Account-Sicherheit

Authentisierung: 2FA bei Apple, Google, Amazon & Co.

Die Zwei-Faktor-Authen­ti­sie­rung (2FA) ist ein zusätz­li­ches Sicher­heits­tool, um Konten vor unbe­fugten Zugriff zu schützen. Wir haben uns die 2FA anhand einiger Beispiele ange­schaut und zeigen, wie man sie akti­viert.

E-Mail-Adresse(n), Nutzer-Accounts von Samsung, Apple oder Google, Smart­phone-Zugangs­daten, Online-Banking, Account-Details zu diversen Online-Shops, Reise­bu­chungs­por­talen, Social-Media-Kanälen, Unter­hal­tungs-Apps wie Spotify und Netflix - da kommt einiges an Account-Infor­ma­tionen zusammen, die man sich im Zweifel merken muss. Gut, nicht überall muss man sich ab- und anschlie­ßend wieder anmelden, wenn man den Dienst später nutzen will.

Dennoch werden Account-Details immer wieder abge­fragt, beispiels­weise, wenn man sich ein neues Handy gekauft hat oder man Ände­rungen an seinem Konto vornehmen möchte. Mitt­ler­weile sollte auch bei den letzten Pass­wort-Muffeln ange­kommen sein, dass Klas­siker wie „hallo123“, „123456“ oder „pass­wort“ über­holt und gefähr­lich sind.

Erwei­terte Sicher­heit empfeh­lens­wert

Zusätz­lich zu einem starken Pass­wort gibt es mit der Zwei-Faktor-Authen­ti­sie­rung ein modernes Tool, das zusätz­li­chen Schutz für das Konto gewähr­leisten soll. „Authen­ti­sie­rung“ ist nicht zu verwech­seln mit „Authen­ti­fi­zie­rung“. Das Bürgeramt für Sicher­heit und Infor­ma­ti­ons­technik (BSI) schreibt auf seiner Webseite BSI für Bürger dazu: „Die Begriffe Authen­ti­sie­rung und Authen­ti­fi­zie­rung werden im allge­meinen Sprach­ge­brauch oft synonym verwendet, beschreiben aber verschie­dene Teil­pro­zesse z.B. eines Anmel­de­vor­gangs. Ein Benutzer AUTHENTISIERT sich an einem System mittels eindeu­tiger Anmel­de­in­for­ma­tionen (z.B. Pass­wort oder Chip­karte). Das System über­prüft daraufhin die Gültig­keit der verwen­deten Daten, es AUTHENTIFIZIERT den Nutzer oder die Nutzerin.“ Wann immer Dienste eine zweite Sicherheitsmethode anbieten, sollte sie auch genutzt werden Wann immer Dienste eine zweite Sicherheitsmethode anbieten, sollte sie auch genutzt werden
Foto: Image licensed by Ingram Image, Grafik/Montage: teltarif.de
Oft wird auch die Abkür­zung „2FA“ verwendet. Dienste hausieren in der Regel aber nicht gerade mit der erwei­terten Sicher­heits­funk­tion, sodass Nutzer selbst heraus­finden müssen, ob der genutzte Dienst 2FA anbietet oder nicht. Im Bank- und Finanz­wesen wurde mit der EU-Zahlungs­diens­te­richt­linie 2018 die Zwei-Faktor-Authen­ti­sie­rung für den Euro­päi­schen Wirt­schafts­raum aber verpflich­tend einge­führt.

2FA soll das Konto sicherer machen

Die 2FA dient also dazu, dass der Nutzer die Möglich­keit hat, den Zugang zu einem Konto sicherer zu gestalten. Dienste bieten verschie­dene Möglich­keiten an. So kann nach der Eingabe des Pass­worts eine SMS mit einem Sicher­heits­code empfangen werden. Möglich ist auch die Gene­rie­rung eines Codes durch eine Dritt­an­bieter-App, ein sepa­rates Gerät oder eine E-Mail-Adresse. Der Sinn dahinter ist einfach zu erklären: Sollten sich Unbe­fugte Zugang zu dem Konto verschaffen wollen, hilft ihnen das Pass­wort alleine nicht. Soweit die Theorie.

Auch wenn niemand einen hundert­pro­zen­tigen Schutz gewähr­leisten kann, ist ein zusätz­li­cher Schutz­me­cha­nismus immer empfeh­lens­wert - es soll schon vorge­kommen sein, dass SMS-Nach­richten mit dem Sicher­heits­code abge­fangen wurden.

Zumin­dest wird auf diese Weise eine zusätz­liche Barriere erschaffen, die es Betrü­gern erschwert, sensible Daten abzu­greifen. Auch das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik empfiehlt ganz prag­ma­tisch: „Wenden Sie eine Zwei-Faktor-Authen­ti­sie­rung an, sobald ein Online-Dienst dies ermög­licht.“

2FA mit Apple, Samsung, Google

2FA mit Apple

iPhone-Nutzer können die 2FA im Einstel­lungs­menü akti­vieren. Dazu müssen sie auf die Account-Infor­ma­tionen klicken und den Reiter „Pass­wort & Sicher­heit“ auswählen. Anschlie­ßend kann die zusätz­liche Sicher­heits­me­thode einge­richtet werden, indem eine vertrau­ens­wür­dige Tele­fon­nummer hinter­legt wird. Diese ist erfor­der­lich, um die 2FA über­haupt zu akti­vieren.

Der zusätz­liche Sicher­heits­code, der zur Bestä­ti­gung der Iden­tität bei einer Anmel­dung mit der Apple-ID benö­tigt wird, kann auf verschie­denen Wegen empfangen werden. Wer beispiels­weise bereits ein iPhone besitzt und ein weiteres Apple-Gerät mit der glei­chen Apple-ID verwenden möchte, nutzt das Smart­phone als Refe­renz­gerät bezie­hungs­weise als vertrau­ens­wür­diges Gerät. Dabei handelt es sich um ein iPhone, iPad oder ein iPod touch mit iOS 9 oder neuer oder ein Mac mit OS X El Capitan oder neuer, auf dem die 2FA bereits genutzt wird. Wichtige Accounts sollten mit 2FA geschützt werden Wichtige Accounts sollten mit 2FA geschützt werden
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de
Eine Apple Watch mit watchOS 6 oder neuer kann beim Anmelden mit der Apple-ID zwar Bestä­ti­gungs­codes empfangen, aber stellt kein vertrau­ens­wür­diges Gerät für das Zurück­setzen des Pass­worts dar, wie es im Apple-Support heißt.

Bei der Anmel­dung des neuen Geräts muss zunächst auf dem Display des iPhones die Anmel­dung des neuen Geräts erlaubt werden. Anschlie­ßend muss auf dem neuen Gerät der auf dem iPhone ange­zeigte Bestä­ti­gungs­code einge­geben werden.

Codes können auch per Sprach­anruf oder als SMS an die hinter­legte Tele­fon­nummer oder im bereits genannten Reiter „Pass­wort & Sicher­heit“ mit „Bestä­ti­gungs­code erhalten“ empfangen werden. Bestä­ti­gungs­codes sind immer zeit­lich begrenzt und können nicht mehr­fach verwendet werden.

2FA mit Samsung

Nutzer eines Samsung-Smart­phones müssen über einen Samsung-Account verfügen, um die 2FA verwenden zu können. Sind sie auf dem Smart­phone mit dem Account bereits ange­meldet, ist die Akti­vie­rung der Sicher­heits­funk­tion simpel. Am Beispiel eines in der Redak­tion genutzten Samsung Galaxy S10+ kann das Feature im Einstel­lungs­menü aufge­rufen werden. Oben rechts neben der Such-Lupe gibt es einen Avatar, der beim Klick darauf zu den Samsung Account-Infor­ma­tionen leitet. Unter dem Reiter „Pass­wort und Sicher­heit“ kann die 2FA akti­viert werden. Dort gibt es nun verschie­dene Möglich­keiten, zusätz­liche Sicher­heit zu gene­rieren.

Nutzer, die eine Tele­fon­nummer hinter­legt haben, können sich einen Bestä­ti­gungs­code per SMS oder - ähnliche wie bei Apple - an ein weiteres genutztes Samsung-Galaxy-Gerät schi­cken lassen. Eine weitere Option ist eine Authen­ti­fi­zierer-App, beispiels­weise Google Authen­ti­cator (für Android und iOS). Hier werden zeit­lich begrenzte Codes gene­riert. Vorteil: Nutzer können auch Zugangs­codes zu ihren dort hinter­legten Accounts erhalten, wenn sich das Smart­phone im Offline-Modus befindet.

Wir haben den Samsung-Account unter anderem mit dieser Methode zusätz­lich geschützt. Um den Account in einer Authen­ti­fi­zierer-App zu hinter­legen, muss bei der Einrich­tung ein QR-Code gescannt werden. Wir haben das mit einem zweiten Handy gemacht, auf dem der Google Authen­ti­cator instal­liert ist. Dafür muss der App Zugriff auf die Kamera gewährt werden.

Ein zweites Handy ist jedoch keine Voraus­set­zung. Der Einrich­tungs­schlüssel kann auch kopiert und in die Authen­ti­fi­zierer-App einge­fügt werden, die sich auf dem glei­chen Gerät befindet. Dann ist der Account verknüpft und ein dort ange­zeigter sechs­stel­liger Code muss als zweite Schutz­me­thode bei der Anmel­dung des Accounts einge­geben werden. Tipp: Nicht zu viel Zeit lassen bei der Eingabe des Codes. Denn dieser läuft recht schnell ab. Anschlie­ßend ist dann nur der neu ange­zeigte Code gültig.

2FA mit Google

Google bietet eben­falls verschie­dene Möglich­keiten an, um das Konto zu schützen. Der 2FA-Sicher­heits­me­cha­nismus kann in den Konto-Einstel­lungen akti­viert werden. Im Einstel­lungs­menü des Android-Smart­phones gibt es in der Regel den Punkt „Konten“ oder - am Beispiel der OneUI-Benut­zer­ober­fläche auf dem Samsung Galaxy S10+ - einen eigenen Menü­punkt „Google“. Unter „Google-Konto verwalten“ und dem Reiter „Sicher­heit“ kann die 2FA akti­viert werden.

Neben einer hinter­legten Tele­fon­nummer und der zum Google-Konto zuge­hö­rigen E-Mail-Adresse kann auch eine Authen­ti­fi­zierer-App verwendet werden. Das Einrich­tungs­pro­ze­dere ist mit dem wie oben beschrieben iden­tisch: Entweder kann mit einem zweiten Gerät, auf dem die App instal­liert ist, der QR-Code gescannt oder - zur Verwen­dung einer Authen­ti­fi­zierer-App auf dem glei­chen Gerät - der Einrich­tungs­schlüssel kopiert und zur Regis­trie­rung in der App einge­fügt werden.

2FA mit Web.de, GMX, Twitter, Insta­gram

2FA mit Web.de und GMX

Bei den beiden E-Mail-Anbie­tern Web.de und GMX Mail & Cloud kann die 2FA über die Webseite (nicht über die jewei­lige Android oder iOS-App) einge­stellt werden. Wer die Einstel­lungen aus der App heraus vornehmen will, wird auto­ma­tisch auf die Webseite über den Browser weiter­ge­leitet. Unter „Pass­wort/Konto“ und „Sicher­heit“ können eine Sicher­heits­te­le­fon­nummer und auch eine weitere Mail-Adresse zur Konto­her­stel­lung hinter­legt werden. Social-Media- und E-Mail-Dienste bieten oft auch eine 2FA an Social-Media- und E-Mail-Dienste bieten oft auch eine 2FA an
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de
Die Akti­vie­rung der 2FA lässt sich beispiels­weise mit der Google Authen­ti­cator-App reali­sieren. Wer die Smart­phone-Apps von Web.de und GMX nutzt, muss die 2FA nicht regel­mäßig eingeben. Nur wenn das Mail-Konto in der App hinter­legt oder der Login über einen Browser vorge­nommen werden soll, muss die vorher akti­vierte 2FA-Methode ange­wendet werden. Anschlie­ßend ist das Konto in der App regis­triert, und der Zugriff kann durch eine App-PIN oder beispiels­weise mittels FaceID unter­stüt­zenden iPhones oder iPads gesperrt werden.

So ist es letzt­lich auch bei anderen Diensten wie Twitter oder Insta­gram. Wer die App auf einem Smart­phone nutzt, ist in der Regel ständig einge­loggt. Kriti­sche Stimmen könnten nun laut werden, dass der Account spätes­tens dann gefährdet ist, wenn Dritte das Smart­phone in die Hände bekommen und an der Display­sperre vorbei­kommen.

Wer auf Nummer sicher gehen will, sollte sich nach der Nutzung eines Dienstes abmelden und bei Bedarf erneut wieder anmelden. Das ist umständ­lich und erscheint nicht beson­ders praxisnah, ist aber ein Sicher­heits­tipp, um das Risiko, den Zugriff auf sensible Daten zu verlieren, zu redu­zieren.

2FA mit Twitter und Insta­gram

Die Einstel­lung zur Akti­vie­rung in der Twitter-App ist etwas versteckt. Unter „Einstel­lungen und Daten­schutz“ und „Account“ gibt es den Reiter „Sicher­heit“. Dort kann die 2FA akti­viert werden, beispiels­weise über eine Authen­ti­fi­zierer-App. Zusätz­lich besteht die Möglich­keit, E-Mail-Adresse oder Tele­fon­nummer zu bestä­tigen, wenn das Account-Pass­wort zurück­ge­setzt werden soll.

In der Insta­gram-App lässt sich die 2FA im Profil-Menü akti­vieren. Dazu muss das Menü über die drei Striche rechts oben (Beispiel iOS-App) geöffnet werden. Unter „Einstel­lungen“ und „Sicher­heit“ kann die „Zwei­stu­fige Authen­ti­fi­zie­rung“ akti­viert werden. Bestä­ti­gungs­codes können so per SMS an eine hinter­legte Tele­fon­nummer gesendet und/oder über eine Authen­ti­fi­zierer-App gene­riert werden.

Am Beispiel der Insta­gram-App taucht mit „Wieder­her­stel­lungs­codes“ ein weiteres wich­tiges Sicher­heits­thema auf. Diese sind sowas wie der letzte Not-Anker und können verwendet werden, wenn das Smart­phone mit der Authen­fi­zie­rungs-App bezie­hungs­weise dem SMS-Empfang nicht zur Hand ist, weil es viel­leicht gestohlen wurde.

Neben Insta­gram bieten auch einige andere Dienste solche Wieder­her­stel­lungs­codes an. Diese sollten sich Nutzer für den Notfall notieren, am besten so, dass Dritte keine Zuord­nung zum passenden Account machen können.

2FA mit PayPal und Amazon

2FA mit PayPal und Amazon

Die 2FA kann für den Online-Bezahl­dienst PayPal über die Webseite akti­viert werden. Nutzer müssen nach dem Login nur auf das Zahnrad-Symbol oben rechts klicken, um zu den Einstel­lungen zu kommen. Unter „Sicher­heit“ kann die 2FA nun akti­viert werden. Dort wird eine Tele­fon­nummer hinter­legt, an die bei jedem Login ein Code gesendet wird, der nach der Eingabe des Account-Pass­worts zusätz­lich einge­geben werden muss. Gerade für Dienste, bei denen Zahlungsinformationen hinterlegt sind, ist eine 2FA sinnvoll Gerade für Dienste, bei denen Zahlungsinformationen hinterlegt sind, ist eine 2FA sinnvoll
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de
Amazon-Kunden können die 2FA für ihren Account über die Desktop-Webseite akti­vieren. Die nötigen Einstel­lungen müssen unter „Mein Konto“ und „Anmelden und Sicher­heit“ vorge­nommen werden. Amazon unter­stützt mehrere Methoden, wovon eine als bevor­zugte Methode, beispiels­weise das Senden eines Bestä­ti­gungs­codes per SMS an eine hinter­legte Tele­fon­nummer, fest­ge­legt wird. Zusätz­lich können Bestä­ti­gungs­codes auch über eine Authen­fi­zierer-App gene­riert werden.

2FA „umgehen“ und Nach­teile

Die 2FA lässt sich „umgehen“, wobei die Methode aber weiterhin aktiv bleibt. Konkret bedeutet das, die Methode kann vom Nutzer für ein vertrau­ens­wür­diges Gerät bezie­hungs­weise einen vertrau­ens­wür­digen Browser deak­ti­viert werden. PayPal und Amazon beispiels­weise bieten diese Möglich­keit an, in dem beim Login ein Häkchen bei der entspre­chenden Option gesetzt werden muss. Anschlie­ßend wird dem Browser, der zum Login genutzt wird, vertraut und der zweite Sicher­heits­schritt entfällt.

Das macht den Login leichter, verrin­gert aber wiederum die Sicher­heit, wie auch das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik zu bedenken gibt. Unsere Anmer­kung: Man kann die 2FA zwar über den Weg über­springen, in dem man Geräten und Brow­sern vertraut, zusätz­liche Sicher­heit ist aber nun mal umständ­li­cher als der einfachste Weg und sollte daher auch genutzt werden.

Die 2FA hat aber auch erwäh­nens­werte Nach­teile. Wenn das Smart­phone mit SIM-Karte und Authen­ti­fi­zierer-App nicht mehr vorliegen, wird auch der Zugang zum Dienst blockiert, weil die zweite Sicher­heits­me­thode fehlt. Dann können die erwähnten Wieder­her­stel­lungs­codes helfen, wenn sie vom Dienst bereit­ge­stellt werden und der Nutzer sie zuvor auffindbar notiert hat.

Darauf alleine sollte man sich aller­dings nicht verlassen, weil im Notfall viel­leicht auch der Zugriff auf die Wieder­her­stel­lungs­codes aus diversen Gründen verwehrt sein kann. Es ist ratsam, eine weitere Sicher­heits­me­thode in der Hinter­hand zu haben, beispiels­weise eine zweite im Account hinter­legte Tele­fon­nummer oder E-Mail-Adresse.

Prak­tisch kann auch ein zweites Gerät sein, auf dem die Authen­ti­fi­zierer-App instal­liert ist. So kann diese 2FA für Accounts auch dann verwendet werden, wenn das Haupt-Smart­phone abhanden gekommen ist.

Weiterhin ist es wichtig, alle genutzten Geräte aktuell zu halten. Das betrifft sämt­liche Soft­ware-Updates für Apps und Firm­ware-Aktua­li­sie­rungen. Außerdem können Sie weitere Sicher­heits­vor­keh­rungen treffen, um sich vor Malware und Daten­lecks zu schützen.

Mehr zum Thema Sicherheit