Willkommen
Passwörter
Login
Mehrfaktorauthentifizierung
Sicherheitslücken
Mechanismen
Administration
Sicherheitsschulden
Software-Bibliotheken
OWASP-Empfehlungen
Mentale Modelle
Compliance
Domain
Datenschutz
Rollen im Datenschutz
Datenschutz-Grundsätze
Datenschutz-Grundsätze mitdenken
Rechtsgrundlagen
Datenschutz-Informationen
Betroffenenrechte
Drittlandstransfers
Datenschutz-Mythen
ForDaySec Kartenspiel Datenschutz und IT-Sicherheit

Mehrfaktorauthentifizierung

Phishing erschweren mit
Zweifaktorauthentifizierung

Beim Phishing täuschen Angreifer
die Nutzer – „Ihr Nutzeraccount
wurde gesperrt und muss wieder
aktiviert werden“ und ähnliches liest
man. Häufig sollen die Nutzer dann
in ein Formular ihren Benutzernamen
und ihr Passwort eingeben.

Bei Zweifaktorauthentifizierung
(2FA) muss der Nutzer beim Login
zusätzlich zum Passwort (1. Faktor)
einen weiteren Faktor nachweisen,
etwa den Besitz eines Geräts.

9/52

2FA-Verfahren: Zeitbasiertes
Einmalpasswort (TOTP)

Bei TOTP wird in Abhängigkeit von
der aktuellen Uhrzeit und einem
geheimen Schlüssel ein Einmal-
passwort abgeleitet, das nur kurz
gültig ist. Gängig sind 6 Ziffern für
eine Zeitperiode von 30 Sekunden.

Den geheimen Schlüssel erhält der
Nutzer üblicherweise über einen
QR-Code, den er mit einer TOTP-App
auf seinem Smartphone scannt. Die
TOTP-App zeigt danach immer das
aktuell gültige Einmalpasswort an.

10/52

Empfehlungen für
Smartphone-TOTP-Apps

Wer seinen Nutzern aus verschie-
denen Gründen nicht die TOTP-
Anwendungen der großen Anbieter
(etwa Google- oder Microsoft-
Authenticator) empfehlen möchte,
findet gute Alternativen.

Empfehlenswerte Open-Source-Apps
für gängige Smartphones, die sich
ohne Anbieter-Account nutzen lassen
und keine Daten ins Internet schicken,
sind über den QR-Code abrufbar.

11/52

TOTP schützt nur begrenzt vor
professionellem Phishing

Einfaches Phishing greift nur das
Passwort der Nutzer ab und nutzt
dieses zu einem späteren Zeitpunkt.
Dagegen hilft TOTP. Ein Angreifer
kann jedoch auch das Passwort und
das aktuelle Einmalpasswort abfra-
gen und sofort für den Login nutzen.
TOTP schützt hier insoweit, dass nur
ein einziger, sofortiger Login möglich
ist. Häufig ist es dann aber möglich,
die Sitzung durch aktive Nutzung
beliebig lange offen zu halten.

12/52

Sicherheit vor Phishing:
WebAuthn und Passkeys

Bei Webauthn hinterlegt der Browser
beim Anbieter einen öffentlichen
Schlüssel. Bei der Authentifizierung
signiert der Browser mit dem priva-
ten Schlüssel den Hostnamen der
Webseite zusammen mit einer Chall-
enge des Anbieters. Die Signatur wird
vom Anbieter mit dem öffentlichen
Schlüssel verifiziert. Bei Phishing
schlägt dies fehl, weil der Hostname
der Phishing-Webseite ein anderer
ist. Die Passkeys-Erweiterung erlaubt
es mehrere Geräte zu verbinden.

13/52

Zweifaktorauthentifizierung

Zur Absicherung von Nutzerkonten sollte man sich nicht ausschließlich auf einen wissensbasierten Faktor wie ein Passwort verlassen. Als zweiter Authentifizierungsfaktor bietet es sich an, während des Logins den Besitz eines bestimmten Geräts nachzuweisen.

TOTP: Zeitbasierte Codes

Ein verbreitetes Verfahren zur Implementierung von 2FA ist TOTP („Time-based One-time Passwords“), das meist so implementiert wird, dass auf dem Smartphone einer Nutzerin oder eines Nutzers sechsstellige Zahlencodes erzeugt werden, die nur für kurze Zeit gültig sind. Beim Login wird dann zusätzlich zum Passwort der aktuelle Zahlencode abgefragt.

Anbieter wie Google, Microsoft und Apple haben inzwischen Unterstützung für TOTP in ihre Lösungen integriert.

Wer seinen Nutzerinnen und Nutzern aus verschiedenen Gründen nicht die TOTP-Anwendungen der großen Anbieter empfehlen möchte, findet gute Alternativen. Unter Android kann die App Aegis empfohlen werden, unter iOS die App Authenticator. Beide Apps sind Open Source und benötigen keinen Anbieter-Account.