Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:android:2fa

Zwei-Faktor-Authentifizierung mit andOTP

Die Zwei-Faktor-Authentifizierung (oder „2FA“) ist eine Möglichkeit, sich als Nutzer*in eines Online-Accounts mithilfe einer Kombination von verschiedenen Authentifizierungsmethoden einzuloggen.

Ein bekanntes Beispiel für 2FA sind Bankkarten: Um am Automaten Bargeld abzuheben, benötigt man außer der Bankkarte (1. Faktor) auch einen geheimen PIN (2. Faktor).

Auch viele Online-Accounts können heutzutage bieten heutzutage den zusätzlichen Schutz über eine Authenticator-App. Auch der Cloud-Service von Systemli unterstützt 2FA. Diese Anleitung nimmt als Beispiel die Open Source App andOTP, die du über F-Droid und im Google Play Store herunterladen kannst.

Wie funktioniert die 2FA-App?

Bei der Aktivierung von 2FA in deinen jeweiligen Accounteinstellungen hast du die Möglichkeit, mit deiner 2FA-App einen QR-Code einzuscannen. Dieser QR-Code enthält ein Geheimnis, aus dem deine App ein sogenanntes One-Time-Password (kurz OTP) generieren kann. Diese sind nur für einige Sekunden gültig und werden mithilfe des geheimen Schlüssels ständig neu generiert. Beim Einloggen in deinen Account wirst du nach erfolgreicher Eingabe deines Passworts immer auch nach deinem One-Time-Password fragen.

Ist es nicht unsicher, mein Smartphone für 2FA zu verwenden?

Selbst wenn du deinem Smartphone nicht so sehr vertraust, wie z.B. deinem Computer: Ein zusätzlicher Faktor ist auf jedenfall besser, als gar keine 2FA zu benutzen. Jemand, der deines Telefons habhaft wird, hat dadurch nicht automatisch Zugriff auf dein Konto, sondern muss immernoch dein Passwort rausfinden - und umgekert.

Um extra sicher zu gehen:

  1. Displaysperre aktivieren
  2. Speicher verschlüsseln
  3. Zusätzliche Passwortsperre für andOTP

Risiken bei der Verwendung von 2FA

Da du deine 2FA-App benötigst, um dich einzuloggen, könntest du dich durch den Verlust deines Smartphones aus deinen Accounts aussperren. Es gibt allerdings mehrere Möglichkeiten das zu verhindern:

  1. Bei der Aktivierung von 2FA in den Einstellungen des jeweiligen Accounts wird ein Backup-Code generiert, den du ausdrucken oder in deinem Passwort-Manager speichern kannst.1)
  2. Mach regelmäßige Backups deiner andOTP-Datenbank. Die Backups werden auf dem Gerätespeicher abgelegt und können von allen Apps ausgelesen werden, die Zugriff auf deinen Speicher haben, deswegen solltest du die Datenbank mit einem starken Passwort gesichert haben, dass du dir leicht merken kannst. Optional OpenKeychain verwenden, um deine mit deinem PGP-Keys zu verschlüsseln und zu signieren.

Einer Studie zufolge neigen Nutzer*innen von Zwei-Faktor-Authentifizierung dazu, schwächere Passwörter zu verwenden weil sie sich durch 2FA sicher fühlen. Benutze unbedingt einen Passwort-Manager wie KeePassXC, um zufällige und starke Passwörter zu generieren und sicher auf deinem Computer zu speichern.

Eine weit verbreitete Methode ist 2FA mithilfe von SMS, *diese ist aber nicht sicher.* Gerade für Geheimdienste und Polizeibehörden ist es ein leichtes, SMS abzufangen und die 2FA zu umgehen: Das BKA hatmihilfe von SMS-Authentifizierung bereits Telegram-Accounts von Neonazis gehackt.

Für diese Anleitung wurde ein bisschen bei Surveillance-Self-Defense, einem Projekt der *Electronic Frontier Foundation* abgeguckt.

1)
Solange du deine Passwörter nicht auch irgendwo ausgedruckt liegen hast, ist das Risiko gering. Natürlich solltest du trotzdem unbedingt darauf achten, dass niemand anderes deine Backup-Codes die Hänge kriegt
howto/android/2fa.txt · Zuletzt geändert: 2020/05/09 17:05 von yadda