Als überzeugter Großstadtradler schwingt bei mir beim Abstellen meines Fahrrads immer ein klein wenig die Angst mit: Ist es später noch da, fehlt etwas oder ist sogar etwas hinzugekommen? Im Idealfall soll der vorsichtige Besitzer das Fahrrad am besten mit zwei verschiedenen Schlössern absichern.
Noch wichtiger ist die Absicherung der genutzten Onlinedienste. Sei es beim Onlinebanking, Onlinekauf oder eben auch dem Dropscan-Konto. Denn die Konsequenzen beim „Aufbruch“ können deutlich heftiger sein, als im schlimmsten Fall der Kauf eines neuen Fahrrads. Leergeräumte Konten, nicht selbst getätigte Einkäufe, wichtige Informationen in den falschen Händen – die Liste der möglichen Schadensfälle ist lang. Ein gutes individuell für den jeweiligen Dienst erstelltes Passwort hilft. Aber selbst das beste Passwort schützt nicht, wenn es durch Datenlecks, Phishing oder unvorsichtigen Umgang („… wo ist denn jetzt das Post-it mit dem Passwort hin?“) in falsche Hände fällt.
Auch hier hilft es, das eigene Schloss um weitere Faktoren zu ergänzen und damit die Sicherheit deutlich zu steigern. Mit der Zwei-Faktor-Authentifizierung oder kurz 2FA haben wir jetzt eine weitere Möglichkeit zur Absicherung integriert. Sozusagen die sicherste Kombination aus einem Zahlenschloss, dessen Code sich ständig ändert und einem schlüsselbasierten Granit-Faltschloss zum Nullkostenpreis - um in der Analogie der Diebstahlprävention meines Fahrrads zu bleiben.
Was ist die Zwei-Faktor-Authentifizierung (2FA)?
Die 2FA ist einer der effizientesten Methoden, um Dritten den Zugriff auf das eigene Konto zu verwehren. „Zwei-Faktor“ bezieht sich dabei darauf, dass neben der klassischen Kombination aus E-Mail-Adresse und Passwort ein weiterer Faktor für den Zugriff auf das Konto benötigt wird. Das kann beispielsweise eine Fingerabdruckerkennung, ein Hardware-Token oder ein Einmal-Passwort sein. Für letzteres gibt es unterschiedliche Verfahren: Üblich sind SMS, E-Mail oder die Generierung durch eine separate, einfach strukturierte Authentifizierungs-App.
Wir haben uns bei der Variante mit dem Einmal-Passwort für die App und damit für das modernste und sicherste Verfahren entschieden. Dabei wird das Smartphone durch eine App, die den offenen TOTP-Standard (Time-based One-Time Password) unterstützt, zum ganz persönlichen Schlüssel. Viele Nutzer kennen diese Möglichkeit wahrscheinlich bereits durch andere Online-Dienste wie Twitter, Dropbox, MailChimp oder PayPal.
Einfache Installation, viele Vorteile
Dafür wird eine kostenlose App wie Authy, Google Authenticator oder Microsoft Authenticator auf dem Smartphone installiert. Anschließend wird während des Aktivierungsprozesses ein QR-Code im Konto gescannt und die Verknüpfung so mit der App hergestellt. Ab diesem Zeitpunkt erzeugt die App alle 30 Sekunden ein neues Einmal-Passwort, wofür das Smartphone nicht einmal online sein muss.
Dadurch, dass das Einmal-Passwort auf demselben Gerät generiert und angezeigt wird, haben Hacker nicht die Möglichkeit, das Passwort abzufangen. Gerade das ist ein kritischer Sicherheitsfaktor bei anderen Übertragungsmethoden.
Einen Nachteil gibt es aber doch: Wer keinen Zugriff auf sein Mobiltelefon hat, kommt auch nicht in sein Konto. Aus diesem Grund haben wir noch einen "Plan B" und auch einen "Plan C" parat: Am Ende des Aktivierungsprozesses können Backup-Codes erstellt werden, durch die der Zugang zum Dropscan-Konto trotzdem noch möglich ist. Zusätzlich kann auch noch eine Mobiltelefonnummer im Konto hinterlegt werden. Dadurch werden nicht nur per SMS Informationen zu sicherheitsrelevanten Kontoaktivitäten verschickt, sondern es kann auch ein Einmal-Passwort für die 2FA angefordert werden.
WebAuthn als nächster Schritt
Wir werden zukünftig weitere Sicherheitstechnologien implementieren. Am Horizont zeichnet sich da der Einsatz des WebAuthn-Standards ab. Damit lassen sich je nach Kompatibilität des Browsers beispielsweise Face-ID, Fingerabdrucksensoren oder Hardware-Tokens nutzen, um Zugang zum eigenen Konto zu erhalten und die Sicherheit beim Login nochmals zu erhöhen.
Hilfe zum Aktivierungsprozess von 2FA
Eine detaillierte Beschreibung darüber, wie Sie die Zwei-Faktor-Authentifizierung in Ihren Kontoeinstellungen aktivieren können, finden Sie im entsprechenden Hilfeartikel. Falls Sie noch Fragen zum Thema haben, dann schreiben Sie uns gerne an service@dropscan.de.