Wie Sie die Daten Ihrer 2FA-Logins sichern

Die Zwei-Faktor-Authentifizierung ist um ein Vielfaches sicherer als die klassische Login-Methode mit Benutzername und Passwort. Doch kaum ein Nutzer denkt rechtzeitig darüber nach, was eigentlich passiert, wenn er zum Beispiel den Zugriff auf seine Authenticator-App verliert.

Dass moderne Zwei-Faktor-Authentifizierungen (2FA) mehr Sicherheit bieten als klassische Anmeldeverfahren, die nur auf einer Kombination aus Benutzername und Passwort basieren, weiß im professionellen IT-Umfeld mittlerweile jeder. Allerdings bergen die 2FA-Anmeldeverfahren ein erhebliches Risiko in sich, das nicht jeder kennt: Was passiert, wenn der verwendete Authenticator ausfällt oder nicht mehr verfügbar ist? Sind Sie für diesen Notfall ausreichend vorbereitet?

Was 2FA vom klassischen Login unterscheidet

Werfen wir zunächst kurz einen Blick auf die Grundlagen der Anmeldeverfahren. Bei einem klassischen Login genügt die Eingabe des richtigen Benutzernamens und des passenden Passworts, um sich erfolgreich an einer Unternehmensressource anzumelden. Man spricht hier von einem einzigen Sicherheitsfaktor, dem Passwort. Dieses kann jedoch gestohlen, erraten oder gehackt und dann für unberechtigte Zugriffe missbraucht werden.

Die 2FA erfordert hingegen zwei voneinander unabhängige Faktoren für die Anmeldung. Diese beiden Faktoren sind im Allgemeinen:

1. Etwas, das der Benutzer kennt (zum Beispiel sein Passwort oder eine PIN).
2. Etwas, das der Benutzer besitzt (zum Beispiel sein Mobiltelefon mit einer vorkonfigurierten Authenticator-App, die ein zeitbasiertes Einmalpasswort erstellt).

Ein Angreifer kann dann zwar immer noch die normalen Zugangsdaten stehlen, aber an das zur Authentifizierung zusätzlich benötigte Gerät kommt er nicht heran. Er kann sich also nicht unter einem fremden Namen anmelden. Genau dieses Problem haben Sie aber auch selbst, wenn Sie – aus welchen Gründen auch immer – den Zugriff auf Ihren Authenticator verlieren!

Welche 2FA-Daten Sie unbedingt sichern sollten

Das Problem des versehentlichen Aussperrens ist den 2FA-Anbietern durchaus bekannt. Meistens bieten sie deswegen nach der Einrichtung der Zwei-Faktor-Authentifizierung zusätzlich eine Sicherung des Schlüssels oder die Einrichtung einer weiteren 2FA-Methode an. Die können Sie im Notfall als alternativen Anmeldeweg nutzen.

Google stellt für solche Fälle beispielsweise sogenannte Backup-Codes bereit, von denen Sie zehn erstellen und dann an einem geschützten Ort aufbewahren sollten, auf den Sie jederzeit Zugriff haben. Als Speicherort bietet sich ein Passwortmanager wie KeePass oder LastPass an. Microsoft stellt nur einen einzigen solchen Code bereit, hier Wiederherstellungs-Code genannt, den Sie ebenfalls – rechtzeitig! – sichern sollten. Der Redmonder Technologiekonzern hat zudem eine weitere Sicherheitsmaßnahme eingebaut, um Hacker und leider auch legitime Nutzer, die wieder auf ihr Konto zugreifen wollen, zu ärgern: Sie müssen rund 30 Tage warten, bis Microsoft Ihr Konto wieder freigibt.

Wie Sie die Zwei-Faktor-Authentifizierung richtig einrichten

Die Aktivierung der „Bestätigung in zwei Schritten“ über die Sicherheitseinstellungen beispielsweise eines Google-Kontos geht schnell von der Hand. Das Internet-Unternehmen stellt den Nutzern einen QR-Code zur Verfügung, der einen geheimen, Base32-codierten Schlüssel zur Berechnung der Einmalpasswörter enthält. Die Einrichtung des Kontos erfolgt beispielsweise mit der NCP Authenticator App einfach durch das Scannen des QR-Codes mit der Kamera des Smartphones.

Kehren Sie anschließend wieder zu Ihrem Google-Konto zurück, wechseln Sie in den Bereich „Sicherheit“ und klicken Sie auf den Link „Backup-Codes“. Drucken Sie die angezeigte Liste aus oder speichern Sie sie an einem geschützten Ort. Sollten Sie dies nicht tun und später den Zugriff auf Ihre 2FA-Methode verlieren, bleibt Ihnen nur noch die Möglichkeit, das Passwort durch Google zurücksetzen zu lassen. Dies nimmt jedoch mehrere Tage in Anspruch. Während dieser Zeit haben Sie keinen Zugriff auf Ihr Konto und verlieren dadurch möglicherweise einen wichtigen Auftrag.

Falls Ihr Anbieter alternative Methoden zur Zwei-Faktor-Authentifizierung anbietet, sollten Sie diese in der Regel ebenfalls aktivieren. Die gängigste Alternative ist der Versand einer SMS mit einem Einmalcode an Ihre Mobiltelefonnummer. Dies stellt grundsätzlich eine gute Backup-Methode dar, die zuverlässig funktioniert. Sie gilt jedoch als weniger sicher, da es technisch möglich ist, SMS auf andere Geräte umzuleiten. In Hochsicherheitsbereichen sollten Sie deshalb darauf verzichten. Einige Anbieter wie PayPal bieten bislang noch keine dedizierten Wiederherstellungscodes an. In diesem Fall bleibt Ihnen meist nur der Weg über SMS als alternative Methode für Ihre 2FA.

Wo die Risiken der modernen Zweifaktor-Authentifizierung liegen

Zusammenfassend lässt sich sagen, dass die verbesserte Sicherheit der modernen Zwei-Faktor-Authentifizierung auch einige Risiken für den Benutzer mit sich bringt:

1. Blockierter Zugang: Ohne Zugriff auf Ihre Authenticator-App können Sie nicht mehr auf bestimmte Unternehmensressourcen zugreifen, da Sie das für die Authentifizierung erforderliche Einmalpasswort, den TOTP-Code, nicht generieren können. Geschäftliche Daten und Funktionen sind dann nicht mehr zugänglich, bis Sie den Zugriff wiederherstellen.
2. Komplizierte Wiederherstellungsprozesse: Um den Zugang zu Ihren Konten wiederherzustellen, müssen Sie in der Regel einen langwierigen Prozess durchlaufen. Dazu zählen zum Beispiel die Kontaktaufnahme mit dem zuständigen Kundendienst, die Beantwortung von Sicherheitsfragen oder andere Verfahren zur Überprüfung Ihrer Identität.
3. Versteckte Sicherheitsrisiken: Es besteht zudem ein vergleichsweise geringes Risiko, dass jemand, der sich einen Zugang zu Ihrer Authenticator-App verschafft, mit Ihren 2FA-Codes auf die verknüpften Konten zugreift. Dieses Risiko lässt sich durch zusätzliche Sicherheitsvorkehrungen verringern, etwa durch Zugangsbeschränkungen für Ihr Smartphone und die verwendete Authenticator-App. Es besteht zudem die Möglichkeit, das Gerät bei Verlust aus der Ferne zu sperren oder die Daten zu löschen.

Angesichts dieser Risiken auf die Zwei-Faktor-Authentifizierung zu verzichten, wäre jedoch grob fahrlässig. Im Gegenteil: Nutzerinnen und Nutzer sollten regelmäßig überprüfen, ob sie den sicheren 2FA-Log-in auch wirklich für alle Dienste und Anwendungen aktiviert haben. In unserem Blogbeitrag „Wie 2FA mit zeitbasierten Einmalpasswörtern funktioniert“ finden Sie dazu eine Übersicht der wichtigsten Unternehmen und Online-Dienste, die eine moderne Zwei-Faktor-Authentifizierung bereits unterstützen.