Der große Nachteil der Zwei-Faktor-Authentifizierung (2FA)

Ich nutze für möglichst viele Dienste noch ein zweites, temporär gültiges „OTP“-Passwort. Dieses wird ad hoc von einer App generiert und nur damit kann ich mich dann einloggen. Die Sache hat jedoch einen großen Haken: Was ist eigentlich, wenn ich keinen Zugriff mehr auf mein Smartphone habe?

Smartphone mit einer Einmal-Passwort-App. Sie generiert nur für einen bestimmten Zeitraum je ein gültiges Zusatzpasswort (vielmehr eine Pin), ohne welches ein Login nicht möglich ist.

Aktivieren Sie Einmalpasswörter, sofern der jeweilige Anbieter (z. B. PayPal, Amazon, Bahn, …) diese zusätzliche Sicherheitshürde anbietet. Mit einer kostenlosen App (siehe die Abbildung oben) wird ein solches dann individuell je für den aktuellen Login generiert. Falls die regulären (und weiterhin nötigen) Zugangsdaten in fremde Hände gelangt sind, kann ein Kompromittieren des Online-Kontos durch so eine Zwei-Faktoren-Authentifizierung (2FA) wirksam verhindert werden.

Ich nutze hierzu eine Open-Source-App auf meinem Smartphone wie beispielsweise ›andOTP‹ oder ›FreeOTP+‹. Es gibt hier viele weitere kostenlose Apps – s. g. „OTP-Apps“ (OTP = One Time Password = Einmalpasswort).

An so ein Szenario sollte man schon heute denken und sich entsprechend vorbereiten. Ich habe daher ein altes, ausrangiertes Smartphone in meiner Schreibtischschublade liegen, auf welchem ich parallel eine solche OTP-App (nebst den Daten natürlich) installiert habe. Auf diesem habe ich – nebenbei – auch meine Banking-App noch einmal installiert. So kann ich weiterhin, auch bei Verlust meines primären Gerätes, stets aktuelle Logins generieren.

Vielleicht bietet der jeweilige Dienst (bei dem man sich einloggen möchte) noch eine „Fallback“-Funktion an für den Fall, dass das nötige Einmal-Kennwort lokal nicht mehr generierbar ist – beispielsweise in Form einer automatisch generierten E-Mail oder SMS, mittels der man einen solchen Code zugeschickt bekommt. Aber ich glaube, darauf verzichten viele Anbieter mittlerweile.

Sicherlich wird es auch OTP-Apps geben mit einer Schnittstelle zu Google Drive oder Apple. Aber dann gebe ich sensible Zugangsdaten für externe Dienste aus der Hand. Das gefällt mir nicht. Vermutlich ließe sich dann – nach einigem Hin- und Her – die Grundstruktur (die s. g. Secrets) auf einer neu installierten OTP-App bzw. auf einem neuen Gerät wieder herstellen.

Ich möchte jedoch die Kontrolle über meine (Zugangs-) Daten haben und nicht von Dritten abhängig sein. Ich sichere diese ›Secrets‹ daher zusätzlich lieber manuell: Innerhalb meiner OTP-App gibt es den Menüpunkt Backup. Damit kann ich mir eine „json-Datei“ (oder etwas ähnliches ^x) erstellen. Diese Datei enthält alle sensiblen Daten bezüglich der Zwei-Faktor-Authentifizierung für die eigene App. Und dieses Backup sichere ich an einem mir bekannten Ort (in einem persönlichen Backup-Ordner auf der Festplatte meines Computers).

^x Die App sollte hier auch ein verschlüsseltes Dateiformat anbieten können. Aber dann muss man sich zusätzlich noch ein Passwort für diese Backup-Datei merken. Ich selber sichere unverschlüsselt, denn die regulären Login-Daten zu den Anbietern sind ja ein anderes Dorf bzw. liegen verschlüsselt in meinem Passwortmanager an anderer Stelle.

Auf einem neuen Smartphone (bzw. auf einem Zweitsmartphone) kann ich diese Datei dann in der selben App importieren und habe somit wieder die Möglichkeit, die passenden Pin-Codes (Einmalpasswörter) für meine Dienste zu nutzen. Falls ein neuer Dienst hinzu kommen sollte, sollte man das manuelle Backup natürlich erneut durchführen bzw. das alte überschreiben. So bin ich stets auf der sicheren Seite, auch wenn ich mein Handy einmal verlieren sollte.

Apropos Passwortmanager: Von dessen Datenbank lege ich natürlich auch ein regelmäßiges Backup an. Denn auch der Computer kann gestohlen, zerstört, verloren … Sie wissen schon. An derlei Dinge sollte man also schon vorher denken.