Die Two-Factor-Authentication als Sicherheitsschutz für eure Accounts: Wo könnt ihr sie nutzen?

Marcel Am 25.04.2013 veröffentlicht Lesezeit etwa 3:59 Minuten

SONY DSC

Etliche Dienste setzen inzwischen auf die Two-Factor-Authentication, zu deutsch: Doppelte Anmeldesicherheit. Das ganze Sicherheitsfeature basiert quasi auf das Prinzip des One Time Password. Heißt also, dass ihr zum einloggen neben eurem Benutzernamen und euer Passwort (Stichwort: Sichere Passwörter erstellen) auch noch einen Code benötigt, welchen ihr je nach Dienst per SMS oder per Authenticator-App auf euer Mobiltelefon bekommt – dieser Code ist nur für eine begrenzte Zeit gültig und verfällt nach Ablauf der Zeitspanne wieder.

Der Vorteil? Stellt euch einmal vor, jemand bekommt euren Benutzernamen und euer Passwort heraus – zum Beispiel weil ihr beim eintippen bei Bekannten oder in der Öffentlichkeit nicht richtig aufpasst und eine dritte Person diese Daten eben „ablesen“ kann. Ohne die Two-Factor-Authentication hätte diese Person nun Zugang zu eurem Account, mit dem Feature jedoch fehlt dieser Person der generierte Code.

Dabei gibt es wie gesagt in der Regel zwei verschiedene Möglichkeiten, um an diesen besagten Code zu gelangen: Entweder per SMS, was den Vorteil hat, dass ihr nur an eure SIM-Karte gebunden seid oder eben per Authenticator-App. Hierbei setzen viele Anbieter auf einen offenen Standard (für alle tiefergehenden Interessierten: RFC 4226 und RFC 6238), sodass ihr nicht für jeden Dienst eine App benötigt, sondern in der Regel eine ausreicht. Unter iOS ist Lockdown mein persönlicher Favorit, allerdings wäre für iOS wie auch für Android die Authentication-App von Google zu erwähnen (weil kostenlos), für Windows Phone gibt es eine Authenticator-App von Microsoft.

Google Authenticator
Google Authenticator
Entwickler: Google, Inc.
Preis: Kostenlos
Google Authenticator
Google Authenticator
Entwickler: Google Inc.
Preis: Kostenlos
Microsoft Authenticator
Microsoft Authenticator
Entwickler: Microsoft Corporation
Preis: Kostenlos

Inzwischen bieten etliche Dienste die doppelte Anmeldesicherheit an – nutze ich grundsätzlich überall wo es geht. Das Mehr an Sicherheit ist mir diese kleine Verzögerung beim einloggen wert – zumal ihr euren heimischen Rechner zum Beispiel auch fast überall bei den Diensten eintragen könnt, sodass ihr dort nicht nach eurem Code gefragt werden, zumindest solange nicht, bis ihr Browser-Cookies oder ähnliches löscht. Apps und Anwendungen, die zwar auf die Dienste zugreifen aber keine gesonderte Code-Eingabe unterstützen benötigen dabei ein eigenes Passwort, dass über die Anbieter generiert werden kann, wobei die Namen hierfür unterschiedlich lauten können: bei Google heißen sie zum Beispiel „anwendungsspezifische Passwörter“, Microsoft nennt diese „App-Passwörter“.

Dienste, die die Two-Factor-Authentication anbieten

  • Apple: Für die Apple ID und die iCloud. Hierzulande derzeit nur via „Mein iPhone suchen“-App, SMS folgt. So aktiviert ihr die zweistufige Bestätigung für eure Apple ID und euren iCloud-Account.
  • Buffer: Per SMS oder Generator-App, auch beides ist möglich. Solltet ihr Buffer nutzen, so erfahrt ihr in diesem Artikel, wie ihr den 2-Step-Login für euren Account aktivieren könnt.
  • Dropbox: Per SMS oder Generator-App. Dropbox generiert einen einmaligen 16-stelligen Sicherheitscode, für den Fall der Fälle, solltet ihr sicher aufbewahren, sonst habt ihr keine Chancen an euren Account zu kommen. Die Aktivierung habe ich auch schon einmal verbloggt.
  • Evernote: Code kommt per SMS oder via Authenticator-App, ebenso gibt es Backup-Codes und „Passwörter für Anwendungen“ – bislang ist das Feature jedoch lediglich für Premium- und Business-Kunden freigeschaltet. Seid ihr? Dann könnt ihr das Sicherheitsfeature für euren Account aktivieren.
  • Facebook: Per SMS und Generator-App, wobei Facebook hier auf den eigenen Codegenerator innerhalb der Facebook-App setzt. Die Codes sind auch zeitgleich die Passwörter für Apps und Anwendungen von Drittentwicklern. Wie ihr die doppelte Anmeldesicherheit für euren Facebook-Account aktiviert, hatte ich hier einmal beschrieben.
  • GitHub: Code kann per SMS oder Generator-App kommen, daneben gibt es Notfall-Codes und auch die Möglichkeit, beide Varianten der Codeerstellung nebeneinander nutzen zu können. So aktiviert ihr die doppelte Anmeldesicherheit für euren GitHub-Account.
  • Google: Per SMS, Sprachanruf und Generator-App, anwendungsspezifische Passwörter können generiert werden, Offline-Codes (falls Smartphone/Handy mal nicht zur Hand). So aktiviert ihr die doppelte Anmeldesicherheit für euren Google-Account.
  • IFTTT:
  • LastPass: Nur per Generator-App. Infos zu dem Sicherheitsfeature und zur Aktivierung für euren LastPass-Account bekommt ihr in diesem Artikel.
  • LinkedIn: Code kommt per SMS – nennt sich hier „Zweistufige Überprüfung für die Anmeldung“. So aktiviert ihr das Feature für euren Account.
  • Microsoft: Per E-Mail, SMS oder Generator-App, bietet App-Passwörter für Drittanbieter Apps. Schützt euer gesamtes Microsoft-Konto – so aktiviert ihr den Schutz.
  • PayPal: Per SMS oder einem PayPal-eigenem TAN-Generator. Funktioniert derzeit nicht mobil (PayPal- & eBay-App), sondern nur über den Desktop, was aber wohl behoben werden soll. Wie ihr das Feature für euren PayPal-Account aktiviert? Hier lang.
  • Synology NAS: Mit dem DiskStation Manager 4.2 führte Synology auch die doppelte Anmeldesicherheit für die eigene NAS-Systeme ein. Funktioniert nur per Generator-App, dazu solltet ihr euren den Mail-Benachrichtigungsdienst einrichten, da ein Notfallcode nur per E-Mail zugeschickt wird. Wie ihr das Feature aktivieren könnt? Klickt im Manager einmal auf die User-Silhouette oben rechts und dann auf „Optionen“.
  • TeamViewer: Seit Version 9 des Fernwartungstool lassen sich auch die TeamViewer-Konten mittels Zwei-Faktor-Authentifizierung sichern. In diesem Artikel findet ihr alle Infos, wie ihr euer Konto mittels Einmal-Code per Authenticator-App zusätzlich absichern könnt.
  • Tumblr: Bei Tumblr kommt der Code wahlweise per Textnachricht oder wird per Authenticator-App erzeugt. Wie ihr die doppelte Anmeldesicherheit für euer Tumblr-Blog aktiviert, findet ihr auf einer Hilfeseite bei Tumblr.
  • Twitter: Der Code kommt hier von der offiziellen Twitter-App für iOS und Android. Wie ihr die Funktion in dem Client aktiviert, findet ihr hier. Alternativ dazu gäbe es auch noch die Möglichkeit, den Code per SMS zu erhalten – das aber funktioniert aktuell nicht in Deutschland.
  • WordPress-Blogs: Selbstgehostete WordPress-Blogs bieten keine Möglichkeit, es gibt lediglich ein inoffizielles Plugin, welches jedoch nur mit Generator-App arbeitet. Funktioniert nicht in Kombination mit mobilen Apps und die Sicherheit ist fragwürdig, da Angriffe nicht auf eueren Account, sondern auf die gesamte WordPress-Installation und/oder den Server abzielen.

Bildquelle Offline Password

Artikel teilen

Kaufempfehlung*

  • Huawei P9 lite Smartphone (13,2 cm (5,2 Zoll) Touch-Display, 16GB interner Speicher, 3GB RAM, Android 6) schwarz
  • Neu ab EUR 199,00, gebraucht schon ab EUR 174,80
  • Auf Amazon kaufen*