VKI Blog Logo

Vorsichtsmaßnahme zweiter Faktor

Bequemlichkeit ist nicht alles

2-faktor_korosi_francois-zoltan_shutterstock_1137957350.jpg

Visualisierung des Zwei-Faktor-Prinzips durch Computer plus Smartphone (Bild: Korosi Francois-Zoltan/Shutterstock.com)

Auch wenn es der menschlichen Natur widerstrebt: Gerade im digitalen Bereich ist es manchmal sinnvoller, sich das Leben ein bisschen schwerer zu machen.

Als Journalist weiß ich es nur allzu gut: Mitunter stößt man auf Begriffe, bei denen einem unterm Lesen das Gesicht einschläft, wie man es umgangssprachlich so anschaulich ausdrückt – das geht mir so, das geht Ihnen so.

Nichts zu beschönigen

„Zwei-Faktor-Authentifizierung“ ist definitiv einer davon, und die alternative Bezeichnung „Bestätigung in zwei Schritten“ bewirkt zweifellos dasselbe, da gibt es nichts zu beschönigen. In KONSUMENT 8/2019 habe ich am Beispiel des Google-Kontos über diese Option berichtet, die eine zusätzliche Absicherung des persönlichen Benutzerkontos gegen den Zugriff durch unbefugte Dritte darstellt.

Überwindung

Auch wenn ich allen Leserinnen und Lesern diesen Schritt ans Herz lege, gebe ich freimütig zu: Nicht nur die Bezeichnungen sind mühsam, auch das Einrichten und die Verwendung der Zwei-Faktor-Authentifizierung. Ich selbst nutze den zweiten Faktor mittlerweile bei sechs verschiedenen Diensten und muss trotzdem auch mir selbst gegenüber eingestehen, dass es noch immer eine gewisse Überwindung darstellt.

Vorsorge für den Fall des Falles

Aber dann mache ich mir bewusst, warum ich mir das freiwillig antue und worum es sich dabei eigentlich handelt, nämlich um eine Vorsichtsmaßnahme für den Fall des Falles. Eine Unfallversicherung schließt man ja auch ab, weil man auf Nummer sicher gehen möchte, und hofft selbstverständlich trotzdem, dass der Ernstfall niemals eintreten möge.

Unnötige Qual?

Und wenn man beim Radfahren einen Helm trägt und glücklicherweise heil von der Tour zurückkehrt, dann könnte man rückblickend natürlich sagen, das sei jetzt eine unnötige Qual gewesen und man hätte besser die Haare im Wind flattern lassen statt unter der einengenden Kopfbedeckung zu schwitzen. – Beispiele gäbe es noch zahllose, doch Sie wissen, worauf ich hinaus will.

Kein Schutz wirkt hundertprozentig

Eine kleine Einschränkung gibt es, die möchte ich nicht verschweigen: Die Zwei-Faktor-Authentifizierung stellt – wie es im Internet ja leider gang und gäbe ist – keinen hundertprozentigen, absolut unüberwindlichen Schutz dar. Doch sollten Benutzerdaten in falsche Hände geraten (zum Beispiel durch gehackte Firmendatenbanken oder Phishing) – wofür es genügend aktuelle Beispiele gibt –, stehen die Chancen gut, dass die Betrüger es zuerst bei jenen Konten versuchen, bei denen ihnen kein zusätzliches Hindernis im Weg steht. Das heißt, wo es genügt, den Benutzernamen und das Passwort zu kennen, um sich Zugriff zu verschaffen.

Denken Sie darüber nach!

Um zum Schluss zu kommen: Es ist im Grunde wie beim Daten-Backup. Denken Sie darüber nach! Ich möchte niemanden belehren, ich möchte nicht als Besserwisser dastehen, ich wollte es nur einmal gesagt haben (oder auch zwei Mal, denn die Wiederholung kann hier keinesfalls schaden).

Kommentare erstellen

4 Kommentare

mu

"...ist es auf jeden Fall empfehlenswert, mit zwei getrennten Geräten zu arbeiten, also z.B. sich am PC ins Konto einzuloggen und den TAN aufs Smartphone senden zu lassen."

Diese Methode ziehe ich jedenfalls der Fummelei auf einem Smartphone oder Tablet vor. Außerdem sehe ich aktuell keine Veranlassung, unterwegs eine App zum Banking benützen zu müssen. Nichts kann so dringend sein, dass ich von der eingangs erwähnten Methode abweichen müsste. Zumal ich meinem privaten Netz immer noch mehr vertraue als irgend einem WLAN im öffentlichen Bereich. Gratis, aber extrem unsicher.

   

Bild des Benutzers gschoenfeldinger

@muvimaker: Vermutlich haben sie recht. Wenn es jemand in die falsche Kehle bekommen möchte, dann hilft auch die vorsichtigste Formulierung nichts.

@ Mag. Zirnig: Ob der TAN-Versand per SMS tatsächlich sicherer ist als eine Pushnachricht über eine App, ist sehr umstritten. Den Zeitfaktor gibt es hier wie dort. Um gewisse Risiken von vornherein auszuschließen, ist es auf jeden Fall empfehlenswert, mit zwei getrennten Geräten zu arbeiten, also z.B. sich am PC ins Konto einzuloggen und den TAN aufs Smartphone senden zu lassen.

Mu

"Ich möchte niemanden belehren, ich möchte nicht als Besserwisser dastehen..."

Warum eigentlich nicht? Wer sonst, wenn nicht jemand wie Sie, der doch wirklich von den Dingen eine Ahnung hat! Leute wie Sie sind doch prädestiniert, Anfänger oder Möchtegern-Profis zu belehren und ihnen quasi zu zeigen, dass Sie es besser können.

Das hat mit "Klugscheißer" und "Oberlehrer" überhaupt nichts zu tun. Manche Leute benötigen eben den berühmten "Kick in the ass", um von einer gewissen arroganten Art herabzukommen und zu merken, dass es noch etwas anderes als sie gibt und die Dinge nicht unbedingt so laufen wie sie es sich vorstellen.

Totale politische Korrektheit ist häufig kontraproduktiv. Manchmal muss man die Dinge beim Namen nennen.

MZ

Ich bin skeptisch, dass zwei "Faktoren", wie es in schwammigem Technokratiendeutsch heißt, automatisch einen Sicherheitsgewinn darstellen. Da muss man schon genauer hinschauen und analysieren, woraus die Faktoren im Einzelfall bestehen. Wenn der eine Faktor ein Mobiltelefon ist, dann muss man feststellen, dass Handyapps grundsätzlich unsicherer sind als PC-Programme. Wenn die zweite Authentifizierung per Handy hingegen nur in einer TAN-Übermittlung als SMS besteht, sieht die Sache wieder besser aus. Meiner Einschätzung nach ist die Zeit ein entscheidender dritter Faktor, der vorhanden sein sollte, z.B. beim Online-Banking eine TAN-Übermittlung, die nur 5 Minuten lang gültig ist.

Blog-Abonnement

Ich möchte bei neuen Blog-Beiträgen eine E-Mail-Benachrichtigung erhalten.
Informationen zum Datenschutz:

Die von Ihnen bekanntgegebenen Daten werden vom Verein für Konsumenteninformation (VKI) zum Zweck der Blog-Benachrichtigungen verarbeitet. Detaillierte Informationen zu Ihren Rechten finden Sie in unserer Datenschutzerklärung.