Authenticator App | Mit einem zweiten Faktor Zugänge absichern

Authenticator App | Mit einem zweiten Faktor Zugänge absichern

14.04.2020 | 17:30 Uhr

Authenticator App auf einem Smartphone

Dass man für die Authentifizierung sichere Passwörter verwenden soll und wie man diese generiert, sollte jedem bekannt sein. Doch was ist, wenn das Passwort doch einmal ausspioniert wurde? Ein Angreifer könnte sich damit am betreffenden Dienst anmelden und weitere Daten erspähen oder verändern.

Die Lösung sind zusätzliche Sicherheitmethoden: Mindestens zwei von drei verschiedenen Methoden (Wissen, Besitz und Biometrie) sollten dabei eingesetzt werden. Man spricht daher auch von einer 2-Faktor-Authentifizierung. Bei dieser Art der Authentifizierung werden Aktionen (Bezahlung, Login) nur dann ausgeführt, wenn beide Komponenten stimmen. Neben einer Kreditkarte (Besitz) braucht man so beispielsweise eine PIN (Wissen), um mit der Karte zu bezahlen.

Auch ein Smartphone kann so ein Faktor werden, den man besitzt. Auf dem Gerät lässt sich beispielsweise ein digitaler Schlüssel hinterlegen, den nur Server und das Gerät kennen. Doch wenn dieser wie das Passwort zur Überprüfung direkt an den Server übermittelt würde, entspräche der zweite Faktor einem der Kategorie Wissen. Um das Problem zu lösen, generieren Server und eine Smartphone App aus dem vereinbarten Schlüssel ein Einmal-Passwort, das dann untereinander verglichen wird.

2-Faktor-Authentifizierung mit Authenticator App

Bei der Generierung der Einmal-Passwörter kommt ein zusätzliches Merkmal zum Einsatz: die Zeit. Server und App errechnen Passwörter anhand des Schlüssels und der aktuellen Zeit, gerundet auf 30 Sekunden. Durch den gleichen Algorithmus gibt es gleiche Passwörter auf beiden Seiten, die dann miteinander verglichen werden können. Dieser Algorithmus wird übrigens OATH TOTP (Open Authentication Time-based One-Time Password) genannt. Die Spezifikation ist im RFC 6238 niedergeschrieben. Da nicht immer alle Geräte zeitlich syncron laufen, hat der Server meist eine Tolleranz von 60 oder 120 Sekunden eingebaut. Er akzeptiert damit auch Einmal-Passwörter, die etwas früher oder später erzeugt worden sind.

Die Einrichtung

In der Praxis ist eine solche Authentifizierung per Smartphone einfach und schnell eingerichtet. Man benötigt lediglich eine sogenannte Authenticator App. Diese gibt es von diversen Anbietern, allen voran Google, die das Verfahren entwickelt haben. Aber auch Microsoft und OpenSource-Programme sind nutzbar, denn alle nutzen die gleiche, bekannte Spezifikation OATH TOTP.

Folgende Schritte sind notwendig:

  1. In der Anwendung (meist bei den Einstellung für das Passwort) startet man die 2-Faktor-Authentifizierung.
  2. Der Server erzeugt nun einen eindeutigen Schlüssel und zeigt diesen als Text an. Zur Meidung von Tippfehlern gibt es die Möglichkeit, den Schlüssel als QR-Code zu scannen. Dabei wird auch die Quelle des Schlüssels mit genannt, unter der der Schlüssel dann in der App abgelegt wird. Ein solche Schlüssel sieht beispielsweise so aus: FJQSQPCDHA7FI22YGVMFIZ3WFA7DEKKF.
  3. Nach dem Scannen oder manuellen Eintippen ist der Schlüssel in der App gespeichert.
  4. Die App generiert automatisch für den Schlüssel ein zeitabhängiges Einmalkennwort.
  5. Der Benutzer gibt nun das Einmalkennwort in der Anwendung ein.
  6. Der Server überprüft dieses Einmalkennwort und speichert im Erfolgsfall den vereinbarten Schlüssel im Benutzerkonto.
  7. Bei jedem Anmelden ist zusätzlich zum Kennwort nun der Einmalschlüssel für die Anwendung aus der App abzurufen und bei der Anmeldung einzugeben.

Authenticator App einrichten

Backup für Schlüsselverlust

Sollten Sie einen Schlüssel in der App verlieren und keine Sicherung vorhanden sein, ist ein Zugang zum betreffenden Dienst nicht mehr möglich. Eine Wiederherstellung wie beim klassischen Passwort-Reset per E-Mail-Link ist in der Regel nicht durchführbar. Die meisten Dienste bieten aber eine auf dem Schlüssel basierte Liste von Passwörter an, welche man dann jeweils einmalig verwenden kann. Eine solche Liste sollte sicher und unabhängig vom Passwort und dem Schlüssel des Dienstes gespeichert werden. Für diesen Fall der Fälle sollten Sie zudem weitere Faktoren hinterlegen, um im Notfall dennoch Zugriff zu bekommen. Dies könnte zum Beispiel auch eine geheime Mobilfunknummer sein.

Bei einem Smartphone-Wechsel ist es nicht immer möglich, die Daten der App mitzunehmen. In diesem Fall muss man bei jedem Dienst den zweiten Faktor neu anlegen.

Authenticator Apps:

Auch wenn ein Anmeldevorgang längert dauert: Nutzen Sie wo immer möglich eine Zwei-Faktor-Authentisierung - insbesondere bei Sozialen Netzwerken wie Facebook.

Alle News anzeigen

[

aipi e. K.
Claus Plachetka

]

Telefon (08000) 98391-0 kostenfrei
Grenzstraße 4, 26919 Brake
E-Mail info@aipi.de

Eintragen im Handelsregister des Amtsgerichts Oldenburg, HRA 204521 | EU-Umsatzsteuer- Identifikationsnummer: DE222490801 | aipi ist eine eingetragene EU-Marke, 015642523

Made in Germany Made in Germany | powered by

twitter    facebook    Instagram

XING    LinkedIn    WhatsApp

Mastodon https://aipi.social/@admin

aipi informiert: aipi.news

#datenschutz.bar  

[ DE ]    [ EN ]    [ RU ]   [ FRIESLAND ]    [ BAYERN ]

[ Datenschutz ]    [ Kontakt/Impressum ]

[ Darksite | Krisenkommunikation ]