2FA / MFA

Mehr Accountsicherheit durch Besitz

2FA (2-factor authentication) bzw. MFA (multi-factor authentication) steht für Methoden, die zusätzlich zu Benutzernamen und Passwort (Wissen) noch einen weiteren Faktor (Besitz) zu einer Anmeldung hinzufügen. Es gibt verschiedenste MFA-Arten, die gängigen sind derzeit vor allem durch eine App oder ein Hardware-Token generierte Zahlenreihen (meistens sechs bis acht Ziffern), QR-Codes oder neuerdings Passkeys, die das Gerät selber als zweiten Faktor verwenden.

Ich möchte an dieser Stelle vorerst nicht die technischen Hintergründe der verschiedenen Methoden beleuchten, die Vorteile all jener Methoden liegen aber auf der Hand: Während man Passwörter auslesen, mitschneiden oder erraten kann, fällt das bei über ein separates Gerät generierte Tokens sehr viel schwerer. Viele Anbieter von Web-Diensten erlauben inzwischen, einen 2. Faktor hinzuzufügen, vor allem bei Passwortmanagern und Webmail-Diensten sowie Verwaltungszugängen sollte die entsprechende Option meiner Meinung nach verpflichtend sein.

Nun gibt es gerade für 2FA-Generatoren auf dem Handy diverse Apps, die entsprechende Funktionen bieten. Doch es gibt Stolpersteine, vor allem, wenn die entsprechenden Apps die 2FA-Token in die Cloud synchronisieren (bei Apple teilweise nicht einmal deaktivierbar) oder keinen Export der gespeicherten Accounts erlauben (z.B. Authy).

Empfohlene 2FA-Generatoren

Auch hier komme ich nicht umhin, konkrete Empfehlungen auszusprechen. Leider gibt es zu viele Apps, die hohe Sicherheitsanforderungen nicht erfüllen oder den Wechsel zu einer anderen App erschweren, was für mich ein Ausschlusskriterium darstellt.

Leider kann ich für Apple-Geräte keine Empfehlungen aussprechen, da ich diese weder privat noch in ausreichendem Umfang beruflich verwende. Im zweifel ergänze ich diese Seite zu einem späteren Zeitpunkt dennoch.

OTP (Zahlencodes)

Empfehlung: Aegis (Play Store / f-droid)

Aegis beherrscht die üblichen Methoden, 2FA-Tokens zu generieren. Zudem lassen sich dort abgelegte Accounts auch exportieren, um sie mit anderen Geräten abzugleichen oder Backups anzulegen, unter anderem kann man damit auf die eigene Nextcloud-Infrastruktur sichern. Die Unabhängigkeit von den Google Play-Diensten ermöglicht den Betrieb auch auf Geräten ohne diese auf gerooteten und von Google befreiten Geräten.

Hardware-Keys

Empfehlung: Nitrokey

Der Berliner Hersteller Nitrokey GmbH stellt eine Alternative zum bekannten YubiKey her, die vor allem mit der exportierbaren Firmware besticht. Dies ermöglicht es, mit ausreichendem Fachwissen selber zu überprüfen, was genau an Software auf dem gerät läuft und ob sie dem entspricht, was der Hersteller verspricht - ein Alleinstellungsmerkmal. Zudem gibt es Nitrokeys mit allen möglichen USB- und Lightning-Anschlüssen und NFC - damit sind sie wirklich universell einsetzbar. Der aktuelle NitroKey 3 unterstützt zudem die Anmeldung nach den Standards FIDO2, U2F und Passkeys und ist damit kompatibel mit den meisten Onlinediensten, die die Anmeldung mit Hardware-Tokens erlauben. Auch die Anmeldung am eigenen Betriebssystem ist damit möglich. Die Nitrokeys können noch einiges mehr, schaut dafür einfach direkt auf der Herstellerseite vorbei.

Passkeys

Empfehlung: Keine

Passkeys werden aktuell von allen gängigen Betriebssystemen implementiert und bieten eine bequeme Art, den FIDO2-Standard ohne Zusatzgerät einzusetzen. Als zweiter Faktor wird das aktuelle Gerät verwendet, auch einige Passwortmanager (wie z.B. der empfohlene BitWarden) bieten inzwischen an, sich als Passkeys-Gerät zu registrieren. Die Vorteile liegen auf der Hand: Man braucht kein zweites Gerät mehr, um sich anzumelden. Die Nachteile sind dieselben, man benötigt kein zweites Gerät mehr. Passkeys zu “entführen” ist zwar eine riesige Hürde und in manchen Fällen nahezu unmöglich, jedoch kann ein Angreifer mit Kontrolle über Dein Gerät auch die Passkeys dieses Gerätes zur Anmeldung nutzen - es gibt also nur noch einen halben zweiten Faktor, bestenfalls.

Aus diesem Grunde empfehle ich die Verwendung von Passkeys nicht, solange die anderen 2FA-Methoden eine gangbare Option sind. Sicherer sind sie allemal, wenn auch minimal weniger bequem. Aber glaube mir, man gewöhnt sich unglaublich schnell daran.