Doppelt sicher mit Zwei-Faktor-Authentifizierung

Onlinedienste lassen sich vermehrt mithilfe einer Zwei-Faktor-Authentifizierung absichern. PCtipp erklärt am Beispiel von Google, Microsoft und Facebook, wie das geht.

von Hannes Weber 01.04.2014

Google Authenticator ist eine beliebte App für temporäre Zugangscodes Google Authenticator ist eine beliebte App für temporäre Zugangscodes

Die Sicherheit ist bei Onlinediensten immer ein heisses Thema. Unsichere Passwörter oder Hacker sind grosse Risiken, die zum Kontrollverlust über Onlinekonten und unter Umständen zum Diebstahl sensibler persönlicher Daten führen können. Um die Nutzer besser vor diesen Szenarien zu schützen, führen immer mehr prominente Webdienste die Zwei-Faktor-Authentifizierung ein. Dabei wird ausser der obligatorischen Benutzernamen-Passwort-Kombination ein weiteres Sicherheitselement für die Anmeldung benötigt.

Das kann zum Beispiel ein Kartenlesegerät sein, wie es teilweise beim Onlinebanking verwendet wird. Bei den meisten Webdiensten kommt jedoch das Handy als zweites Sicherheitselement zum Einsatz: Entweder schickt der Anbieter einen temporären Zugangscode per SMS an das Handy des Nutzers oder ein solcher Code wird über eine App zufällig generiert. In beiden Fällen muss der Code zusätzlich zum Passwort angegeben werden, um sich erfolgreich anzumelden.

Die Zwei-Faktor-Authentifizierung ist mit wenigen Klicks aktiviert Die Zwei-Faktor-Authentifizierung ist mit wenigen Klicks aktiviert

Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit wesentlich. Fällt das Passwort eines Onlinekontos einem Gauner in die Hände, kann er sich nicht mit dem gestohlenen Konto anmelden, da ihm der zweite Authentifizierungskanal (das Handy des Nutzers) fehlt. Sie bringt aber auch Nachteile mit. So ist das Anmeldeverfahren umständlicher und zeitraubender. Ausserdem ist man von seinem Handy (oder einem anderen zusätzlichen Element) abhängig. Der Verlust des Mobiltelefons kann zum Problem werden, falls man sich nicht absichert.

Die Zwei-Faktor-Authentifizierung ist – abgesehen von hochsensiblen Diensten wie E-Banking – in der Regel optional. Falls ein Dienst diese Möglichkeit der Anmeldung bietet, muss sie erst in den Einstellungen aktiviert werden. Wir zeigen Ihnen anhand der Webdienste von Google, Microsoft und Facebook, wie Sie dies tun können und was Sie dabei beachten sollten.

Auf der nächsten Seite: Zwei-Faktor-Authentifizierung bei Google

Google

Bei Google funktioniert die Zwei-Faktor-Authentifizierung entweder per SMS oder über App generierte Codes. Um das Verfahren zu aktivieren, melden Sie sich auf der Webseite mit Ihrem Google-Konto an. Klicken Sie danach auf Ihr Profilbild, dann auf «Konto». Wählen Sie dann den Reiter «Sicherheit». Neben «Bestätigung in zwei Schritten» wählen Sie «Einrichten». Von dort aus leitet Sie Google Schritt für Schritt durch den Einrichtungsprozess.

Haken Sie beim Login die Checkbox an, um auf diesem Gerät keine Codes mehr eingeben zu müssen Haken Sie beim Login die Checkbox an, um auf diesem Gerät keine Codes mehr eingeben zu müssen

Entscheiden Sie, ob Sie die Codes per SMS oder App erhalten wollen. Für Ersteres klicken Sie unter dem Eintrag «Telefon einrichten» auf «Telefonnummer hinzufügen». Für Letzteres wählen Sie unter «Mobile Anwendung» Ihr mobiles Betriebssystem und installieren die App «Google Authenticator». Folgen Sie den Anweisungen. Zur Absicherung sollten Sie zusätzlich die «Backup Codes im Druckformat» entweder ausdrucken und ablegen oder auf Ihrem Computer abspeichern. Diese helfen Ihnen im Fall, dass Sie Ihr Handy verlieren. Sie können ausserdem zur weiteren Absicherung mehrere Handy-Nummern erfassen.

Falls Sie sich auf einem PC per Zwei-Faktor-Authentifizierung anmelden, haben Sie stets die Möglichkeit, die Checkbox «Auf diesem Computer nicht mehr nach Codes fragen» anzukreuzen. In der Folge wird dieser Computer als vertrauenswürdig eingestuft und Sie müssen die Codes künftig nicht mehr eingeben. Dies ist bei privaten Computern sinnvoll, auf die niemand ausser Ihnen Zugriff hat. Auf einem vertrauenswürdigen PC können Sie sich zudem auch anmelden, wenn Sie sich wegen eines Handyverlusts oder anderer Gründe nicht mehr authentifizieren können.

Für Anwendungen, welche die Authentifizierung noch nicht unterstützen, müssen Sie ein separates Passwort festlegen Für Anwendungen, welche die Authentifizierung noch nicht unterstützen, müssen Sie ein separates Passwort festlegen

In einigen Anwendungen (zum Beispiel in E-Mail-Clients wie Outlook) oder auf älteren Android-Smartphones wird die Eingabe von Zugangscodes nicht unterstützt. Für diese müssen Sie jeweils ein anwendungsspezifisches Passwort erstellen. Klicken Sie in den Kontoeinstellungen auf Anwendungsspezifische Passwörter verwalten. Achten Sie auf die Anweisungen. Pro Dienst oder Gerät braucht es ein anwendungsspezifisches Passwort. Dieses geben Sie jeweils einmalig bei der Anmeldung am Gerät respektive beim Webdienst (anstelle des gewöhnlichen Passworts) an.

Auf der nächsten Seite: Zwei-Faktor-Authentifizierung bei Microsoft

Microsoft

Alle Einstellungen zur Zwei-Faktor-Authentifizierung finden Sie unter «Sicherheitsinfos» Alle Einstellungen zur Zwei-Faktor-Authentifizierung finden Sie unter «Sicherheitsinfos»

Auch Microsofts Webdienste (OneDrive, Outlook.com, Skype etc.) unterstützen eine Zwei-Faktor­Authentifizierung. Um diese zu aktivieren, melden Sie sich hier bei Microsoft an. Geben Sie Benutzernamen und Passwort ein. Klicken Sie im Menü auf «Sicherheitsinfos» und danach auf «Prüfung in zwei Schritten einrichten».

Folgen Sie den Anweisungen. Sie können sich die Sicherheitscodes entweder per SMS zustellen lassen, an eine Mailadresse schicken oder per App generieren. Klicken Sie für Letzteres unter «Authentifikator-App» auf «Einrichten». Für Windows Phone steht die Microsoft-App «Authenticator» im Windows Store bereit, für andere mobile Betriebssysteme kann Google Authenticator benutzt werden.

Um sich gegen einen Handy-Verlust abzusichern, sollten Sie auch bei Microsoft mehrere Möglichkeiten zur Authentifizierung einrichten. Zusätzlich zur Authenticator-App kann dies die Handy-Nummer oder eine alternative Mailadresse sein. Ausserdem müssen Sie eine Sicherheitsfrage definieren.

Wollen Sie auf Ihrem privaten Computer zu Hause keine Sicherheitscodes eingeben, aktivieren Sie beim Anmelden die Checkbox neben «Ich melde mich oft auf diesem Gerät an. Keinen Code anfordern».

Auch bei Microsoft können Sie häufig benutzte Geräte speichern Auch bei Microsoft können Sie häufig benutzte Geräte speichern

Wie bei Google beherrschen auch bei Microsoft nicht alle Anwendungen und Geräte den Umgang mit Sicherheitscodes. Outlook oder die Xbox 360 sind beispielsweise auf anwendungsspezifische Passwörter angewiesen (hier App-Kennwörter genannt). Klicken Sie dazu auf «Neues App-Kennwort erstellen». Jedes App-Kennwort kann nur für eine Anwendung oder ein Gerät verwendet werden und muss nur einmal anstelle des normalen Passworts angegeben werden.

Auf der nächsten Seite: Zwei-Faktor-Authentifizierung bei Facebook

Facebook

Bei Facebook finden Sie die Einstellungen zur Zwei-Faktor-Authentifizierung unter «Einstellungen» Bei Facebook finden Sie die Einstellungen zur Zwei-Faktor-Authentifizierung unter «Einstellungen»

Öffnen Sie nach dem Einloggen auf Facebook die Kontoeinstellungen über das Zahnradsymbol rechts oben und klicken Sie im Menü links auf «Sicherheit». Klicken Sie dann neben «Anmeldebestätigungen» auf «Bearbeiten». Setzen Sie das Häkchen und führen Sie die Anweisungen aus. Sie können die Sicherheitscodes entweder mittels SMS empfangen oder direkt über die Facebook-App für Smartphones generieren. Öffnen Sie dazu in der Facebook-App das Menü, scrollen Sie zu den Einstellungen und tippen Sie auf «Codegenerator».

Falls Sie wollen, kreieren Sie die Sicherheitscodes auch über eine andere App wie Google Authenticator. Klicken Sie dazu in den Sicherheitseinstellungen neben «Codegenerator» auf «Bearbeiten» und danach auf «Installieren». Folgen Sie den Anweisungen. Auch wenn Sie die Codes via App generieren wollen, müssen Sie Ihre Handynummer als alternative Empfangsmöglichkeit für die Sicherheitscodes angeben.

Als Backup für den Fall, dass Sie Ihr Handy verlieren, lassen sich über Facebook zehn Anmeldecodes generieren. Gehen Sie dazu in den Sicherheitseinstellungen zu «Anmeldebestätigungen»und danach zu «Codes erhalten» Als weitere Option können Sie vertrauenswürdige Kontakte bestimmen, die Ihnen beim Zugriff auf Ihr Facebook-Konto helfen dürfen, falls Sie keinen Zugang mehr haben. Klicken Sie in den Sicherheitseinstellungen auf die Option «Zuverlässige Kontakte»

Sie können die Sicherheitscodes
auch direkt über die Facebook-App
generieren lassen Sie können die Sicherheitscodes auch direkt über die Facebook-App generieren lassen

Facebook erkennt regelmässig genutzte Geräte wie Ihr Smartphone oder Ihren Computer und fügt diese automatisch zu den bekannten Geräten hinzu. Sie können diese in den Sicherheitseinstellungen unter «Bekannte Geräte» einsehen. Auf diesen Geräten müssen Sie zur Anmeldung keinen Sicherheitscode eingeben.

Wie bei Google und Microsoft gibt es auch bei Facebook Anwendungen, die keine Zwei-Faktor-Authentifizierung unterstützen. Die Lösung heisst erneut anwendungsspezifische Passwörter. Diese sind etwa für eine Facebook-Anmeldung bei Skype, Spotify oder für die Anmeldung auf der Xbox 360 erforderlich. Um ein solches Anwendungspasswort zu generieren, klicken Sie in den Sicherheitseinstellungen neben «Passwörter für Apps» auf «Bearbeiten» und anschliessend auf «Passwörter für Anwendungen generieren». Beachten Sie die Anweisungen. Jedes anwendungsspezifische Passwort können Sie nur für einen Dienst verwenden und müssen es einmalig anstelle des normalen Passworts angeben.