Sicherheit

Diese Android-App schützt den Zugriff auf Onlinekonten

Pass­wörter können erraten, gestohlen oder ausspio­niert werden. Deshalb ist es gut, wenn bei Log-ins noch ein Merkmal abge­fragt wird, etwa ein App-gene­rierter Code. Aber welche Anwen­dung über­nimmt das?
Von dpa /

Ob E-Mail-Provider oder Social Media: Es gibt kaum noch einen größeren Online­dienst, der in den Einstel­lungen keine Anmel­dung in zwei Schritten anbietet, also die soge­nannte Zwei-Faktor-Authen­tisie­rung (2FA). Und dieses Feature sollte man unbe­dingt nutzen, wo es geht, weil es die Sicher­heit des jewei­ligen Accounts immens stei­gert.

Apple-Geräte, also auch das iPhone, bringen die Möglich­keit, Bestä­tigungs­codes für Log-ins bei Diensten zu gene­rieren, von Haus aus mit. Auf Android-Smart­phones muss man aber extra eine App instal­lieren, welche die auch Einmal­pass­wörter genannten Codes zum Einloggen erzeugt.

Aegis bietet Schutz und Schild für Konten

Für Android gibt es beispielsweise die 2FA-App "Aegis" Für Android gibt es beispielsweise die 2FA-App "Aegis"
Bild: dpa Eine funk­tio­nale, über­sicht­liche und sichere Open-Source-App, die das unter Android erle­digt, heißt Aegis. Sie ist kostenlos im Play Store und im F-Droid-Store erhält­lich. Wie üblich lassen sich Dienste und Konten, die man per 2FA absi­chern möchte, auch in Aegis über das Scannen eines QR-Codes ober über die händi­sche Eingabe des Schlüs­sels (Token) einbinden.

Die ganzen Token verwahrt die App sicher verschlüs­selt auf. Benö­tigt man zum Anmelden bei einem per 2FA geschützten Dienst ein Einmal­pass­wort, muss man Aegis immer per Finger­abdruck oder PIN-Code öffnen und entschlüs­seln.

Token-Export und -Siche­rung ist wichtig

Auf Nummer sicher geht die App auch an einer anderen entschei­denden Stelle: Sie bietet eine verschlüs­selte Export-Funk­tion für die Token an. Denn man kann - und sollte unbe­dingt - seine gesam­melten Token in regel­mäßigen Abständen auf einem anderen Gerät spei­chern und damit sichern.

Das geschieht für den Fall, dass das Smart­phone gestohlen wird oder irgend­wann einmal defekt ist. Sonst ist der Zugang zu den ganzen Diensten und Konten für immer verloren.

Nicht nur auf Backup-Codes verlassen

Ausnahme: Einige Anbieter von Diensten geben bei der 2FA-Akti­vie­rung einen soge­nannten Backup-Code an, mit dem man im Token-Verlust­fall die 2FA-Abfrage einmalig über­springen kann, um wieder Zugriff auf das jewei­lige Konto zu erhalten.

Diese Backup-Codes sollte man als zusätz­lichen Schutz davor betrachten, plötz­lich aus einem Konto ausge­sperrt zu sein. Sie sollten die Token-Siche­rung aus der 2FA-App heraus aber nicht ersetzen.

In einem Ratgeber lesen Sie Tipps zum Schutz gegen Tracking, Malware & Phis­hing.

Mehr zum Thema Sicherheit