2-Faktor-Authentifizierung bequemer durchführen mit Authentifizierungs Apps
Beim Online-Banking oder der Verwendung von Kreditkarten ist die 2-Faktor-Authentifizierung oder 2FA inzwischen Standard. Durch dieses Sicherheitsplus soll es für Hacker und andere Kriminelle schwieriger werden, Daten abzugreifen oder unautorisierte Zahlungen zu veranlassen.
Für Online-Händler, Banken und andere Anbieter bedeutet dies, dass die Zwei-Faktor-Authentifizierung in ihre Systeme implementiert werden muss.
Während früher die einfache Identifizierung mit Eingabe von Benutzernamen und Kennwort ausreichte, muss nun in einem zweiten Schritt eine Bestätigung durchgeführt werden.
Dieser zweite Faktor darf nicht nur auf Kenntnis der Zugangsdaten beruhen, sondern setzt den Besitz eines Identifikationsmerkmals voraus.
Gängige ID-Methoden für 2FA:
- Chipkarten
- TAN-Generatoren
- SMS-Codes
- Code per Push-Mitteilung
- Biometrie (z. B. Fingerabdrücke)
Doch nicht nur Banken und Kreditkartenunternehmen nutzen 2FA-Systeme. Clouddienste, soziale Netzwerke oder Zugänge zu Online-Handelsplattformen setzen immer häufiger auf solche Verfahren.
Allerdings kann es recht zeitaufwändig und nervig für die User sein, die teilweise komplizierten Verfahren der verschiedenen Anbieter immer wieder durchführen zu müssen.
Hier setzen Authentifizierungs Apps an. Mit ihrer Hilfe lassen sich die 2FA-Verfahren verschiedener Seiten und Dienste in einer App bündeln.
Wie funktionieren Authentifizierungs Apps?
Es gibt verschiedene kostenpflichtige und kostenlose Lösungen für Authentifizierungs Apps auf allen gängigen Betriebssystemen. Viele Anbieter gehen unterschiedliche Wege bei der Authentifizierung, was vor allem Geschmackssache ist.
Ein großer Vorteil besteht darin, dass Authentifizierungs-Apps oft auch dann funktionieren, wenn beispielsweise die 2FA per SMS gerade nicht zur Verfügung steht.
Möglich ist dies durch die Nutzung sogenannter One Time Passwords (TAN/OTP-Verfahren), bei denen ein Einmalpasswort generiert wird.
Da dies noch keine optimale Sicherheit bietet, nutzen die meisten Anbieter inzwischen TOTP (Time-based One-time Password), bei der die Gültigkeit der Codes zeitlich begrenzt ist.
Etwas aufwändiger ist die Nutzung kryptografischer Token, die einen privaten Schlüssel erfordern. Dieser kann in Gestalt eines Softwarezertifikats im Handy oder auf einer Chipkarte bzw. speziellen NFC-Token gespeichert sein.
Ohne diesen Schlüssel ist ein Zugriff auf die Daten bzw. die Freigabe nicht möglich. Biometrische Systeme (Erkennung von Fingerabdrücken, Retina-Scans, Gesichtsmerkmalen etc.) sind zwar besonders bequem für die Nutzer, müssen aber so sicher sein, dass sie sich nicht etwa mit Fotos überlisten lassen.
Um die umständliche Eingabe von Codes zu umgehen, nutzen viele Authentifizierungs Apps „One-Tap“-Anmeldungen, bei denen der Zugriff auf die gewünschte Webseite einfach per Tastendruck freigegeben wird, nachdem eine Push-Mitteilung diese Freigabe zuvor angefordert hat.
Warum sind Authentifizierungs Apps praktischer als viele andere Verfahren?
Verfahren, die auf dem Besitz eines TAN-Generators oder einer Chipkarte basieren, sind vergleichsweise sicher, weisen aber einen gravierenden Nachteil auf.
Vergisst du beispielsweise, den TAN-Generator deiner Bank mit in den Urlaub zu nehmen, kannst du ohne dieses Gerät keine Transaktionen genehmigen.
Das Smartphone ist hingegen eigentlich immer und überall dabei und (zumindest in Deutschland) über die Telefonnummer eindeutig einem bestimmten Besitzer zugeordnet.
Nun kann zwar auch das Mobiltelefon gestohlen werden oder verloren gehen, aber Diebe können auf gesperrte Smartphones nicht ohne Weiteres zugreifen.
Bei der Auswahl einer passenden App sollte neben der Sicherheit natürlich die Kompatibilität mit den bevorzugten Webseiten und Diensten sichergestellt sein.
Zum Problem kann die Wiederherstellung bei Verlust oder Wechsel des Smartphones dennoch werden. Einige Authentifizierungs Apps bieten daher die zentrale Speicherung auf einem Server an, auf den im Notfall zugegriffen werden kann.
Das ist dann aber nur und ausschließlich mit einem zuvor festgelegten Passwort möglich. Wird dieses vergessen, kann der Zugriff alle mit der App verknüpften Konten (z. B. Facebook, Dropbox, Google etc.) gesperrt sein.
Wie aufwändig die Wiederherstellung ohne diese Option ist und ob dies überhaupt möglich ist, hängt dann vom jeweiligen Kontoanbieter ab. Die Nutzung von Cloud-Backups oder die Synchronisierung mit mehreren Endgeräten ist daher zu empfehlen, sofern verfügbar.