Kennwort-Nirwana
Mal Hand aufs Herz: bei wie vielen Internet-Diensten benutzen Sie ähnliche oder gar die gleichen Kennwörter?
Wir nutzen inzwischen so viele Dienste, dass wir uns unmöglich alle Kennworte merken können. Als Folge davon nutzen wir zu oft die gleichen oder ähnliche Kennwörter und viele dieser Kennwörter sind nicht besonders sicher. Auch besondere Regeln wie die Kennwortlänge oder die Verwendung von Zahlen und Sonderzeichen können das Sicherheitsniveau nicht sicherstellen. Bei kennwortbasierten Zugangskontrollen werden bei Sicherheitsprüfungen regelmäßig erschreckend viele Kennworte in kürzester Zeit geknackt.
Dem abhelfen kann eine mehrstufige Authentifizierung, wobei zusätzlich zu Benutzernamen und Kennwort ein weiteres Merkmal zur Identifizierung des tatsächlichen Benutzers geprüft wird. Schon lange nutzen viele unsere Kunden dazu ein SecurID Token von RSA. Viele Schlüsselschränke werden voll davon sein.
Dieses System hat aber wesentliche Nachteile:
1. Ein Token kostet ca. 40 US-Dollar
2. Basisschlüssel (Seed) und Seriennummern für die Verschlüsselung liegen beim Hersteller RSA und können von dort entwendet werden, was auch bereits im Jahr 2011 geschehen ist (siehe Heise Online). Darauf mussten 40 Millionen SecurID-Tokens ausgetauscht werden (siehe Heise Online).
Moderne Varianten bieten Microsoft und viele andere Online-Dienste über eine mobile App an. Historisch bedingt bietet Microsoft derzeit zwei ähnliche Apps an:
Authenticator App für Microsoft-Konten (früher: Live-ID)
In den Kontoeinstellungen kann die mehrstufige Authentifizierung einfach und kostenlos aktiviert werden (-> Sicherheit und Datenschutz -> Prüfung in zwei Schritten). Nachdem die Authenticator-App über einen QR-Code mit dem Microsoft-Konto verknüpft wurde, generiert sie Einmal-Kennwörter zur Authentifizierung. Bei jeder Anmeldung muss nun zusätzlich der Code aus der App eingegeben werden.
Diese App kann auch gleichzeitig für mehrere Konten und viele andere Dienste genutzt werden, z.B. Google oder GitHub. Nicht bei allen Diensten funktioniert die Erkennung der QR-Codes, in diesen Fällen kann der erforderliche Code auch manuell eingegeben werden. Ähnlich wie bei einem SecurID-Token zeigt der orangefarbene Balken an, wie lange die angezeigten Kennworte noch gültig sind. Gleichwertige Apps sind von Google auch für Android und iPhone verfügbar.
Multi-Factor Auth App:
Für Azure-Dienste wie Office-365 muss die App der im Jahr 2012 von Microsoft gekauften Firma PhoneFactor (siehe Microsoft News Center) genutzt werden. Der Administrator kann die mehrstufige Authentifizierung im Office-365 Admin Center einfach und kostenlos für jeden Benutzer aktivieren oder auch erzwingen (-> Benutzer und Gruppen -> Mehrstufige Authentifizierungsanforderungen festlegen).
Update (2019): Die Nachfolgeversion der Authentificator App finden Sie hier.
