Paranoid

SchlüsselMan entwickelt sich zum Paranoiker, langsam, aber sicher, und immer öfter drängt irres Kichern (schwyzerdütsch: „Wahnsinnsglachtr“) nach oben und will gekichert werden. Was ist geschehen?

Da hat man sich doch all die guten Ratschläge zu Herzen genommen, ist über das Stadium hinausgewachsen, in dem „Mami“ noch als gültiges und sicheres (gnnhihihi!) Passwort durchging, hat sich stattdessen für jeden Account im Netz ein Passwort der Machart „d3gQp5bb#aX“ ausgedacht und gemerkt (oder auch nicht) – und muss dann lesen, dass Dienste, von denen man das nicht gedacht hätte™, Passwörter im Klartext speichern und/oder sich selbige mal eben klauen lassen.

Und dann liest man zunehmend (OK, ich nehme immer zu, ob ich nun lese oder nicht, aber das gehört nicht hierher…) von Two-Factor Authentication (der deutsche Wikipedia-Artikel will erst noch geschrieben werden), und wie schön sowas doch sei.

Two-factor authentication (TFA, T-FA or 2FA) is an approach to authentication which requires the presentation of two or more of the three authentication factors: a knowledge factor („something the user knows„), a possession factor („something the user has„), and an inherence factor („something the user is„).

Das ist schön formuliert. Zugänge zu Firmen-Netzen haben sowas schon länger. Wenn ich mich via VPN im Hausnetz meines Arbeitgebers einloggen will, fragt mich der Schlüsselmeister zunächst nach Username und Passwort, und dann muss ich noch eine sechsstellige Zahl eingeben, die auf meinem Schlüsselanhänger (s.o.) erscheint, und die genau eine Minute lang gültig ist. Wer also mein Passwort kennt („something the user knows), kommt damit noch lange nicht ins Netz, und auch wer mir die Schlüssel klaut („something the user has), hat keine Chancen. Er braucht schon beides.

Nun ist sowas nicht ganz unaufwendig; man braucht einen Server (oder zumindest einen Dienst), der die Zahlen vom Schlüsselanhänger verifiziert, die Anhänger kosten Geld und halten nur eine gewisse Dauer, und überhaupt.

Und trotzdem gibt es immer mehr Dienste im Netz, die auch dem Privatnutzer eine zweistufige Zugangskontrolle anbieten und empfehlen. Und einige dieser Dienste wissen doch so viel über mich, dass ich das Angebot wahrgenommen habe.

Mein Google-Account gehört natürlich dazu, meine Dropbox, und auch der Account, der sich meine anderen Passwörter alle merkt. Diese Dienste fragen mich seit einigen Wochen also nicht mehr nur, wie ich heiße, und wie mein Passwort lautet, sondern sie fragen (hallo, Business-VPN!) nach einem sechsstelligen Zahlencode, der genau eine Minute lang gültig ist. Natürlich habe ich keine drei, vier, fünf Schlüsselanhänger (ist ja auch nur einer auf dem Foto zu sehen, näch?), aber: „Yep, there’s an app for that.“

Auf meinem Android-Phone läuft Google Authenticator, eine App, die mir eben nicht nur für Google-Konten, sondern auch für die anderen genannten (und noch einige mehr) die Zahlencodes erzeugt. Merken: Telefon bloß nicht verlieren, und immer schön aufgeladen lassen!

Facebook bietet eine andere Lösung an. Von dort bekomme ich beim Anmelden von einem unbekannten Gerät eine SMS mit dem Zahlencode aufs Handy; alternativ kann mir auch die (Android)-Facebook-App den Code erzeugen.

Und mein Mail-Provider, auf den ich in diesem Zusammenhang gerne noch einmal verweise, bietet gleich mehrere derartige Zusatzsicherungen an, von der persönlichen TAN-Liste über die Code-SMS bis zum Einsatz des Yubikey, einem USB-Stick (im Bild schräg hinter dem Schlüsselanhänger, ja, richtig, das schwarze Dings da), der auf Fingerdruck einen langen, einmal verwendbaren Code erzeugt und an den Dienst übermittelt, bei dem man sich anmelden will.

Es gibt noch mehr derartige Angebote, auch für andere Betriebssysteme – dies sind nur die, die ich seit einigen Wochen nutze.

Fazit nach diesen ersten Wochen: Es ist (mit Ausnahme des Yubikey) schon ein wenig umständlich, bei jedem Anmelden das Handy herauszukramen und sechs Ziffern abzutippen. Es ist auch so, dass man Apps (oder auch Desktop-Programme wie z.B. Mail-Clients), die auf derart geschützte Accounts zugreifen sollen, entweder gesondert autorisieren muss – oder gar nicht autorisieren kann, weil sie auf TFA nicht vorbereitet sind. Insgesamt macht der Mensch, der sich für TFA entscheidet, das Netzleben also ein wenig komplizierter.

Aber auch ungleich sicherer. Die Empfehlung des Hauses deshalb: gucken, testen, anwenden!

4 Gedanken zu „Paranoid“

  1. Sitze hier etwa 60km von der Mitte der Schweiz entfernt, aber ‚Wahnsinnsgelachter‘ lese ich jetzt erstmals in Ihrem Blog. Rätoromanisch? Lebenslanges Lernen hat was.

    • Nicht alles, was hier steht, ist bis ins letzte recherchiert. Ich hab’s mal im DRS gehört, und es hat mir gefallen, das Wort. Aber vielleicht war das auch ein Ausländer, der sich nur einschmeicheln wollte.

  2. Grundsätzlich: Ja. Ich hab nur die paraniode Angst, was ich mache, wenn ich Handy und Nummer verliere und dann nicht mehr die 2-Wege-Verifizierung ausführen kann. Besonders schlimm wenn man eine Prepaid-Karte im Smartphone hat.

    • Zumindest Google bietet an, eine alternative Handy-Nummer zu hinterlegen, an die man Ersatzcodes schicken lassen kann. Damit kann man dann auch, wenn ich mich recht erinnere (sitze gerade in einem Wartezimmer ohne echten Netzanschluss), die Apple auf dem verlorenen Handy deaktivieren und den ganzen TFA-Kram fürs erste deaktivieren.

      Alles etwas umständlich, aber sicherer als „Mami“.

Kommentare sind geschlossen.