Mit Ihrem Nutzernamen und Passwort können Sie sich bei facebook, Google, twitter etc. einloggen. So sind Sie das gewohnt. Wer also Ihren Name und Passwort kennt, kommt rein. Wenn Sie Pech haben geht das so:
- Sie legen bei irgendeiner nicht so wichtigen Website einen Account eben mit Name und Passwort an
- Mit dem gleichen oder ähnlichem Namen und Passwort legen Sie einen Account bei einer doch wichtigen Website an, z. B. bei Google für Ihr Android-Handy
- Nun ist die unwichtigere Website nicht recht sicher und Ihre Zugangsdaten landen in der Öffentlichkeit. Es ist dabei egal, wie und warum das passierte. Letztlich können sie bei https://haveibeenpwned.com/ oder https://sec.hpi.de/ilc/ prüfen, ob das bei Ihnen schon passiert ist.
- Nun können Hacker oder Andere Ihr Konto beim wichtigen Dienst nutzen
Mit 2-Faktor-Autentifizierung kann man seine Konten erheblich sicherer machen. Leider nervt das ein Wenig – Sicherheit tut leider etwas weh:
- Denn üblicherweise loggt man sich wie gewohnt bei einer Website ein („ich weis etwas“: die Logindaten)
- Dann schickt die Website per SMS, App o. ä. an ein Handy Informationen (z. B. Pincodes) die man zur Bestätigung verwenden muss („ich habe etwas“: das Handy)
- Schritt 2 kann man mit Hardware vereinfachen: Mittels eines Yubico Security Key – U2F and FIDO2, USB-A, Two-Factor Authentication
:
Bei vielen Diensten (Google, twitter, facebook… -leider aber nicht z. B. bei Banken, Paypal, Linkedin, Xing…) wird bei den Einstellungen für die 2-Faktor-Autentifizierung angeboten, einen USB (o.ä.)-Hardwareschlüssel verwenden zu können. Wenn man das wählt, hat man neben der SMS/App eine weitere Möglichkeit für einen 2ten Faktor. Das funktioniert extrem simpel.
: