In unserem vorherigen Artikel haben wir Ihnen eine Einführung in die fortgeschrittene Passwortverwaltung sowie nützliche Informationen und Tipps in diesem Bereich gegeben.

Dieses Mal werden wir über die Zwei- und Multi-Faktor-Authentifizierung sprechen, die den Hackern jede Hoffnung nimmt, Ihre Konten und die darin enthaltenen Daten zu stehlen.

Was sind 2FA und MFA, und gibt es einen Unterschied zwischen ihnen?

Multi-Faktor-Authentifizierung bedeutet ein paar Authentifizierungsschritte durchführen zu müssen, um Ihren Login-Versuch zu bestätigen.

Die Multi-Faktor-Authentifizierung umfasst drei Nachweise (Faktoren):

• etwas, das Sie wissen (z.B. Passwort, PIN);
• etwas, das Sie besitzen (z.B. Ihr Telefon oder Sicherheitsschlüssel);
• etwas, das Sie sind (z.B. Ihre biometrischen Daten).

Während die Zwei-Faktor-Authentifizierung nur zwei der oben genannten Nachweise (Faktoren) umfasst.

Die Hauptanwendungen der 2FA erfolgen in SMS-Nachrichten, Einmalcodes, die von speziellen mobilen Anwendungen generiert werden, Authentifizierungen durch Push-Benachrichtigungen und physischen Schlüssel zur Authentifizierung.

SMS

Die älteste der in diesem Artikel beschriebenen Methoden ist die SMS-Nachricht, die aufgrund der Anfälligkeit des SS7-Telefonieprotokolls, das bereits in den 70er Jahren entwickelt wurde und immer noch in Mobilfunknetzen verwendet wird, am wenigsten zuverlässig ist. Hacker können Ihre Nachrichten abfangen. Und auch mit Hilfe von Social Engineering können sie Ihre Nummer auf ihre SIM-Karte übertragen.¹

Wenn Sie die Möglichkeit haben, die 2FA-Methode zu wählen, empfehlen wir Ihnen, eine der folgenden Punkte zu beachten:

Zeitbasierte Einmal-Passwörter (TOTP)

Die Nutzung von TOTP wird von den Websites und Diensten weitgehend unterstützt. Dieser Algorithmus ist universell, so dass alle Ihre TOTP-Tokens (Zeichen-/Zeichenketten) von verschiedenen Diensten in einer Anwendung gespeichert werden können. Testen Sie zum Beispiel unser kostenloses AccessSecurium™ für Android und für iOS.

Betrachten Sie es als zusätzlicher Sicherheitsbonus, wenn die Anwendung die Codes verbirgt und sie nur anzeigt, wenn Sie darauf tippen. Sie sollten auch eine zusätzliche Sicherheitsebene aktivieren, indem Sie eine PIN, einen Fingerabdruck oder eine Gesichts-ID aktivieren, um sich bei der App anzumelden.

Die meisten Authentisierungsanwendungen speichern Daten lokal auf Ihrem Telefon. Wenn Sie Ihr Telefon verlieren oder die Anwendung entfernen, riskieren Sie daher, alle Ihre Tokens (Zeichen oder Zeichenketten) zu verlieren. Und wenn Sie nicht über eine zusätzliche 2FA-Methode für Websites und Web-Dienste verfügen, kann die Wiederherstellung des Zugriffs auf sie problematisch sein. Wenn die Anwendung über eine Backup-Funktion verfügt, empfehlen wir Ihnen, eine Kopie Ihrer Token-(Zeichen-/Zeichenketten-)Datenbank zu erstellen und diese auf einem Flash-Laufwerk in einem Safe zu speichern.

Einige Anwendungen speichern Token (Zeichen oder Zeichenketten) in der Cloud, was sowohl ihre Verlustvermeidung als auch die bequeme Übertragung auf neue Geräte gewährleisten sollte.

(Dienste unserer sicheren Unternehmensplattform für Kommunikation und Zusammenarbeit SWISS SECURIUM® sind mit TOTP geschützt).

Push-Benachrichtigungen

Google führte 2016 die Push-Verifizierungstechnologie ein, die später von Apple und Microsoft übernommen wurde.

Mithilfe von Push-Prompts können Nutzer ihre Anmeldung bequem mit einem vertrauenswürdigen Gerät verifizieren, obwohl dies genauso lange dauert wie die Eingabe von Einmal-Passwörtern. Der grösste Komfort besteht darin, dass der Benutzer einfach das Telefon entsperrt (was einer der Authentifizierungsfaktoren ist) und den Anmeldeversuch in der Pop-up-Benachrichtigung bestätigt oder ablehnt.

Falls die Benachrichtigung z.B. den Ort oder das Gerät zeigt, von dem aus der Login-Versuch unternommen wird, kann Ihnen dies helfen, Phishing zu erkennen. Wenn Ihnen der Ort und das Gerät nicht bekannt sind und Sie sicher sind, dass es sich nicht um einen Ihrer Kollegen/Bekannten handelt, dann blockieren Sie einfach durch Klicken auf "Nein" den Versuch des unberechtigten Zugriffs auf das Firmen-/Privatkonto.

Dies ist jedoch keine 100%ige Garantie für den Phishing-Schutz, da Sie einfach automatisch auf "Ja" tippen können, ohne auf einen in der Benachrichtigung angegebenen unbekannten Ort bzw. auf ein in der Benachrichtigung unbekanntes Gerät zu achten. Ein weiterer Nachteil ist, dass jeder Anbieter seinen eigenen Push-Verifizierungsdienst anbietet und nicht für jedes seiner Produkte. Diese Lösung ist noch nicht vereinheitlicht worden.

Sicherheitsschlüssel

Der gebräuchlichste Standard für Sicherheitsschlüssel (auch Hardware-Token genannt) ist U2F: Universal 2nd Factor. Meistens werden solche Schlüssel über den USB-Anschluss verwendet, so dass sie für PC- und Laptop-Benutzer praktisch sind. Aber das U2F-Projekt befindet sich in der Entwicklung, wobei es jetzt möglich ist, Schlüssel für Android- und iOS-Geräte zu verwenden.

Der Sicherheitsschlüssel ist einfach zu benutzen: Man schliesst ihn an das Gerät an, auf dem man sich einloggt, drückt die Taste auf dem Schlüssel (es gibt auch Geräte mit Optionen wie PIN-Eingabe oder Scannen eines Fingerabdrucks). Danach merkt sich der Schlüssel die Website und erzeugt damit ein Paar kryptographischer Schlüssel, die spezifisch für diese Website und dieses Konto sind.

Da sich der Schlüssel an die Website erinnert, bei der Sie sich anmelden, bietet dies im Gegensatz zu allen anderen Methoden einen zuverlässigeren Schutz vor Phishing.

(Die Verwendung von Sicherheitsschlüsseln für den Zugang ist eine On-Demand-Option für unsere SWISS SECURIUM® Plattform)

Sicherungs-Codes

Wenn Sie 2FA auf der Website einschalten, werden Sie in der Regel aufgefordert, zusätzliche Einmal-Codes für den Druck zu speichern. Lehnen Sie diese nicht ab. Drucken Sie diese Codes aus und bewahren Sie sie an einem sicheren Ort auf, denn bei Verlust des Sicherheitsschlüssels, Entfernung des Authentifizierungsantrags oder Verlust des Telefons können Sie mit diesen Codes wieder auf Ihr Konto zugreifen. Ein solcher Code kann auch auf eine Reise mitgenommen und für ein sicheres einmaliges Login verwendet werden.

Hier ist eine Liste von Diensten und Websites, die verschiedene Arten von 2FA verwenden.

Dort finden Sie Links zu Anleitungen, wie Sie 2FA für sich aktivieren können und in nur wenigen Schritten werden Sie die Sicherheit Ihrer Konten deutlich erhöhen und das Risiko eines unberechtigten Zugriffs auf diese Konten verringern.

Welche zusätzlichen Sicherheitsfunktionen bieten Anbieter zum Schutz ihrer Dienste an?

VPN

Der Zugang zu Diensten über ein virtuelles privates Netzwerk reduziert das Risiko eines unberechtigten Zugriffs erheblich. Tatsächlich können sich nur vertrauenswürdige Benutzer, für die der Zugang konfiguriert wurde, zu in einem virtuellen Netzwerk gehosteten Dienste anmelden und diese nutzen.

(Die Dienste unserer SWISS SECURIUM® Plattform können auch so konfiguriert werden, dass der Zugang nur über VPN möglich ist).

Verschlüsselung der Daten

Die Verschlüsselung von Daten während der Speicherung und deren Übertragung über sichere Kanäle ist ein Muss für alle, die sich Sorgen um ihre Cybersicherheit machen. Die beste Option ist die Ende-zu-Ende-Verschlüsselung, bei der nur der Absender und der Empfänger -und niemand sonst- die übertragenen Informationen sehen können.

Die Ende-zu-Ende-Verschlüsselung bietet jedoch keine Verifizierung Ihres Gesprächspartners (d.h. keine Authentizität seiner Identität). Einige Anwendungen (z.B. unser SwissSecurium™ Messenger) verfügen über Funktionen zur Verifizierung des Gesprächspartners. Es gibt eine Funktion für den Vergleich von Gerätefingerabdrücken (eine für Ihr Gerät einzigartige Zeichenfolge, die bei einem persönlichen Treffen verifiziert wird), sowie für die Verwendung einer geheimen Frage, über die Sie und Ihr Gesprächspartner in einem vertraulichen Rahmen übereinkommen.

Null Wissen

Dieses Konzept der Datenspeicherung steht dafür, dass niemand ausser Ihnen Schlüssel zu Ihren Daten hat, nicht einmal der Dienstleister, bei dem Sie Ihre Dateien speichern. Selbst wenn Vertreter des Gesetzes von diesem Dienstleister die Herausgabe Ihrer Daten verlangen (oder ein Leck infolge eines Hackerangriffs entsteht), werden dadurch keine Daten offengelegt, da alles verschlüsselt ist und nur Sie die Schlüssel besitzen. Aber Sie müssen sich auch der hohen Verantwortung bewusst sein: Wenn Sie die Schlüssel verlieren, wird niemand mehr Zugang zu Ihren Daten erhalten.

Abschliessend möchten wir darauf hinweisen, dass die Sicherheit und der Schutz Ihrer Daten eine umfangreiche und komplexe Aufgabe ist, die nicht vernachlässigt werden sollte.

Mit ALPEIN Software haben Sie allerdings einen zuverlässigen und erfahrenen Geschäftspartner im Bereich der Cybersicherheit.