Startseite » wie man » Die verschiedenen Formen der Zwei-Faktor-Authentifizierung SMS, Autheticator-Apps und mehr

    Die verschiedenen Formen der Zwei-Faktor-Authentifizierung SMS, Autheticator-Apps und mehr

    Viele Onlinedienste bieten eine Zwei-Faktor-Authentifizierung, die die Sicherheit erhöht, da zur Anmeldung mehr als nur Ihr Kennwort erforderlich ist. Es gibt viele verschiedene Arten zusätzlicher Authentifizierungsmethoden, die Sie verwenden können.

    Verschiedene Dienste bieten unterschiedliche Zwei-Faktor-Authentifizierungsmethoden. In einigen Fällen können Sie sogar aus einigen verschiedenen Optionen auswählen. So arbeiten sie und wie unterscheiden sie sich?.

    SMS-Bestätigung

    Bei vielen Diensten können Sie sich anmelden, wenn Sie sich bei Ihrem Konto anmelden, um eine SMS-Nachricht zu erhalten. Diese SMS-Nachricht enthält einen kurzen Code zur einmaligen Verwendung, den Sie eingeben müssen. Bei diesem System wird Ihr Mobiltelefon als zweite Authentifizierungsmethode verwendet. Jemand kann nicht einfach auf Ihr Konto zugreifen, wenn er über ein Kennwort verfügt. Er benötigt Ihr Kennwort und Zugriff auf Ihr Telefon oder seine SMS-Nachrichten.

    Dies ist praktisch, da Sie nichts Besonderes tun müssen und die meisten Leute über ein Mobiltelefon verfügen. Einige Dienste wählen sogar eine Telefonnummer und lassen ein automatisiertes System einen Code sprechen, so dass Sie diesen mit einer Festnetznummer verwenden können, die keine Textnachrichten empfangen kann.

    Es gibt jedoch große Probleme bei der SMS-Bestätigung. Angreifer können SIM-Swap-Angriffe verwenden, um auf Sicherheitscodes zuzugreifen oder diese durch Fehler im Mobilfunknetz abzufangen. Wir empfehlen, nach Möglichkeit keine SMS-Nachrichten zu verwenden. SMS-Nachrichten sind jedoch immer noch viel sicherer als überhaupt keine Zwei-Faktor-Authentifizierung!

    App-generierte Codes (wie Google Authenticator und Authy)

    Sie können Ihre Codes auch von einer App auf Ihrem Telefon generieren lassen. Die bekannteste App, die dies tut, ist Google Authenticator, den Google für Android und iPhone anbietet. Wir bevorzugen jedoch Authy, was alles tut, was Google Authenticator macht - und mehr. Trotz des Namens verwenden diese Apps einen offenen Standard. Beispielsweise können Sie der Google Authenticator-App Microsoft-Konten und viele andere Kontentypen hinzufügen.

    Installieren Sie die App, scannen Sie den Code, wenn Sie ein neues Konto einrichten, und diese App generiert etwa alle 30 Sekunden neue Codes. Sie müssen den in der App auf Ihrem Telefon angezeigten aktuellen Code sowie Ihr Kennwort eingeben, wenn Sie sich bei einem Konto anmelden.

    Dies erfordert kein zellulares Signal und der „Startwert“, mit dem die App diese zeitlich begrenzten Codes generieren kann, wird nur auf Ihrem Gerät gespeichert. Dies bedeutet, dass es wesentlich sicherer ist, da selbst jemand, der Zugriff auf Ihre Telefonnummer erhält oder Ihre Textnachrichten abfängt, Ihre Codes nicht kennt.

    Einige Dienste, zum Beispiel der Battle.net-Authenticator von Blizzard, verfügen auch über eigene, eigens für die Codegenerierung entwickelte Apps.

    Physische Authentifizierungsschlüssel

    Physische Authentifizierungsschlüssel sind eine weitere Option, die immer beliebter wird. Große Unternehmen aus dem Technologie- und Finanzsektor schaffen einen Standard, der als U2F bekannt ist, und es ist bereits möglich, einen physischen U2F-Token zum Sichern Ihrer Google-, Dropbox- und GitHub-Konten zu verwenden. Dies ist nur ein kleiner USB-Schlüssel, den Sie in Ihren Schlüsselbund stecken. Wenn Sie sich von einem neuen Computer aus bei Ihrem Konto anmelden möchten, müssen Sie den USB-Schlüssel einstecken und eine Taste darauf drücken. Das ist es - keine Tippcodes. In Zukunft sollten diese Geräte mit NFC und Bluetooth für die Kommunikation mit mobilen Geräten ohne USB-Anschlüsse arbeiten.

    Diese Lösung funktioniert besser als SMS-Überprüfungs- und Einmalcode, da sie nicht abgefangen werden kann. Es ist auch einfacher und bequemer zu bedienen. Beispielsweise könnte eine Phishing-Site eine falsche Google-Anmeldeseite anzeigen und Ihren einmaligen Verwendungscode erfassen, wenn Sie versuchen, sich anzumelden. Sie können diesen Code dann verwenden, um sich bei Google anzumelden. Mit einem physischen Authentifizierungsschlüssel, der mit Ihrem Browser zusammenarbeitet, kann der Browser sicherstellen, dass er mit der echten Website kommuniziert, und der Code kann nicht von einem Angreifer erfasst werden.

    Erwarten Sie in Zukunft noch viel mehr davon.

    App-basierte Authentifizierung

    Einige mobile Apps bieten möglicherweise die Zwei-Faktor-Authentifizierung über die App selbst an. Zum Beispiel bietet Google jetzt eine codelose Zwei-Faktor-Authentifizierung an, sofern Sie die Google-App auf Ihrem Telefon installiert haben. Wenn Sie versuchen, sich von einem anderen Computer oder Gerät aus bei Google anzumelden, müssen Sie nur eine Taste auf Ihrem Telefon tippen, es ist kein Code erforderlich. Google prüft, ob Sie Zugriff auf Ihr Telefon haben, bevor Sie versuchen, sich anzumelden.

    Apples Überprüfung in zwei Schritten funktioniert ähnlich, obwohl keine App verwendet wird, sondern das Betriebssystem iOS. Wenn Sie versuchen, sich von einem neuen Gerät aus anzumelden, können Sie einen Code zur einmaligen Verwendung erhalten, der an ein registriertes Gerät gesendet wird, z. B. Ihr iPhone oder iPad. Die mobile App von Twitter verfügt über eine ähnliche Funktion, die auch als Anmeldeverifizierung bezeichnet wird. Google und Microsoft haben diese Funktion zu den Smartphone-Apps von Google und Microsoft Authenticator hinzugefügt.

    E-Mail-basierte Systeme

    Andere Dienste verlassen sich auf Ihr E-Mail-Konto, um Sie zu authentifizieren. Wenn Sie beispielsweise Steam Guard aktivieren, werden Sie von Steam aufgefordert, einen Code zur einmaligen Verwendung einzugeben, der an Ihre E-Mail gesendet wird, wenn Sie sich von einem neuen Computer aus anmelden. Dies stellt zumindest sicher, dass ein Angreifer sowohl das Kennwort Ihres Steam-Kontos als auch Zugriff auf Ihr E-Mail-Konto benötigt, um Zugriff auf dieses Konto zu erhalten.

    Dies ist nicht so sicher wie andere Überprüfungsmethoden in zwei Schritten, da es für jemanden leicht sein kann, auf Ihr E-Mail-Konto zuzugreifen, insbesondere wenn Sie keine Bestätigung in zwei Schritten verwenden! Vermeiden Sie die E-Mail-basierte Überprüfung, wenn Sie etwas Stärkeres verwenden können. (Glücklicherweise bietet Steam für seine mobile App eine App-basierte Authentifizierung an.)

    The Last Resort: Wiederherstellungscodes

    Wiederherstellungscodes bieten ein Sicherheitsnetz für den Fall, dass Sie die Zwei-Faktor-Authentifizierungsmethode verlieren. Wenn Sie die Zwei-Faktor-Authentifizierung einrichten, erhalten Sie normalerweise Wiederherstellungscodes, die Sie notieren und an einem sicheren Ort aufbewahren sollten. Sie werden sie benötigen, wenn Sie Ihre Methode zur Bestätigung in zwei Schritten verlieren.

    Stellen Sie sicher, dass Sie eine Kopie Ihrer Wiederherstellungscodes haben, wenn Sie die zweistufige Authentifizierung verwenden.


    Sie finden nicht so viele Optionen für jedes Ihrer Konten. Viele Dienste bieten jedoch mehrere Überprüfungsmethoden in zwei Schritten, aus denen Sie auswählen können.

    Es gibt auch die Möglichkeit, mehrere Zwei-Faktor-Authentifizierungsmethoden zu verwenden. Wenn Sie beispielsweise eine Code generierende App und einen physischen Sicherheitsschlüssel einrichten, können Sie über die App auf Ihr Konto zugreifen, wenn Sie den physischen Schlüssel verlieren.