Konsequent 2-Faktor-Authentifizierung (2FA, MFA) nutzen

(Last Updated On: 18. November 2016)

Zwei-Faktor oder auch Mehr-Faktor-Authentifzierung (2FA bzw. MFA) fügt eine zusätzliche Sicherheitsschicht für Sie beim Nutzen all Ihrer Online-Services hinzu. Mit einer solchen Authentifizierung müssen Sie zur Anmeldung bei verschiedenen Services wie GMail, Amazon, Linkedin, Paypal usw. neben ihrer Benutzernamen/Passwort-Kombination zusätzlich einen Code oder eine Schlüsseldatei angeben, welches Ihnen von einem anderen Gerät geliefert wird als dem, von dem aus Sie sich anmelden. Kurzum: Um sich anzumelden müssen Sie etwas angeben was Sie wissen (Passwort) und Informationen von etwas was Sie haben (Code auf dem Smartphone beispielsweise).

Diese Art der Authentifizierung verhindert, dass sich jemand ohne Ihre Erlaubnis in Ihre Konten einloggen kann, wenn er ihr Passwort weiß, was ohne Mehrfaktorauthentifizierung möglich wäre. Einmal einen Zettel verloren, auf dem ein Passwort aufgeschrieben war, einmal vom Kollegen bei der Passworteingabe beobachtet worden oder einer Phishing-Mail zum Opfer gefallen, machen Sie sich normalerweise verwundbar gegen einen Identitätsdiebstahl, der Sie viel Geld und Privatsphäre kosten kann. Mit Mehrfaktorauthentifizierung haben es die Täter nicht mehr so leicht, denn Sie müssen zusätzlich noch das Gerät von Ihnen besitzen, auf dem Sie den zweiten Faktor angezeigt bekommen, und da scheitern die meisten.

Im folgenden zeige ich Ihnen die wichtigsten Implementierungen von Mehrfaktorauthentifizierung in unserer aktuellen Zeit und möchte Ihnen damit helfen, sicherer im Internet unterwegs zu sein.

Das Wichtigste gleich vorweg: Passwortmanager

In einem vergangenen Beitrag habe ich über den Passwortmanager KeePass aufgeklärt. Nur weil wir jetzt in diesem Beitrag vor haben, eine Mehrfaktorauthentifizierung einzurichten, heißt dies noch lange nicht, dass Sie sich nicht mehr um die Sicherheit Ihrer Passwörter scheren sollten. KeePass hilft Ihnen schonmal dabei, für jeden Service ein anderes Kennwort zu verwenden, weil Sie sich Ihre Passwörter nicht mehr merken müssen. Stattdessen entnehmen Sie die Kennwörter aus dem Tool und wissen mitunter nicht einmal, welches Kennwort Sie für einen gewissen Dienst wirklich haben.

Desweiteren fügen Sie nach Möglichkeit Ihre Passwörter nur noch über die verschlüsselte Zwischenablage ein und tippen die Kennwörter daher nicht mehr über die Tastatur ein, was vor Keyloggern schützt. Ein Passwortmanager wie KeePass macht also absolut Sinn.

Doch grundsätzlich haben Sie natürlich Angst davor, dass jemand das Master-Kennwort für Ihre .kdbx-Datei errät und dadurch dazu in der Lage ist, alle Ihre Kennwörter auf einen Streich zu erhaschen. Schützen können Sie sich davor, indem Sie bei KeePass ebenfalls eine Mehrfaktorauthentifizerung einführen. Dazu öffnen Sie die .kdbx in KeePass und navigieren dann zu File -> Change Master Key. Neben dem Kennwort setzen Sie nun auch einen Haken bei „Key file / provider“ und erzeugen sich eine .key-Datei auf Ihrem Dateisystem. Diese .key-Datei speichern Sie am besten direkt auf einem USB-Stick, den Sie fortan immer an Ihrem Schlüsselbund bei sich tragen. Vergessen Sie nicht, die .kdbx-Datei abzuspeichern, daimt die .key-Datei in Zukunft verlangt wird.

Wenn Sie nun in Zukunft an Ihre .kdbx-Datei heran wollen, müssen Sie nicht nur das Master-Kennwort angeben, sondern auch den Pfad zur .key-Datei angeben. Dies zwingt Sie wiederum dazu, den zugehörigen USB-Stick anzustecken, um dem Tool den Zugriff auf die .key-Datei zu ermöglichen. sobald die KeePass-Datenbank geöffnet ist, ziehen Sie den USB-Stick sofort wieder ab, damit niemand mehr an die .key-Datei heran kann. Speichern Sie die .key-Datei niemals auf einer lokalen festplatte oder in der Cloud (Dropbox, Google Drive o. Ä.), denn dort kann beispielsweise eine Malware an die .key-Datei nachträglich herankommen. Bewahren Sie die .key-Datei immer nur auf zwei verschiedenen externen Datenträgern auf, die Sie nur bei Bedarf an Ihren PC anschließen, also beispielsweise auf zwei USB-Sticks, wobei der zweite nur als Backup dient.

Noch ein letzter Hinweis hierzu: Natürlich sollten Sie immer noch auf ein Passwort bestehen und sich nicht alleine auf eine .key-Datei verlassen. Ein wirklicher Schutz ist nur dann gegeben, wenn Sie sowohl Master Passwort als auch eine .key-Datei verlangen.

E-Mail und E-Post

Der allerwichtigste Service, der meiner Meinung nach als aller erstes auf Multi Faktor Authentifizierung umgestellt gehört, ist Ihre E-Mail. Und da wären wir schon beim Problem: Die meisten E-Mail Anbieter bieten dieses Feature nämlich überhaupt nicht an (stand 11/2016). Wenn Sie noch aktuell bei solchen Anbietern rumgeistern, wie beispielsweise bei typischen Verdächtigen wie web.de oder gmx.de, dann ist mein Tipp an Sie: Wechseln Sie! Diese Wettbewerber schwimmen nicht mehr auf der aktuellen Woge der Zeit mit und gehören daher als Dinosaurier von der Kundschaft aussortiert. Wechseln Sie auf einen Anbieter, der 2FA unterstützt, wie beispielsweise Gmail. Wie Sie 2FA bei Gmail und anderen Mailhostern einrichten, erklärt Ihnen die Seite turnon2fa.com.

Viele User haben nach Einrichtung von 2FA Probleme beim Abrufen Ihrer Mails in lokalen Mailclients oder im Smartphone. Nachdem Sie Zwei-Faktor-Authentifizerung eingerichtet haben, können Sie bei richtiger Konfiguration immer noch in Mail-Clients wie etwa Mozilla Thunderbird Ihre Mails abfragen. Ich empfehle Ihnen hierzu nicht, ein sogenanntes App-passwort zu erstellen, denn dieses macht die Mehrfaktorauthentifizierung wieder kaputt, indem für Thunderbird wieder nur noch das App-Passwort zum Login angegeben werden muss. Stattdessen sollten Sie Ihr Konto im Mozilla Thunderbird einmal entfernen und wieder hinzufügen (Vorsicht bei POP3: Vorher E-Mails sichern!). Danach wird Mozilla Thunderbird bei jedem Start ein Pop-Up öffnen, in dem Sie sich bei GMail anmelden und Ihren Authenticator Code eingeben müssen. Nachdem Sie dadurch die Mehrfaktorauthentifizierung abgeschlossen haben, können Sie Ihre Mails abrufen.

Um Ihre Mails trotz 2FA auch auf dem Smartphone weiterhin empfangen zu können, brauchen Sie entweder eine dedizierte App wie beispielsweise die Gmail-App, oder Sie greifen auf Ihre Mails über ein Web-Frontend wie beispielsweise roundcube zu, welches den 2FA-Prozess unterstützt.

Wenn Sie Ihre E-Mail-Adresse hingegen selber hosten, beispielsweise über einen dovecot/postfix Linux-Server, dann sind Sie selber dafür zuständig, eine Mehrfaktorauthentifzierung zu implementieren. Hierbei sollten Sie die Mehrfaktorauthentifzierung jedoch nur für den empfangenen Mailteil, also dovecot implentieren, heißt: wenn jemand Ihre E-Mails empfangen will, muss er sich über 2FA authentifzieren, beim Versenden reicht nur das Passwort. Denn beim Versenden sollten Sie Ihre E-Mails auf andere Art und Weise absichern, damit Ihre Kommunuikationspartner wissen, dass die E-Mails auch von Ihnen kommen – indem Sie nämlich asymmetrische Schlüsselverfahren wie GnuPG, PGP oder S/MIME verwenden. Über GnuPG habe ich hier bereits in der Vergangenheit schonmal geschrieben. Ihren empfangenen dovecot-Server können Sie beispielsweise über die Lösung PrivacyIdea mit 2FA ausstatten.

sind sie außerdem im E-Postbrief Service der Deutschen Post angemeldet, sollten Sie auch für diesen eine Mehrfaktorauthentifizerung konfigurieren.

Online-Services und Instant Messenger

Es gibt viele wichtige Online-Services, bei denen es sich meiner Meinung nach absolut lohnt, eine 2FA-Authentifzierung anzuschalten. Gute Beispiele hierfür sind beispielsweise

  • Microsoft’s live.com
  • Office 365
  • Amazon.de
  • Paypal
  • Facebook
  • Twitter
  • Xing
  • Linkedin
  • Cloud-Konten wie Dropbox, Google Drive, box.com
  • Smartphone-Konten wie Apple ID und Google ID
  • Webhoster Ihrer E-Mails, Domains und Webserver

Aber auch Instant Messenger wie Skype können Sie mit einer 2FA ausstatten, sofern Ihr Skype-Konto mit einem Microsoft live.com-Konto verknüpft ist. Haben Sie noch ein altes Skype-Konto müssen Sie dieses entweder mit einem live-Konto verknüpfen oder gleich Ihre Kontakte auf ein dediziertes live-Konto migrieren.

Auch der Smartphone-Messenger WhatsApp unterstützt nun seit geraumer Zeit Mehrfaktorauthentifizierung.

Die Einrichtung von Multi Factor Authentication für diese verschiedenen Dienste entnehmen Sie am besten der Seite turnon2fa.com. Einziges Manko ist: Bei amazon.de können Sie 2FA bisher nur über die US-Seite amazon.com anschalten. Wenn Sie den gleichen Menüpunkt auf amazon.de suchen werden, werden Sie nicht fündig. Melden Sie sich jedoch auf amazon.com mit Ihrem Amazon-Konto an und aktivieren dort 2FA, gilt dieses auch für die deutsche Seite amazon.de. Das heißt amazon.de bietet Ihnen de fakto 2FA, Sie müssen jedoch den Umweg über die US-Domain gehen.

Auch moderne Webhoster wie Netcup (über Netcup habe ich hier schonmal gesprochen) ermöglichen mittlerweile eine Mehr-Faktor-Authentififizierung im Kundenportal. Eine Anleitung gibt es hier.

Das schwarze Schaf ist bis heute ebay. Ebay unterstützt bis heute keine wirkliche Multi Factor Authentication.

Zugriff auf Betriebssysteme

Nachdem Sie nun Mehrfaktorauthentifzierung in Ihrem Passwortmanager, E-Mail und auf den Online-Plattformen im Web aktiviert haben, sollten Sie nun auch den Zugriff auf Ihr Betriebssystem selbst absichern.

Unter Windows 10 können Sie als Privatanwender 2FA aktivieren, sofern Sie sich mit einem live.com Konto anmelden. Mit einem lokalen Windows-Account funktioniert es leider bisher nicht.

Melden Sie sich hingegen in einem Business-Umfeld am Active Directory Ihres Unternehmens an, ist Ihre IT-Abteilung für die Implementierung von 2FA zuständig. Hierzu bietet Microsoft in seiner Azure-Cloud bereits einen MFA-Dienst an, mit dem es Ihnen in Zukunft möglich ist, sich auch am Business-Notebook mit Mehrfaktorauthentifizierung anzumelden.

Unter Linux können Sie als Privatanwender Dienste wie PrivacyIdea verwenden, um die PAM, das Linux-Modul, welches für die Authentifizerung zuständig ist, mit MFA auszustatten. Eine gute Anleitung dazu gibt es hier.

Wenn Sie als Linux-Administrator sich desöfteren per SSH an einem Server per 2FA anmelden wollen, sind meine Posts über Public Key Authentication (Windows-Client | Linux-Client) für Sie wichtig. Wichtig ist hier wieder, dass Sie den Private Key für die SSH-Anmeldung nicht lokal oder in der Cloud, sondern immer nur auf einem externen USB-Stick speichern, den Sie ständig bei sich tragen, um maximale Sicherheit zu gewährleisten.

Wenn Sie Ihren PC aus der Ferne über TeamViewer warten, sollten Sie MFA für TeamViewer aktivieren.

Moderne Webanwendungen

Moderne Webanwendungen zum selber Einrichten wie WordPress, Atlassian Confluence oder MediaWiki bieten mittlerweile diverse Möglichkeiten für Mehrfaktorauthentifizierung an. Atlassian Confluence unterstützt dieses Feature beispielsweise über Duo, eine Anleitungseinrichtung gibt es hier. WordPress bietet die Einrichtung über das Plugin WordPress 2-Step verification an.

Und auch wenn Sie sich beispielsweise über einen Service wie Owncloud einen eigenen Cloud Service erschaffen haben, können Sie diesem eine Mehrfaktorauthentifizierung hinzufügen. Eine gute Anleitung finden Sie hier.

Wenn Sie Ihre Web Services über ein Administrations-Frontend wie Parallels Plesk oder cPanel administrieren, können Sie auch hier 2FA einrichten. Für Parallels Plesk installieren und konfigurieren Sie die Erweiterung Google Authenticator. Für das kostenlose cPanel gibt es hier eine gute Anleitung.

Alte und selbstentwickelte Webanwendungen

Was machen Sie denn jetzt mit alten Webanwendungen, die von sich aus keine Unterstützung von Mehr Faktor Authentifizierung mitbringen, beispielsweise alte PHP-Foren wie phpbb o. Ä.? Hier implementieren Sie die Multi Faktor Authentifizerung nicht in der Webanwendung, sondern im Webserver. Eine gute Anleitung für den Webserver Apache über xradius gibt es hier.

Wenn Sie selbst eine Webanwendung entwickeln, müssen Sie das Rad nicht neu erfinden. Der Google Authenticator oder Duo bieten hierfür vorbereitete APIs an, die Sie in Ihren Webanwendungen hierzu nutzen können.

Dateiverschlüsselung

Wenn Sie sich meinen Post über Datenverschlüsselung angesehen werden, nutzen Sie vielleicht Lösungen wie TrueCrypt, um empfindliche Dokumente und andere private Daten zu verschlüsseln. Hier können Sie die Sicherheit erhöhen, indem Sie zur Entschlüsselung des TrueCrypt-Containers neben einem Passwort zusätzlich eine Schlüsseldatei verlangen. Diese Schlüsseldatei sollten Sie wiederum nicht lokal oder in der Cloud, sondern immer nur auf einem externen USB-Stick gespeichert haben.

Abschließender Tipp

kaufen Sie sich einen USB-Stick mit Loch, sodass Sie ihn in einen Schlüssel Cage integrieren können und somit immer gut verstaut dabei haben. So sind Ihre Schlüsseldateien für KeePass, SSH und TrueCrypt immer gut aufgehoben.

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren...

2 Antworten

  1. Hallo Andreas,

    vielen Dank für den ausführlichen Rundumschlag! Als privacyIDEA Core Developer habe ich noch zwei Anmerkungen: Der Link zur Install-Empfehlung ist etwas alt. Er benutzt privacyIDEA 1.5. Zur Zeit sind wir bei Version 2.15. Ich empfehle eher hier http://privacyidea.readthedocs.io/en/latest/installation/index.html zu schauen.

    Da Du auch noch Worpress ansprichst: Es gibt auch noch ein WordPress Plugin mit einem schlechten Namen, mit dem man sich gegen privacyIDEA authentisieren kann.
    https://de.wordpress.org/plugins/strong-authentication/

    Schönen Gruß
    Cornelius

  1. 21. Juni 2017

    […] von Mehrfaktorauthentifzierung. Darunter  besonders gesehen: die Möglichkeit, das Firmen-Smartphone der Mitarbeiter als Security […]

Kommentar verfassen

This site uses Akismet to reduce spam. Learn how your comment data is processed.