Zwei-Faktor-Authentifizierung

Google Authenticator für Android, iOS und BlackBerry

Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
Google bietet für den sicheren Zugriff auf die eigenen Dienste eine kostenlose Zwei-Faktor-Authentifizierung. Dann fordern die Seiten nicht nur das Passwort, sondern auch eine sechsstellige Zahlenkombination. Inzwischen lässt sich diese Token-Lösung auch für andere Web-Dienste nutzen.

Google bietet inzwischen für eine Reihe von Diensten eine Zwei-Faktor-Authentifizierung an. Dabei installiert der Nutzer eine App auf seinem Smartphone, unterstützt werden Android-, iOS- und BlackBerry-Geräte. Ist die Zwei-Faktor-Passwortabfrage in den Google-Diensten aktiviert, fragen die Web-Dienste neben dem Passwort zusätzlich eine sechsstellige Zahlenkombination ab. Diese ändert sich in regelmäßigen Zeitintervallen. Nur wenn neben dem Passwort auch die richtige Zahl eingegeben wird, erhält der Nutzer Zugriff auf die Webseite.

Inzwischen kann der Dienst nicht nur in Googlemail oder den Google Apps for your Domain genutzt werden, auch andere Dienste unterstützen das Sicherheitssystem. Dazu gehört beispielsweise der Passwort-Dienst LastPass. Hat man sich am Dienst angemeldet, kann man über die Einstellungen den Reiter "Google Authenticator" aufrufen. Um das jeweilige Smartphone mit der Authenticator-App zu verknüpfen, muss lediglich der Barcode eingescannt werden. Alternativ kann man die notwendigen Informationen auch per Hand eingeben.

Fazit: Nutzer von Google und LastPass sollten sich diesen Dienst in jedem Fall genauer ansehen. Die zusätzliche Token-Abfrage setzt in jedem Fall eine zusätzliche Hürde für Angreifer. Vor allem mit Hinblick auf die kürzlichen Attacken auf Dienstleister die Gawker oder Sony sollte man zusätzliche Sicherheitsmaßnahmen ergreifen, um den Zugang zum eigenen Konto zu schützen. Oder, wie es Bruce Schneier, der Chief Security Technology Officer von BT, im ComputerWoche-Interview zusammenfasst: Man muss nicht das sicherste System haben, man muss nur sicherer sein als andere.