2-Faktor-Authentifizierung – Wie ist der Stand jetzt?

Katastrophal. Im privaten Umfeld ganz besonders. Private Anwender sind so wenig geschult, dass sie weder wissen, was 2-Factor ist, noch wie sie sich oder Ihre Informationen vor Diebstahl schützen. Meist heißt es da, „was soll mir denn schon passieren“… Im geschäftlichen Umfeld gilt das weniger, Unternehmen können auf AD-Basis einfach und kostengünstig 2-Factor-Authentication einführen. Doch sie tun es einfach nicht. Der Mittelstandsadministrator ist überfordert, der Geschäftsführer sieht die Anforderung nicht.

Was ist 2Factor überhaupt?

Es ist die derzeitig einzige Möglichkeit, einem Identitätsdiebstahl vorzubeugen. Fest steht, mit den heutigen Mitteln sind Passwörter überhaupt kein Garant mehr für Sicherheit. Ziel ist, dem entgegenzuwirken und z.B. einen „Token“ = Schlüssel selbst mitzuführen. Der Token kann dann höchstens noch in physischer Form entwendet werden. Bei Entwendung können sie umgehend unbrauchbar gemacht werden. Tokens können Smartcards mit Zertifikaten, USB-Sticks mit selbigen oder der gute bekannte RSA-Token mit einer generierten Nummer sein. Letzter befindet sich immer häufiger auch in Mobiltelefon-Apps, und das ist praktisch, ist der Token doch immer mit dabei.

Bei der laxen Umgangsform mit Kennwörtern in manchen Unternehmen wird mir manchmal nur noch schlecht. Nicht wundern, dass ich vor der Benutzung mancher mir angebotenen Computer zurückschrecke. Es liegt da meist nicht an einer unhygienischen Tastatur oder Maus.

Für mich ist bis heute überhaupt nicht nachvollziehbar, warum Paypal seine Tokens in der hinterletzten Ecke versteckt und die Alternative Zugriffsmöglichkeit nach Aktivierung dennoch sofort anbietet. Besser gelöst sind da die Tokens von Dropbox, sowie generell alle Dienste von Google. Facebook bietet nur SMS-Tokens an, Microsoft arbeitet an einer „Möglichkeit“ für bestimmte Dienste, das Angebot jetzt ist im heutigen Sicherheitskontext eher „erschreckend“: Link. Apple bietet überhaupt keine Lösung.

Der weltweit wichtigste und umsatzstärkste Onlineshop mit der größten Kundenbasis – Amazon – patzt hier auf ganzer Linie. Nach einem Gespräch mit dem Support (Links) wollte ich es genauer wissen: Auch nach Rückfrage teilte der Konzern mit, dass 2-Factor für Shopbenutzer derzeit nicht geplant ist und an einer Lösung auch nicht gearbeitet wird. Lediglich bestimmte Dienste (Amazon Web Services) können 2-Factor geschützt werden.

Am allerschlimmsten finde ich, wie unachtsam Apple und Microsoft immer noch mit dem derzeit wichtigsten Sicherheitsfeature umgehen. Keiner der beiden ist derzeit mit einer ernsthaften Lösung am Start. Welcher Alptraum passieren kann, wenn ein iCloud Account „stiften geht“, könnt Ihr am besten hier nachlesen: Link.

Verschlimmbessert wird das Ganze noch durch die Einführung des sogenannten „ePerso“, der bei genauerer Betrachtung in Puncto Sicherheit ein absoluter Witz ist. In den Meldebehörden selbst sind weder Aufklärung noch Tipps zur Sicherheit im Umgang mit selbigen zu erwarten. Bei meinem Besuch letzte Woche konnte mir keiner der anwesenden Damen über die Funktionen der unterschiedlichen Reiner-Chipkartenleser berichten. Sie empfahlen ausgerechnet den gefährlichsten Leser: „Das preiswerte Modell“. Seit Kritisierung durch den CCC 2010 hat sich bis heute nichts verändert.

Fazit:

So wie es Euch möglich ist, solltet Ihr bei der Nutzung von Webdiensten 2-Factor aktivieren und Dienste, welche diese Schutzfunktion nicht bieten, immer wieder darauf hinweisen, dass Ihr den Wunsch habt, 2-Factor zu nutzen. Vorbildlich: Wie einfach es gehen kann zeigt Blizzard. Der wichtigste Onlinespielehersteller bietet 2-Factor auf iPhone oder mit Token an. Der Battlenet-Account ist offenbar „schützenswerter“, als so manches Bankkonto.