Sicherheit beim Login im Web – One Time Password

Wenn wir Dienste im Internet nutzen, denken wir meistens über die Sicherheit nach. Wenn es um Social Network geht, denken dort noch nicht mal alle Benutzer darüber nach, warum man sich Datenschutz technisch nicht die Hose ganz ausziehen sollte. Ganz langsam scheint es sich jedoch zu bessern (in 10-15 Jahren werden die meisten hoffentlich in diesem Thema fit sein).

Ganz anders sieht es beim Thema „Passwörter“ aus, denn dort werden immer kurze und einfache Passwörter verwendet. Die Alternative besteht leider noch immer darin, sich zwar komplizierte Passwörter auszudenken und diese dann unter der Tastatur zu verstecken. Die meisten Passwörter findet man: unter der Tastatur, hinter dem Bilderrahmen, unter der Schublade, unter dem Schreibtisch, unter der Tischlampe und so weiter. Die beliebtesten Passwörter oder Passwort- Kombinationen sind: Das Geburtsdatum der Ehefrau, der Kinder, das eigene Geburtsdatum, Lieblings Urlaubsort, Geburtsort, der Name einer Frau/eines Mannes (Exfreundin/Exfreund, weiblicher oder männlicher Promi/Schauspieler) usw.

google-authenticator-multifactor-authentication-29-11-2011_09-03

Natürlich gibt es diese Möglichkeiten sich ein Passwort auszudenken, aber da wir alle Menschen sind, können wir niemals fehlerfrei sein. Vielleicht verrät das Foto auf dem Schreibtisch, das ist „die Eine“ oder „den Einen“ gibt. Oder das Poster/der Desktop Hintergrund Updates welcher Schauspieler seinen Namen für das Passwort hergeben musste.

Welche Möglichkeiten gibt es also, um ein so sicher wie mögliches Passwort auszusuchen? Die Lösung heißt „One Time Passsword“ und „Zwei Faktor Authentifizierung“! Die zwei Faktoren sind in diesem Fall, das was ich weiß (mein Passwort) und das was ich habe (Dongel/ Passwort Generator).

Wie sieht der Ablauf aus? Ich öffne eine Applikation und werde dann nach meinem Passwort gefragt (das was ich weiß), danach werde ich aufgefordert ein Passwort „abzulesen“ (das was ich habe). Das bedeutet dass ein Angreifer mein Passwort wissen muss (was in Einzelfällen nicht so schwierig ist herauszufinden), aber auch mein Dongel/Passwort Generator haben muss. Somit sieht die Welt schon wieder ganz anders aus.

Bei Google Mail gibt es auch so eine Möglichkeit, sich zweistufig abzusichern. Entweder man erstellt sich eine Liste Transaktion Nummern um jeweils einen Nummer (bei Nachfrage) einzugeben oder man benutzt die Google Authenticator Multifactor Authentication. Dieser Dienst bietet zum Beispiel eine Android App (Google Authenticator) an, die in bestimmten Zeitabständen ein neues Passwort generiert. Dieses kann von Internetdiensten abgefragt werden und somit die Sicherheit drastisch erhöhen. Das beste Beispiel haben wir bei Google Mail und dem Passwort Dienst LastPass. Dort ist es möglich, den Dienst so einzustellen, dass man sich „nur mit einem Passwort „, nicht einfach so einloggen kann.

Bei beiden Beispielen, muss man das generierte Passwort jedes Mal zusätzlich eingeben und sich erfolgreich einloggen zu können. Um den Aufwand trotzdem ein wenig zu senken, hat man die Möglichkeit den Computer/Browser frei zu schalten. In dem Fall muss man zwar das generierte Passwort einmal eingeben, aber danach nicht mehr, solange man sich von dem freigeschalteten Computer anmelden möchte. Es besteht die Möglichkeit einen Kompromiss einzugehen und die Authentifizierung nicht nur einmalig zu machen, aber auch nicht bei jeder Anmeldung, sondern (so macht es Google Mail) zum Beispiel alle 30 Tage. (Hier eine Anleitung von Google)

Welchen Vorteil habe ich durch so eine Lösung? Wir leben in einer digitalen Welt und unser virtuelles Hab und Gut ist auch digital. Die Barriere liegt zwischen dem physikalischen Gütern und den digitalen Gütern! Diese Barriere wird niemals zu brechen sein. Das bedeutet das einen digitaler Angreifer nicht auf meine abgekapselten, physikalischen Sicherheitsmechanismen (Dongel/Passwort Generator) zugreifen kann. Wird mir also mein Passwort über das oder im Internet gestohlen, kann der Angreifer nichts damit anfangen. Er müsste mir meinen Passwort Generator auch noch stehlen und das ist den Aufwand nicht wert bzw. der Angreifer weiß in den meisten Fällen gar nicht wo ich mich gerade befinde.

Wenn wir also die Möglichkeit haben eine Zwei Faktor Authentifizierung zu machen, sollten wir dieses Angebot annehmen. Gerade bei dem Thema E-Mail (Google Mail) und abgespeicherte Passwörter (LastPass) ist es wichtig diese Funktion zu aktivieren. Es ist nicht viel mehr Aufwand, aber man kann sich um ein vielfaches besser absichern ohne auf großem Komfort zu verzichten.

Das könnte Dich auch interessieren...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Do NOT follow this link or you will be banned from the site!