HOME
Facebook und E-Mail Konto mit 2-Faktor-Authentifizierung schützen

Facebook und E-Mail Konto mit 2-Faktor-Authentifizierung schützen

Autor des Artikels : djrewerb  
Zum Original-Artikel

Facebook und E-Mail Konto mit 2-Faktor-Authentifizierung schützen Türsteher helfen, um nur ausgewählte Leute in den Club zu lassen. Störenfriede, Schlägertypen und unerwünschte Personen hören dagegen den Satz: Sorry, heute nur für Club-Mitglieder.

Auf deiner Webseite, deinem E-Mail- oder Paypal-Konto sowie deiner Facebook-Seite übernimmt ein Passwort die Aufgabe des Türstehers. Nur wenn du die geheime Parole kennst, bekommst du Zugang.

Findige Hacker haben einen einfacheren Weg gefunden, um an deine Zugangsdaten zu kommen. Und dafür müssen sie nicht einmal am Türsteher vorbei, sondern der Türsteher verrät ihnen sogar das Passwort.

Hast du dein Passwort vergessen?

Möglich wird das über die Funktion "Neues Passwort zusenden" die auf vielen Webseiten angeboten wird. Diesen Weg bauen die Anbieter meist ein, weil sie den Support-Aufwand für vergessene Passworte reduzieren wollen.

Falls alle Mechanismen versagen sollten, kann ich also zum Beispiel zwei Fragen beantworten und bekomme mein neues Passwort per E-Mail zugeschickt. Danach habe ich wieder Zugang zu meinem Nutzerkonto.

Facebook und E-Mail Konto mit 2-Faktor-Authentifizierung schützen

Ein Hacker bräuchte also nur Zugriff auf meine E-Mails, um dann der Reihe nach alle weiteren Online-Konten von mir zu übernehmen.

Neulich hörte ich im Freundeskreis die Geschichte, dass ein Arbeitskollege eines Freundes plötzlich Bilder vom neuen Freund seiner Ex-Freundin im iCloud-Speicher zu sehen bekam. War das ein Zufall? Oder hatte jemand seinen Apple-Zugang geknackt und sich einen blöden Scherz erlaubt? Über viele Umwege kam er darauf, dass sein Konto über das Apple-Family-Sharing und die Passwort-Rücksetz-Funktion der Apple-ID wirklich geknackt wurde.

Sicherheitsfragen als Risiko

Natürlich kann es immer wieder mal vorkommen, dass ich mein Passwort wirklich vergesse. Dann schickt mir fast jede Webseite ein Rücksetzpasswort an die hinterlegte E-Mail-Adresse.

Wenn du diese Sicherheitsfragen ehrlich beantwortest, haben diese Fragen einen gewaltigen Nachteil, an den ich lange nicht gedacht habe. Schließlich sind diese Sicherheitsfragen nur für den absoluten Notfall gedacht.

Hacker denken jedoch anders. Wozu soll ich meine Zeit verschwenden, um mit dem Türsteher zu diskutieren? Ich sage einfach, ich hätte mein Club-Ausweis vergessen und beantworte alternativ zwei einfache Fragen mit "Berlin. Rot."

Welche Sicherheitsfragen hast du zuletzt beantwortet?

  • In welcher Stadt wurde deine Mutter geboren?

  • Welche Farbe hatte dein erstes Auto?

  • Wie hieß die Grundschule, die du besucht hast?

  • Wie lautet der Vorname deines ältesten Cousins?

  • Wie lautet der zweite Vorname deines Vaters?

  • Wie lautet der Name Ihres ersten Haustiers?

Der Knackpunkt ist, dass wir über Social-Media-Angebote wie Facebook viele Dinge über uns preisgeben.

  • Namen von Kindern, Eltern, Verwandten und Freunden, bis zu den Namen von Haustieren

  • Fotos aus unserer Jugend

  • Besuchte Schule
    Auch über frühere Wohnorte bekommt jeder den Schulsprengel heraus. Dann kann ich über deine Anschrift auf die Grundschule schließen, die du sehr wahrscheinlich besucht hast.

E-Mail-Konto gegen unbefugte Zugriffe sichern

Und aus Bequemlichkeitsgründen verwendest du bestimmt überall die gleiche E-Mail-Adresse.

Als Angreifer muss ich mir jetzt nur das leichteste Ziel aussuchen. Dort versuche ich deine Antworten auf die Sicherheitsfragen zu erraten.

Wenn du dir meine Backstage-Seite ansiehst, weißt du wie alt ich bin. Über mein Alter kann jeder ziemlich leicht auf einen Zeitraum schließen, wann ich meinen Führerschein gemacht habe. Wie viele Jahre dauert es durchschnittlich, bis ich mir dann ein eigenes Auto zulege? Aus diesem Jahr schaue ich mir die Häufigkeitsverteilung der Autofarben an.

Bei mir musst du nicht einmal raten. Melde dich für die VIP-Liste an und du erfährst von mir, dass mein erstes Auto ein roter VW Polo mit Stufenheck war. Die erste Sicherheitsfrage ist geknackt.

Wenn du jetzt noch ein weitere Fragen beantworten kannst, hättest du Zugriff auf mein E-Mail-Konto. Und dann lässt sich ein Angreifer einfach ein neues Passwort von Facebook zuschicken, von Twitter, von Paypal, von Amazon, von Ebay, von Apple ...

Über Sicherheitsfragen komme ich als Hacker unbemerkt in das virtuelle Haus. Welcher Einbrecher hält sich dann noch damit auf, das Hochsicherheitsschloss der Vordertüre zu knacken, wenn sich ein Kellerfenster ganz einfach aufschieben lässt?

Anschließend kann ich gleich noch den Schließzylinder aller Sicherheitstüren austauschen. Darüber verriegele ich die ganze Bude so, dass du als eigentlicher Hausbesitzer nicht mal mehr selbst in dein Haus kommst.

Schrittweise die Rechte ausweiten

Und in dem Moment, wo die Passworte geändert werden, habe ich als unbedarfter Internetnutzer nicht einmal mehr die Möglichkeit auf meine eigenen Zugangskonten zuzugreifen. Meine gesamte Online-Identität wäre geklaut.

Dagegen hilft nur, die Sicherheitsfragen mit einer zufälligen Zeichenkombination zu beantworten. Wer sagt, dass du auf die Frage "In welcher Stadt wurde deine Mutter geboren?" ehrlich antworten musst?

Statt einem Städtenamen kannst du auch eine kryptische Zeichenkolonne angeben, die sich nicht erraten lässt.

Sicherheitsfrage: In welcher Stadt wurde deine Mutter geboren?
Meine Antwort: VZ4vq!WqAmPdX8Tb7HQp*GeYB3Hg

Für sichere Passworte gilt die Regel:

Mindestens eine Zahl, mindestens ein Sonderzeichen, verwende Groß-/Kleinschreibung, mindestens acht Zeichen lang. Benutze diese Regeln auch für Rücksetzfragen.

Denn als Angreifer würde ich einfach die 300 größten Städte schrittweise durchprobieren. Da wird schon irgendjemand dabei sein, bei dem Berlin, Hamburg, München oder Köln funktioniert.

2-Faktor-Authentifizierung für zentrale Dienste

Noch einen Schritt sicherer bist du im Internet unterwegs, wenn du die sogenannte 2-Faktor-Authentifizierung aktivierst. Das bedeutet, dass dir die Webseiten zum Beispiel einen Zahlencode per SMS zusenden.

Erst nachdem du diesen Zahlencode von deinem Handy abgetippt hast, bekommst du Zugang. Auch alle nachfolgenden Passwortänderungen werden erst aktiv, wenn du den richtigen SMS-Code vom Handy auf der Webseite einträgst.

Seitdem ich die zweistufige Anmeldung aktiviert habe, werde ich auf neuen Computern immer nach dem SMS-Code gefragt. Das passiert natürlich auch, nachdem ich die Cookies im Browser meines eigenen Rechners gelöscht habe.

Unbequem wird das vor allem, wenn du dich viel über fremde Rechner bei Facebook und Google anmeldest.

Keine eigene Schuld

Dabei muss es nicht einmal deine eigene Schuld sein, dass deine Passworte bei Unbefugten bekannt werden. Zum Beispiel hat mir eine Webhosting-Firma neulich mitgeteilt, dass ihnen vermutlich alle meine Kontozugangsdaten geklaut wurden. Innerhalb der Firma gab es einige Schludrigkeiten. Schlussendlich kam heraus, dass diese Firma sogar Passworte im Klartext gespeichert hatte.

Für kurze Zeit hatten mögliche Angreifer also Zugang zu meinem Webmail-Konto. Wenn sie gewollt hätten, hätten diese Hacker schrittweise jedes meiner anderen Online-Konten übernehmen können. Vermutlich hatte ich unter den Tausenden anderen Kunden nur Glück, dass es nicht soweit kam.

Sicherheitsbewusste Anbieter speichern die Passworte niemals im Klartext. Das benötigen sie überhaupt nicht, damit du dich anmelden kannst. Stattdessen wird dein festgelegtes Passwort mit einem Einwege-Verschlüsselung-Algorithmus verschlüsselt. Nur dieses Ergebnis der kryptografischen Berechnung dürfen die Internetanbieter abspeichern.

Wenn du dich das nächste Mal anmeldest, wird dein eingegebenes Passwort wieder durch diese Einwege-Verschlüsselung geschickt und danach vergleicht die Webseite das aktuelle Ergebnis mit der gespeicherten Passwort-Quersumme. Das kannst du dir wie eine Falltüre vorstellen, durch die es nur einen Weg gibt. Von der anderen Seite kommst du nicht mehr zurück.

Wie Passworte und Antworten sicher speichern?

Im Gegensatz zu den Internetfirmen, die Passworte niemals im Klartext speichern sollten, muss ich meine Passworte irgendwo speichern, um sie überall eingeben zu können.

Besonders die unsinnigen Antworten auf die Sicherheitsfragen musst du dir irgendwo aufschreiben, weil sich die zufälligen Zeichenkolonnen niemand merken kann.

Um es kurz zu machen. Ich kenne keinen Weg Passworte sicher und komfortabel zu speichern. Der sicherste Weg wäre jede Passwort von Hand aufschreiben und in einem brandgesicherten Tresor aufzubewahren.

Es gibt einige Dienste wie Lastpass oder 1Password die versprechen, dass du dir nie mehr ein Passwort merken musst. Technisch gesehen sind diese Systeme ebenso ausgeklügelt wie die Authentifizierungs-App von Google.

Allerdings habe ich Bauchschmerzen bei dem Gedanken alle Passworte an einem zentralen Ort im Netz zu speichern. Je erfolgreicher so eine zentrales Passwortsystem wird, desto attraktiver wird dieser Dienst als Angriffsziel für Computer-Kriminelle.

Momentan speichere ich die Antworten auf die Sicherheitsfragen in einem verschlüsselten Dokument auf meinem Rechner. Um die korrekten Antworten zu sehen, muss ich jedes Mal ein Passwort eingeben.

Außerdem ist das Zugangskonto zu dem Rechner mit einem Bildschirmschoner geschützt, den ich immer aktiviere sobald ich den Computer nicht verwende. Die Festplatte habe ich mit einer AES256-Verschlüsselung geschützt, ebenso alle Sicherungsfestplatten.

Das Passwort-Verschlüsselungsprogramm Keepass wäre bestimmt eine bessere Alternative.

Wie schützt du deine Online-Identität in 5 Minuten?

Mit ganz wenig Aufwand sicherst du deine Online-Zugangsdaten, wenn du jetzt den ersten Punkt abhaken kannst und deine E-Mail-Adresse mit der 2-Faktor-Authentifizierung schützt.

  1. Zentrale E-Mail-Adresse

    Welche E-Mail-Adresse verwendest du, um dir vergessene Passworte zuschicken zu lassen? Aktiviere für dieses E-Mail-Konto eine 2-Faktor-Authentifizierung.

  2. Sicherheitsfragen ändern

    Ändere die Sicherheitsfragen für alle Online-Konten. Verwende die maximal mögliche Zeichenanzahl mit Sonderzeichen, Ziffern sowie Groß-/Kleinschreibung

  3. 2-Faktor-Authentifizierung überall aktivieren

    Wenn möglich, aktiviere die 2-Faktor-Authentifizierung bei allen wichtigen Diensten.

Melde dich bei Facebook an. Danach klickst du auf den kleinen Pfeil, oben rechts. Es klappt ein Menü auf und dort wählst du Einstellungen/Settings (1). Klicke nun im linken Menü auf Sicherheit/Security (2).

Auf der Seite mit den Sicherheitseinstellungen klickst du auf "Anmeldebestätigung" und setzt den Haken bei "Sicherheitscode" (3).

Google und GMail sicherer machen

Google nennt die 2-Faktor-Authentifizierung Bestätigung in zwei Schritten.

Rufe die Seite mit den Sicherheitseinstellungen auf, unter https://myaccount.google.com/security und folge der Anleitung.

Ähnliche Einstellungen findest du auch bei Paypal, Microsoft, Apple, Dropbox und allen sonstigen Webseiten mit sensiblen Informationen.

Nichts ist für immer sicher

Seitdem ich das Buch " Die Kunst des Einbruchs " des Hackers Kevin D. Mitnick gelesen habe, ist mir klar, dass es kein absolut sicheres Computersystem geben kann. Denn Hacker können auf Zeit spielen, wenn das Angriffsziel interessant genug ist.

Gegen weniger begabte Angreifer hilft es am besten sich uninteressant zu machen, dann ziehen die ungeduldigen Hacker schnell weiter. Denn bestimmt lässt sich ein leichteres Opfer hinter der nächsten IP-Adresse finden.

Wie sicher bist du in den Interwebs unterwegs? Kennst du weitere Tipps, um dich gegen Angriffe zu schützen? Dann schreibe deinen Sicherheitshinweis bitte als Kommentar weiter unten auf dieser Seite.

Das könnte Ihnen gefallen


wallpaper-1019588
[Review] Manga ~ Mars Red
Dez. 26, 2024
San
wallpaper-1019588
Adventskalender 2024: 26. Türchen – Special
Dez. 26, 2024
Animenachrichten
wallpaper-1019588
Me and the Alien MuMu – Trailer enthüllt neue Details zum Anime
Dez. 25, 2024
Animenachrichten
wallpaper-1019588
AniMachon: Neuer Manga-Verlag gegründet + erste Lizenz
Dez. 25, 2024
Animenachrichten