Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 8 Min.

Sicher bei Online-Diensten anmelden: Überall sicher anmelden


PC Welt XXL - epaper ⋅ Ausgabe 2/2020 vom 22.11.2019

Mit einer Zwei-Faktor-Authentifizierung schützen Sie wichtige Onlinedienste gut gegen Angreifer. Wenn Sie zudem noch die richtigen Einstellungen wählen, geht das sogar ohne Einschränkungen beim Komfort. Perfekt ist die Zwei-Faktor-Authentifizierung allerdings noch nicht.


Artikelbild für den Artikel "Sicher bei Online-Diensten anmelden: Überall sicher anmelden" aus der Ausgabe 2/2020 von PC Welt XXL. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Foto: © ktsdesign – AdobeStock

Jeden Tag tauchen im Schnitt 859.971 geklaute Log-in-Daten im Internet auf. Das zeigt das Hasso-Plattner-Institut auf der Website zu seiner Leak-Datenbank (https://sec.hpi.de/ilc ). Dort können Sie selber den aktuellen Stand des Passwortdiebstahls prüfen und testen, ob Ihre Log-in-Daten bereits im Internet ...

Weiterlesen
epaper-Einzelheft 11,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Welt XXL. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 2/2020 von Die Heft-DVD: Die Highlights auf der Heft-DVD. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Die Heft-DVD: Die Highlights auf der Heft-DVD
Titelbild der Ausgabe 2/2020 von Funktions- und kumulative Updates: Neue Upgrade-Zyklen bei Windows 10. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Funktions- und kumulative Updates: Neue Upgrade-Zyklen bei Windows 10
Titelbild der Ausgabe 2/2020 von Diese neuen Funktionen müssen Sie kennen: Windows-Updates 2019: Das ist neu. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Diese neuen Funktionen müssen Sie kennen: Windows-Updates 2019: Das ist neu
Titelbild der Ausgabe 2/2020 von Ausblick auf das Frühjahrs-Update („20H1“): 20H1: Das ist neu im Frühjahrs-Update. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Ausblick auf das Frühjahrs-Update („20H1“): 20H1: Das ist neu im Frühjahrs-Update
Titelbild der Ausgabe 2/2020 von Support-Aus von Windows 7 – und wie es weitergeht: Support-Aus: Upgrade von Windows 7 auf 10. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Support-Aus von Windows 7 – und wie es weitergeht: Support-Aus: Upgrade von Windows 7 auf 10
Titelbild der Ausgabe 2/2020 von Hardware-Kompatibilität zu Windows 10: Hardware nach Maß für Windows 10. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Hardware-Kompatibilität zu Windows 10: Hardware nach Maß für Windows 10
Vorheriger Artikel
Richtig suchen im Internet
aus dieser Ausgabe
Nächster Artikel Tipps und Tricks zu TV-Mediatheken
aus dieser Ausgabe

Jeden Tag tauchen im Schnitt 859.971 geklaute Log-in-Daten im Internet auf. Das zeigt das Hasso-Plattner-Institut auf der Website zu seiner Leak-Datenbank (https://sec.hpi.de/ilc ). Dort können Sie selber den aktuellen Stand des Passwortdiebstahls prüfen und testen, ob Ihre Log-in-Daten bereits im Internet kursieren. Die Gefahr dafür ist hoch, denn Hacker machen sich meist nicht die Mühe, Ihren privaten PC zu attackieren und dort an Ihre Passwörter zu gelangen. Sie kapern stattdessen die Log-in- Datenbanken von großen Unternehmen, etwa Yahoo, Dropbox, Adobe, Sony und vielen weiteren und stehlen so auf einen Schlag Millionen von Nutzerkonten. Das Hasso-Plattner-Institut kennt bereits heute über 9 Milliarden gestohlene Log-ins, die im Internet kursieren. Dafür durchsucht das Institut die dunklen Ecken des Internets und lädt laufend neue Sammlungen mit Log-in-Infos in seine Datenbank.
Zum Glück gibt es aber eine zuverlässige Schutzmethode, um sich vor Angriffen mit gestohlenen Log-in-Daten zu schützen. Sie funktioniert über die sogenannte Zwei-Faktor- Authentifizierung.


„Die Zwei-Faktor-Authentifizierung bringt mehr Sicherheit – (fast) ohne Einbußen beim Komfort.“


So funktioniert die Zwei-Faktor-Authentifizierung

Mit der Zwei-Faktor-Authentifizierung (2FA) funktioniert der Zugriff auf ein Onlinekonto erst dann, wenn Sie nach der gewohnten Eingabe des Passworts einen Zusatzcode bei der Anmeldung eingegeben haben. Dieser Zusatzcode wird in der Regel für den aktuellen Log-in neu generiert und ist nur einige Sekunden oder Minuten lang gültig. Sie bekommen den Code etwa per SMS vom Anmeldeserver gesendet oder Sie erzeugen ihn über eine spezielle Handy-App selber. Auch ein Hardwaregerät, ein sogenannter Sicherheits-Token, kann als zweiter Faktor dienen. Solche Geräte gibt es ab 12 Euro für den USB-Anschluss oder ab 22 Euro mit Bluetooth, zum Beispiel bei Amazon (www.pcwelt.de/_GJTNd ). Für Notfälle lassen sich Zusatzcodes ausdrucken, die dann nur einmal gültig sind.
Ein per 2FA geschütztes Konto kann ein Hacker auch dann nicht öffnen, wenn er Ihre Log-in-Daten kennt. Denn es fehlt ihm der zweite Faktor, also Ihr Smartphone, auf dem Sie den Zusatzcode per SMS oder App empfangen.

2FA ist kaum umständlicher als gewohnte Log-ins

Wer bisher noch keine 2FA für ein Onlinekonto nutzt, hält die Methode vermutlich für aufwendig und kompliziert. Doch im Alltag ist sie das überhaupt nicht. Allerdings gibt es ein paar Haken, die wir weiter unten aufzeigen. In der Regel läuft der Log-in per 2FA nach der einmaligen Einrichtung wie ein gewöhnlicher Log-in ab. Denn für die meisten Dienste müssen Sie den Zusatzcode nicht bei jedem Log-in eingeben, sondern nur beim ersten Log-in mit einem neuen Programm. Meist ist das der Browser. Danach kann das Programm, also der Browser, auch ohne Zusatzcode den 2FA-geschützten Dienst nutzen.
Praktisch sieht das so aus: Wenn Sie zum Beispiel Ihr Gmail-Mailpostfach per 2FA schützen möchten, dann aktivieren Sie diesen Schutz einmalig unterhttps://accounts.google.com , „Sicherheit“. Das dauert nur wenige Minuten, wenn Sie als zweiten Faktor etwa die App Google Authenticator konfigurieren. Anschließend melden Sie sich im Browser auf Ihrem Heim-PC mit dem zweiten Faktor beiwww.gmail.com an. Von nun an benötigen Sie für einen Log-in über diesen Browser keinen zweiten Code mehr. Wiederholen Sie die Anmeldung für alle Ihre privaten Geräte, etwa Ihr Smartphone oder Ihr Tablet, und Sie müssen sich nicht weiter um 2FA kümmern.

Das sind die Vorteile der Zwei-Faktor-Authentifizierung

Wie bereits angedeutet, bietet die Zwei- Faktor-Authentifizierung einen sehr guten Schutz gegen Angreifer, die in Ihr Konto einbrechen wollen. Solange Sie den zweiten Faktor, etwa das Smartphone, nicht verlieren, kann sich ein Hacker selbst dann nicht einloggen, wenn er Benutzername und Passwort kennt.
Darum sollten Sie alle wichtigen Konten per 2FA schützen. Allen voran das Mailkonto. Denn wer auf ein Mailkonto Zugriff hat, kann sich auch in fast alle anderen Onlinekonten des Nutzers einloggen. Die „Ich habe mein Passwort vergessen“-Funktion macht es möglich.

Für welche Dienste ist die Zwei- Faktor-Authentifizierung sinnvoll?

Neben dem Mailkonto sollten Sie auch Bezahldienste wie Paypal per 2FA schützen. Ihr Onlinebanking bietet übrigens schon seit Langem die Zwei-Faktor-Authentifizierung. Denn die TAN, die Sie für eine Überweisung eingeben müssen, ist nichts anderes als ein zweiter Faktor.
Die Onlineshopping-Site Amazon bietet ebenfalls 2FA an, was durchaus sinnvoll ist. Zwar kann ein Hacker die Lieferadresse einer Bestellung nur dann ändern, wenn er auch die Kreditkartendaten erneut eingeben kann. Doch reicht der Schutz eigentlich nicht aus. Denn ein Hacker kann in Ihrem Amazon-Account shoppen und die Ware an Ihre hinterlegte Adresse schicken lassen. Eine Umleitung der Warensendung nimmt er dann über den Lieferdienst vor. Je nach gewählter Versandart geht das mehr oder weniger einfach.
Wer darüber hinaus noch „wertvolle“ Onlinekonten hat, etwa eine Bitcoin-Onlinebörse mit vielen Bitcoins, der sollte auch diese per 2FA schützen. Eine Liste mit wichtigen Diensten, für die sich 2FA lohnt, finden Sie auf Seite 158.

Das Hasso-Plattner- Institut kennt über neun Milliarden gestohlene Log-in-Daten. Sie können auf der Website (https://sec.hpi.de/ilc ) selbst prüfen, ob Ihre Log-in-Daten dabei sind.


Die einmalige Einrichtung einer 2-Faktor-Authentifizierung ist in wenigen Minuten erledigt. Die meisten Dienste, hier Google, bieten mehrere Möglichkeiten für den zweiten Faktor an, etwa SMS, App, Notfallcodes und Hardware-Token.


Den Zwei-Faktor-Schutz gibt es nicht nur für Log-ins in Onlinedienste, sondern auch für einzelne Mails. Das geht zumindest bei Gmail. Der Dienst versendet zum Öffnen einer Mail extra einen Code per SMS.


Das sind die Nachteile der 2-Faktor-Authentifizierung

Einige Nachteile hat die Zwei-Faktor-Authentifizierung allerdings doch. Bei der Anmeldung an einem neuen Gerät müssen Sie Ihr Smartphone beziehungsweise eine ausgedruckte Liste mit Notfallcodes immer griffbereit haben. Daraus ergibt sich der wohl größte Nachteil der 2FA: Auf Reisen kann man sich selber aussperren. Wenn Sie zum Beispiel im Urlaub Ihr Smartphone verlieren, dann ist nicht nur das Handy, sondern auch der zweite Faktor weg. Passiert das zu Hause, haben Sie in der Regel immer noch den Browser Ihres PCs, in dem Sie für Ihre 2FA-Dienste dauerhaft legitimiert sind. Wenn Sie sich aber im Urlaub vom PC Ihres Hotels oder vom einem Familien-Smartphone aus einloggen wollen, wird das 2FA-geschützte Konto unweigerlich den zweiten Faktor verlangen. Das Problem verschärft sich schlagartig, wenn Sie als Alternative zum Smartphone-Code eine Mailadresse als zweiten Faktor angegeben haben, diese Mailadresse aber ebenfalls per 2FA geschützt ist. So können Sie sich zwar einen Ersatzcode per Mail zustellen lassen, diesen aber nicht öffnen, da auch der Maildienst einen zweiten Faktor verlangt.
Das Urlaubsproblem lässt sich lösen, wenn Sie sogenannte Notfallcodes für den 2FADienst ausdrucken und mitnehmen. Diese sind nur einmal gültig. Sie sollten dann in einem anderen Gepäckstück als das Smartphone verwahrt werden.

Tipps und Tricks zur 2-Faktor-Authentifizierung

App statt SMS: Auf den ersten Blick sieht die SMS als zweiter Faktor besonders sicher aus. Tatsächlich ist sie aktuell weniger sicher als eine Authenticator-App. Denn motivierte Angreifer können sich eine Ersatz- SIM-Karte von Ihrem Provider ergaunern und so an Ihre SMS kommen. Oder ein Smartphone-Virus stiehlt eine eingehende SMS in Echtzeit. Entsprechend sind Authenticator- Apps aktuell die bessere Wahl. Zudem können diese auch dann einen Zusatz- code generieren, wenn Sie gerade keine Mobilfunkverbindung haben.
Misstrauisch bleiben: Auch ein 2FA geschütztes Konto entbindet einen Nutzer nicht von einem gesunden Maß an Misstrauen. Denn mit Phishing-Tricks können Angreifer trotz 2FA in ein Konto einbrechen. Das ist tatsächlich schon vorgekommen. Die Angreifer bauten dafür die Website eines Maildienstes nach und ergaunerten von den Opfern nicht nur die Log-in-Daten, sondern auch den Zusatzcode, den sie umgehend für sich selbst nutzten. Bleiben Sie also immer dann wachsam, wenn Sie erneut nach einem Zusatzcode gefragt werden.
Einzelne Mails schützen: Wer bei Gmail ein Mailkonto hat, kann seit 2018 auch einzelne Mails per 2FA schützen. Damit legen Sie als Versender einer Mail fest, dass der Empfänger die Nachricht erst dann öffnen kann, nachdem er einen Zusatzcode eingegeben hat. Diesen Code erhält er per SMS auf eine Handynummer, die Sie beim Versand eingeben. Die SMS sendet Gmail erst dann, wenn der Empfänger die Nachricht öffnen möchte.
Den 2FA-Schutz für zu sendende Mails legen Sie so fest: Klicken Sie in der Weboberfläche vom Gmail (www.gmail.com ) wie gewohnt auf „Schreiben“, um eine neue Nachricht zu verfassen. Wählen Sie im „Schreiben“-Fenster vor dem Versand der Nachricht das Symbol mit Vorhängeschloss und Uhr. Legen Sie ein Ablaufdatum für die Nachricht fest und klicken Sie auf „SMS-Sicherheitscode“ und auf „Speichern“, um 2FA zu aktivieren. Nach einem Klick auf „Senden“ fordert Sie Gmail auf, die Handy-Nummer des Empfängers einzugeben.
Zweite Mailadresse ohne 2FA: Obwohl dieser Beitrag dafür plädiert, das Mailkonto per 2FA zu schützen, ist 2FA für manche Zwecke hinderlich. Das gilt zum Beispiel für Programme, die bei einer Störung eine Mail an Sie versenden sollen. Das macht etwa ein gutes Backup-Programm, um über den Erfolg eines Backup-Auftrags zu berichten. Dafür müssen Sie im Programm Ihre Login- Daten zum Mailkonto eingeben. Viele Programme kommen dabei mit 2FA geschützten Mailkonten nicht zurecht. In diesen Fällen ist es am einfachsten, ein zweites Mailkonto ohne 2FA zu nutzen. Oder Sie nutzen ein sogenanntes „App“-Passwort Ihres 2FA-Mailanbieters. Dieses ist nur einmal gültig und authentifiziert ein Programm dauerhaft.

Es gibt mehrere empfehlenswerte Authenticator Apps (siehe Tooltabelle Seite 157). Diese können Sie für verschiedene Dienste einsetzen. Beispielsweise lönnen Sie den Lastpass Authenticator auch für Google nutzen.


Um eines kommt man auch mit der Zwei-Faktor-Authentifizierung nicht herum – einen guten Passwortmanager. Denn auch mit 2FA muss jedes Konto ein eigenes Passwort besitzen, damit die Log-ins sicher sind.

WICHTIGE INFOS ZUR 2-FAKTOR-AUTHENTIFIZIERUNG

Die Aktivierung einer 2-Faktor-Authentifizierung (2FA) ist nicht besonders schwierig , erschließt sich allerdings auch nicht intuitiv. Wenn ein Dienst 2FA anbietet, dann stellt er immer auch einen geführten Schritt-für-Schritt-Dialog für die Einrichtung bereit. Wichtig dabei: Wenn Sie bei einem Dienst 2FA aktivieren, dann wird als zweiter Faktor meist ein SMS-Code, eine Authentifizierungs- App oder ein Hardware-Token angeboten. Für die SMS müssen Sie Ihre Handynummer angeben. Sie bekommen den Zusatzcode dann per SMS zugeschickt. Die Authentifizierungs- App wird einmalig mit Ihrem Konto verbunden und gibt von da an alle 30 Sekunden einen Zusatzcode aus, der 30 Sekunden lang gültig ist. Gut ist: Sie müssen meist nicht die Authentifizierungs- App des Anbieters nehmen, sondern können eine beliebige wählen. Das heißt, dass Sie etwa die App Google- Authenticator auch für Microsoft, Lastpass, Dropbox und andere Dienste als zweiten Faktor verwenden können.
Gemeinsam ist allen zweiten Faktoren, dass Sie diese bei der Aktivierung in einem Dienst einmal mit diesem Dienst verbinden müssen. Bei SMS bekommen Sie nach der Angabe Ihrer Handynummer beim Dienst eine SMS zugesendet, die Sie einmalig im Aktivierungsprozess angeben. Eine App verbinden Sie, indem Sie mit der App einen QR-Code der Anmeldeseite abfotografieren. Die App beginnt sofort mit der Generierung eines Codes, den Sie einmalig in die Anmeldeseite eingeben. Auch einen Hardware-Token stecken Sie bei der Aktivierung an den PC an oder verbinden ihn per Bluetooth. Zudem sollten Sie noch eine zweite Möglichkeit für die Übermittlung des Zusatzcodes einrichten. Das kann das Smartphone eines Familienmitglieds sein, eine Mailadresse, ein Hardware-Token oder ein Zettel mit Notfallcodes. Wählen Sie eine dieser Möglichkeiten spätestens vor einer Reise.
In der folgenden Liste finden Sie wichtige Dienste, die 2FA anbieten, sowie Links zu Tipps für den jeweiligen Dienst. Eine umfangreiche Übersicht über 2FA-Dienste finden Sie unterhttps://twofactorauth.org .

AUCH MIT 2FA: NUTZEN SIE EINEN PASSWORTMANAGER

Auch wenn Sie alle wichtigen Konten per 2FA geschützt haben, sollten Sie dennoch
für jeden einzelnen Onlinedienst ein anderes, kompliziertes Passwort verwenden .
Denn vielleicht möchten Sie 2FA manchmal vorübergehend ausschalten. Und auch dann soll Ihr Konto ja sicher sein. Möglichst lange und komplizierte Kennwörter erzeugt und verwaltet ein Passwortmanager am besten.
Online-Passwortmanager: Das Tool Lastpass (auf Heft-DVD) merkt sich alle Ihre Passwörter und fügt sie auf Wunsch auch automatisch in die richtige Website ein. Lastpass erstellen Ihnen auch beliebig komplizierte Passwörter. Sie selbst müssen sich nur noch ein Passwort merken, nämlich das Master-Passwort für Lastpass. Die Passwörter lassen sich per Apps auch auf Android oder iOS nutzen.
Offline-Passwortmanager: Ein guter Passwortmanager ohne automatischenCloudanschluss ist die Open-Source-Software Keepass (auf Heft-DVD).