Authentisierung: 2FA bei Apple, Google, Amazon & Co.
E-Mail-Adresse(n), Nutzer-Accounts von Samsung, Apple oder Google, Smartphone-Zugangsdaten, Online-Banking, Account-Details zu diversen Online-Shops, Reisebuchungsportalen, Social-Media-Kanälen, Unterhaltungs-Apps wie Spotify und Netflix - da kommt einiges an Account-Informationen zusammen, die man sich im Zweifel merken muss. Gut, nicht überall muss man sich ab- und anschließend wieder anmelden, wenn man den Dienst später nutzen will.
Dennoch werden Account-Details immer wieder abgefragt, beispielsweise, wenn man sich ein neues Handy gekauft hat oder man Änderungen an seinem Konto vornehmen möchte. Mittlerweile sollte auch bei den letzten Passwort-Muffeln angekommen sein, dass Klassiker wie „hallo123“, „123456“ oder „passwort“ überholt und gefährlich sind.
Erweiterte Sicherheit empfehlenswert
Zusätzlich zu einem starken Passwort gibt es mit der Zwei-Faktor-Authentisierung ein modernes Tool, das zusätzlichen Schutz für das Konto gewährleisten soll.
„Authentisierung“ ist nicht zu verwechseln mit „Authentifizierung“. Das Bürgeramt für Sicherheit und Informationstechnik (BSI) schreibt auf seiner Webseite BSI für Bürger dazu:
„Die Begriffe Authentisierung und Authentifizierung werden im allgemeinen Sprachgebrauch oft synonym verwendet, beschreiben aber verschiedene Teilprozesse z.B. eines Anmeldevorgangs. Ein Benutzer AUTHENTISIERT sich an einem System mittels eindeutiger Anmeldeinformationen (z.B. Passwort oder Chipkarte). Das System überprüft daraufhin die Gültigkeit der verwendeten Daten, es AUTHENTIFIZIERT den Nutzer oder die Nutzerin.“
Wann immer Dienste eine zweite Sicherheitsmethode anbieten, sollte sie auch genutzt werden
Foto: Image licensed by Ingram Image, Grafik/Montage: teltarif.de
Oft wird auch die Abkürzung „2FA“ verwendet. Dienste hausieren in der Regel aber nicht gerade mit der erweiterten Sicherheitsfunktion, sodass Nutzer selbst herausfinden müssen, ob der genutzte Dienst 2FA anbietet oder nicht. Im Bank- und Finanzwesen wurde mit der EU-Zahlungsdiensterichtlinie 2018 die Zwei-Faktor-Authentisierung für den Europäischen Wirtschaftsraum aber verpflichtend eingeführt.
2FA soll das Konto sicherer machen
Die 2FA dient also dazu, dass der Nutzer die Möglichkeit hat, den Zugang zu einem Konto sicherer zu gestalten. Dienste bieten verschiedene Möglichkeiten an. So kann nach der Eingabe des Passworts eine SMS mit einem Sicherheitscode empfangen werden. Möglich ist auch die Generierung eines Codes durch eine Drittanbieter-App, ein separates Gerät oder eine E-Mail-Adresse. Der Sinn dahinter ist einfach zu erklären: Sollten sich Unbefugte Zugang zu dem Konto verschaffen wollen, hilft ihnen das Passwort alleine nicht. Soweit die Theorie.
Auch wenn niemand einen hundertprozentigen Schutz gewährleisten kann, ist ein zusätzlicher Schutzmechanismus immer empfehlenswert - es soll schon vorgekommen sein, dass SMS-Nachrichten mit dem Sicherheitscode abgefangen wurden.
Zumindest wird auf diese Weise eine zusätzliche Barriere erschaffen, die es Betrügern erschwert, sensible Daten abzugreifen. Auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt ganz pragmatisch: „Wenden Sie eine Zwei-Faktor-Authentisierung an, sobald ein Online-Dienst dies ermöglicht.“
2FA mit Apple, Samsung, Google
2FA mit Apple
iPhone-Nutzer können die 2FA im Einstellungsmenü aktivieren. Dazu müssen sie auf die Account-Informationen klicken und den Reiter „Passwort & Sicherheit“ auswählen. Anschließend kann die zusätzliche Sicherheitsmethode eingerichtet werden, indem eine vertrauenswürdige Telefonnummer hinterlegt wird. Diese ist erforderlich, um die 2FA überhaupt zu aktivieren.
Der zusätzliche Sicherheitscode, der zur Bestätigung der Identität bei einer Anmeldung mit der Apple-ID benötigt wird, kann auf verschiedenen Wegen empfangen werden.
Wer beispielsweise bereits ein iPhone besitzt und ein weiteres Apple-Gerät mit der gleichen Apple-ID verwenden möchte, nutzt das Smartphone als Referenzgerät beziehungsweise als vertrauenswürdiges Gerät. Dabei handelt es sich um ein iPhone, iPad oder ein iPod touch mit iOS 9 oder neuer oder ein Mac mit
OS X El Capitan oder neuer, auf dem die 2FA bereits genutzt wird.
Wichtige Accounts sollten mit 2FA geschützt werden
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de
Eine Apple Watch mit watchOS 6 oder neuer kann beim Anmelden mit der Apple-ID zwar Bestätigungscodes empfangen, aber stellt kein vertrauenswürdiges Gerät für das Zurücksetzen des Passworts dar, wie es im Apple-Support heißt.
Bei der Anmeldung des neuen Geräts muss zunächst auf dem Display des iPhones die Anmeldung des neuen Geräts erlaubt werden. Anschließend muss auf dem neuen Gerät der auf dem iPhone angezeigte Bestätigungscode eingegeben werden.
Codes können auch per Sprachanruf oder als SMS an die hinterlegte Telefonnummer oder im bereits genannten Reiter „Passwort & Sicherheit“ mit „Bestätigungscode erhalten“ empfangen werden. Bestätigungscodes sind immer zeitlich begrenzt und können nicht mehrfach verwendet werden.
2FA mit Samsung
Nutzer eines Samsung-Smartphones müssen über einen Samsung-Account verfügen, um die 2FA verwenden zu können. Sind sie auf dem Smartphone mit dem Account bereits angemeldet, ist die Aktivierung der Sicherheitsfunktion simpel. Am Beispiel eines in der Redaktion genutzten Samsung Galaxy S10+ kann das Feature im Einstellungsmenü aufgerufen werden. Oben rechts neben der Such-Lupe gibt es einen Avatar, der beim Klick darauf zu den Samsung Account-Informationen leitet. Unter dem Reiter „Passwort und Sicherheit“ kann die 2FA aktiviert werden. Dort gibt es nun verschiedene Möglichkeiten, zusätzliche Sicherheit zu generieren.
Nutzer, die eine Telefonnummer hinterlegt haben, können sich einen Bestätigungscode per SMS oder - ähnliche wie bei Apple - an ein weiteres genutztes Samsung-Galaxy-Gerät schicken lassen. Eine weitere Option ist eine Authentifizierer-App, beispielsweise Google Authenticator (für Android und iOS). Hier werden zeitlich begrenzte Codes generiert. Vorteil: Nutzer können auch Zugangscodes zu ihren dort hinterlegten Accounts erhalten, wenn sich das Smartphone im Offline-Modus befindet.
Wir haben den Samsung-Account unter anderem mit dieser Methode zusätzlich geschützt. Um den Account in einer Authentifizierer-App zu hinterlegen, muss bei der Einrichtung ein QR-Code gescannt werden. Wir haben das mit einem zweiten Handy gemacht, auf dem der Google Authenticator installiert ist. Dafür muss der App Zugriff auf die Kamera gewährt werden.
Ein zweites Handy ist jedoch keine Voraussetzung. Der Einrichtungsschlüssel kann auch kopiert und in die Authentifizierer-App eingefügt werden, die sich auf dem gleichen Gerät befindet. Dann ist der Account verknüpft und ein dort angezeigter sechsstelliger Code muss als zweite Schutzmethode bei der Anmeldung des Accounts eingegeben werden. Tipp: Nicht zu viel Zeit lassen bei der Eingabe des Codes. Denn dieser läuft recht schnell ab. Anschließend ist dann nur der neu angezeigte Code gültig.
2FA mit Google
Google bietet ebenfalls verschiedene Möglichkeiten an, um das Konto zu schützen. Der 2FA-Sicherheitsmechanismus kann in den Konto-Einstellungen aktiviert werden. Im Einstellungsmenü des Android-Smartphones gibt es in der Regel den Punkt „Konten“ oder - am Beispiel der OneUI-Benutzeroberfläche auf dem Samsung Galaxy S10+ - einen eigenen Menüpunkt „Google“. Unter „Google-Konto verwalten“ und dem Reiter „Sicherheit“ kann die 2FA aktiviert werden.
Neben einer hinterlegten Telefonnummer und der zum Google-Konto zugehörigen E-Mail-Adresse kann auch eine Authentifizierer-App verwendet werden. Das Einrichtungsprozedere ist mit dem wie oben beschrieben identisch: Entweder kann mit einem zweiten Gerät, auf dem die App installiert ist, der QR-Code gescannt oder - zur Verwendung einer Authentifizierer-App auf dem gleichen Gerät - der Einrichtungsschlüssel kopiert und zur Registrierung in der App eingefügt werden.
2FA mit Web.de, GMX, Twitter, Instagram
2FA mit Web.de und GMX
Bei den beiden E-Mail-Anbietern Web.de und GMX Mail & Cloud kann die 2FA über die Webseite (nicht über die jeweilige Android oder iOS-App) eingestellt werden. Wer die Einstellungen aus der App heraus vornehmen will, wird automatisch auf die Webseite über den Browser weitergeleitet. Unter „Passwort/Konto“ und „Sicherheit“ können eine Sicherheitstelefonnummer und auch eine weitere Mail-Adresse zur Kontoherstellung hinterlegt werden.
Social-Media- und E-Mail-Dienste bieten oft auch eine 2FA an
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de
Die Aktivierung der 2FA lässt sich beispielsweise mit der Google Authenticator-App realisieren.
Wer die Smartphone-Apps von Web.de und GMX nutzt, muss die 2FA nicht regelmäßig eingeben. Nur wenn das Mail-Konto in der App hinterlegt oder der Login über einen Browser vorgenommen werden soll, muss die vorher aktivierte 2FA-Methode angewendet werden.
Anschließend ist das Konto in der App registriert, und der Zugriff kann durch eine App-PIN oder beispielsweise mittels FaceID unterstützenden iPhones oder iPads gesperrt werden.
So ist es letztlich auch bei anderen Diensten wie Twitter oder Instagram. Wer die App auf einem Smartphone nutzt, ist in der Regel ständig eingeloggt. Kritische Stimmen könnten nun laut werden, dass der Account spätestens dann gefährdet ist, wenn Dritte das Smartphone in die Hände bekommen und an der Displaysperre vorbeikommen.
Wer auf Nummer sicher gehen will, sollte sich nach der Nutzung eines Dienstes abmelden und bei Bedarf erneut wieder anmelden. Das ist umständlich und erscheint nicht besonders praxisnah, ist aber ein Sicherheitstipp, um das Risiko, den Zugriff auf sensible Daten zu verlieren, zu reduzieren.
2FA mit Twitter und Instagram
Die Einstellung zur Aktivierung in der Twitter-App ist etwas versteckt. Unter „Einstellungen und Datenschutz“ und „Account“ gibt es den Reiter „Sicherheit“. Dort kann die 2FA aktiviert werden, beispielsweise über eine Authentifizierer-App. Zusätzlich besteht die Möglichkeit, E-Mail-Adresse oder Telefonnummer zu bestätigen, wenn das Account-Passwort zurückgesetzt werden soll.
In der Instagram-App lässt sich die 2FA im Profil-Menü aktivieren. Dazu muss das Menü über die drei Striche rechts oben (Beispiel iOS-App) geöffnet werden. Unter „Einstellungen“ und „Sicherheit“ kann die „Zweistufige Authentifizierung“ aktiviert werden. Bestätigungscodes können so per SMS an eine hinterlegte Telefonnummer gesendet und/oder über eine Authentifizierer-App generiert werden.
Am Beispiel der Instagram-App taucht mit „Wiederherstellungscodes“ ein weiteres wichtiges Sicherheitsthema auf. Diese sind sowas wie der letzte Not-Anker und können verwendet werden, wenn das Smartphone mit der Authenfizierungs-App beziehungsweise dem SMS-Empfang nicht zur Hand ist, weil es vielleicht gestohlen wurde.
Neben Instagram bieten auch einige andere Dienste solche Wiederherstellungscodes an. Diese sollten sich Nutzer für den Notfall notieren, am besten so, dass Dritte keine Zuordnung zum passenden Account machen können.
2FA mit PayPal und Amazon
2FA mit PayPal und Amazon
Die 2FA kann für den Online-Bezahldienst PayPal über die Webseite aktiviert werden. Nutzer müssen nach dem Login nur auf das Zahnrad-Symbol oben rechts klicken, um zu den Einstellungen zu kommen. Unter „Sicherheit“ kann die 2FA nun aktiviert werden. Dort wird eine Telefonnummer hinterlegt, an die bei jedem Login ein Code gesendet wird, der nach der Eingabe des Account-Passworts zusätzlich eingegeben werden muss.
Gerade für Dienste, bei denen Zahlungsinformationen hinterlegt sind, ist eine 2FA sinnvoll
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de
Amazon-Kunden können die 2FA für ihren Account über die Desktop-Webseite aktivieren.
Die nötigen Einstellungen müssen unter „Mein Konto“ und „Anmelden und Sicherheit“ vorgenommen werden. Amazon unterstützt mehrere Methoden, wovon eine als bevorzugte Methode, beispielsweise das Senden eines Bestätigungscodes per SMS an eine hinterlegte Telefonnummer, festgelegt wird. Zusätzlich können Bestätigungscodes auch über eine Authenfizierer-App generiert werden.
2FA „umgehen“ und Nachteile
Die 2FA lässt sich „umgehen“, wobei die Methode aber weiterhin aktiv bleibt. Konkret bedeutet das, die Methode kann vom Nutzer für ein vertrauenswürdiges Gerät beziehungsweise einen vertrauenswürdigen Browser deaktiviert werden. PayPal und Amazon beispielsweise bieten diese Möglichkeit an, in dem beim Login ein Häkchen bei der entsprechenden Option gesetzt werden muss. Anschließend wird dem Browser, der zum Login genutzt wird, vertraut und der zweite Sicherheitsschritt entfällt.
Das macht den Login leichter, verringert aber wiederum die Sicherheit, wie auch das Bundesamt für Sicherheit in der Informationstechnik zu bedenken gibt. Unsere Anmerkung: Man kann die 2FA zwar über den Weg überspringen, in dem man Geräten und Browsern vertraut, zusätzliche Sicherheit ist aber nun mal umständlicher als der einfachste Weg und sollte daher auch genutzt werden.
Die 2FA hat aber auch erwähnenswerte Nachteile. Wenn das Smartphone mit SIM-Karte und Authentifizierer-App nicht mehr vorliegen, wird auch der Zugang zum Dienst blockiert, weil die zweite Sicherheitsmethode fehlt. Dann können die erwähnten Wiederherstellungscodes helfen, wenn sie vom Dienst bereitgestellt werden und der Nutzer sie zuvor auffindbar notiert hat.
Darauf alleine sollte man sich allerdings nicht verlassen, weil im Notfall vielleicht auch der Zugriff auf die Wiederherstellungscodes aus diversen Gründen verwehrt sein kann. Es ist ratsam, eine weitere Sicherheitsmethode in der Hinterhand zu haben, beispielsweise eine zweite im Account hinterlegte Telefonnummer oder E-Mail-Adresse.
Praktisch kann auch ein zweites Gerät sein, auf dem die Authentifizierer-App installiert ist. So kann diese 2FA für Accounts auch dann verwendet werden, wenn das Haupt-Smartphone abhanden gekommen ist.
Weiterhin ist es wichtig, alle genutzten Geräte aktuell zu halten. Das betrifft sämtliche Software-Updates für Apps und Firmware-Aktualisierungen. Außerdem können Sie weitere Sicherheitsvorkehrungen treffen, um sich vor Malware und Datenlecks zu schützen.
- Ratgeber: So finden Sie ein sicheres Passwort
- Passwort-Check: Zugangsdaten gehackt?
- Sicherheit für PC, Handy & Co.
- Tipps für mehr Sicherheit bei E-Mails
- Phishing: Gefahr für Kontodaten
- Authentisierung: 2FA bei Apple, Google, Amazon & Co.
- WLAN-Sicherheit: Heimisches Netzwerk schützen
- Digitaler Nachlass: Accounts erben und vererben
- Identitätsdiebstahl: So verhalten Sie sich richtig