enthalten, können von einem Trojaner, der auf dem Smartphone lauert, abgefangen werden.
- Durch Taktiken wie Bestechung können Kriminelle eine neue SIM-Karte mit der Nummer des Opfers in einem Handyladen besorgen. SMS-Nachrichten werden dann an diese Karte gesendet und das Telefon des Opfers wird vom Netzwerk getrennt.
- SMS-Nachrichten, die Passwörter enthalten, können über eine technische Schwachstellen im Protokoll, das zur Übertragung der Nachrichten dient, abgefangen werden.
Eine bessere, sprich sichere Lösung einfache PIN bzw. Einmalcodes sind sogenannte Authenticator-Apps. Den Zweiter-Faktor liefert dabei auf Basis anerkannter und bewährter Sicherheitsstandards eine ganz einfache, native App auf Ihrem Smartphone. Diese wird mit dem Account mittels QR-Code abgeglichen und verbunden. Dieser QR-Code repräsentiert eine individuelle, nur wenige Sekunden gültige Zahlenreihe. Generiert werden diese Codes mit einem sicheren Algorithmus auf Basis von Zeit und dem geteilten “Geheimnis” (dem QR Code). Das funktioniert selbst dann, wenn man mit dem Smartphone offline ist.
Die Auswahl an 2FA-Apps ist überraschend groß. Wenn Sie bei Google Play oder im App Store nach „Authenticator“ suchen, werden Sie sehen, dass Ihnen unzählige Optionen zur Auswahl stehen.
Warum haben wir uns für den Google Authenticator entscheiden und wie funktioniert dieser?
Prinzipiell funktionieren die verschiedenen Authenticator-Apps alle sehr ähnlich und vom technischen Prinzip her letztlich gleich. Die von Google angebotene App für iOS, Android und Blackberry ist von der Handhabung aus unserer Sicht eine der besten. Sie ist gut gemacht und einfach verständlich.
Bei der erstmaligen Anmeldung mit dem Google Authenticator wird ein 80-Bit-Geheimcode erzeugt. Dieser Code muss zunächst auf den PC übertragen werden. Das geht einfach mittels QR-Code oder auch auf dem Smartphone selbst mittels Copy&Paste. Ausgedruckt werden sollte der Code aus Sicherheitsgründen nicht.
In einem zweiten Schritt wird zur Autorisierung ein Einmal-Passwort erzeugt, dass eine Kombination aus dem Geheimcode und der jeweils aktuellen Uhrzeit ist. Neben dem normalen Passwort muss der Nutzer bei der Anmeldung dann auch den sechsstelligen PIN als zweiten Faktor angeben.
An dieser Stelle sei noch erwähnt, dass zu keinem Zeitpunkt Daten an Google oder an einen anderen Dritten weitergeleitet werden.
Wer sich in die Anwendung und das Thema technisch tiefer einlesen will, dem sei dieser Wikipedia Eintrag zur Google Authenticator App empfohlen.
Was aber wenn mein Smartphone kaputt oder nicht Griff bereit ist?!
Auch die beste Zwei-Faktor-Authentifizierung hat eine Schwachstelle: Nämlich, wenn ich mein Smartphone nicht zur Hand habe oder es einfach seinen Geist aufgegeben hat. Bei einer Zwei-Faktor-Authentifizierung muss es daher immer eine Möglichkeit geben, sich auch ohne zweiten Faktor zu authentifizieren.
Auch dieser Weg muss so sicher sein, dass er nur dem tatsächlichen Benutzer offen steht und nicht von einem Angreifer genutzt werden kann, um sich mit der Ausrede des kaputten Smartphones Zugriff auf die Plattform zu verschaffen.
Wie genau dies bei tchop gelöst ist, verraten wir an dieser Stelle aus Sicherheitsgründen nicht. Sprechen Sie uns einfach an. Gerne erläutern wir dann die Details und diskutieren die verschiedenen Optionen. Abhängig von Ihrer internen Organisation gibt es hier unterschiedliche Lösungen.
Welche Einstellungs-Optionen habe ich bei tchop?
Sicherheit gibt es nicht umsonst. Sie erzeugt für die Nutzer letztlich immer etwas Mehraufwand. Auch wenn der hier nach der erstmaligen Einrichtung im Normalfall wirklich gering ist, es bleibt ein zusätzlicher Schritt aus Nutzerperspektive.
Bei tchop können Sie selbst entscheiden wie wichtig Ihnen die Sicherheit Ihrer Organisation ist bzw. wieviel Aufwand sie welchen Beteiligten abverlangen wollen oder müssen. Auf Organisationsebene können Administratoren einstellen, welches Nutzertypen sich wie oft mit der Zwei-Faktoren-Authentifizierung einloggen müssen. Natürlich können Sie dies auch jederzeit anpassen. Dies gibt Ihnen ein maximales Maß an Freiheit unsere Plattform Ihren Sicherheitsanforderungen anzupassen.
Herunterladen können Sie die Google Authenticatopr App kostenlos für hier für iOS und hier für Android.
Bei Fragen gilt wie immer: Sprechen Sie uns jederzeit an!