Zwei-Faktor-Authentifizierung für Ihre Webseite

Jazmie Jamaludin

Ein Passwort ist eine einzige Fehlerquelle. Wenn jemand es erfährt, errät oder aus einem Breach-Dump kauft, gelangt er direkt in den Teil Ihrer Website, der Ihr Geschäft betreibt. Die Zwei-Faktor-Authentifizierung, oft als 2FA abgekürzt, soll diese einzige Fehlerquelle beseitigen, indem sie eine zweite, unabhängige Identitätsbestätigung anfordert, bevor jemand Zugriff erhält. Für einen Kleinunternehmer, der für Bestellungen, Buchungen, Inhalte oder Kundendaten auf eine Website angewiesen ist, ist dies eine der wertvollsten Sicherheitsverbesserungen, die Sie an einem Nachmittag vornehmen können.

Dieser Leitfaden erklärt, was die Zwei-Faktor-Authentifizierung tatsächlich leistet, welche verschiedenen Methoden Sie verwenden können, wo deren Stärken und Schwächen liegen und wie Sie 2FA für sich und Ihr Team einführen, ohne jemanden auszuschließen oder Support-Probleme zu verursachen. Ziel ist es, Ihnen genug Vertrauen zu geben, um es noch heute zu aktivieren und vernünftige Entscheidungen darüber zu treffen, welche Art von 2FA verwendet werden soll.

Was Zwei-Faktor-Authentifizierung wirklich ist

Authentifizierung ist der Prozess des Nachweises, dass Sie der sind, der Sie vorgeben zu sein. Sicherheitsexperten gruppieren die Möglichkeiten, die Identität nachzuweisen, in drei Kategorien: etwas, das Sie wissen, wie ein Passwort oder eine PIN; etwas, das Sie besitzen, wie ein Telefon oder ein Hardware-Schlüssel; und etwas, das Sie sind, wie ein Fingerabdruck oder ein Gesichtsscan. Die Ein-Faktor-Authentifizierung verlässt sich auf nur eine dieser Kategorien, fast immer das Passwort. Die Zwei-Faktor-Authentifizierung erfordert zwei Faktoren aus zwei verschiedenen Kategorien, sodass ein Passwort plus ein Code von Ihrem Telefon qualifiziert ist, während ein Passwort plus eine Sicherheitsfrage nicht qualifiziert ist, da beides Dinge sind, die Sie wissen.

Der Grund, warum die Kategorien wichtig sind, ist, dass sie auf unterschiedliche Weise versagen. Passwörter gelangen durch Phishing, Wiederverwendung und Datenlecks nach außen. Ein auf einem physisch gehaltenen Gerät generierter Code gelangt nicht auf die gleiche Weise nach außen, da ein Angreifer am anderen Ende der Welt nicht in Ihre Tasche greifen kann. Durch die Kombination von zwei Kategorien zwingen Sie einen Angreifer, zwei unabhängige Hindernisse gleichzeitig zu überwinden, was dramatisch schwieriger ist, als nur eines zu überwinden.

Zwei Kategorien, nicht zwei Passwörter
2FA zählt nur, wenn der zweite Faktor aus einer anderen Kategorie als der erste stammt.
Quelle: NIST Digital Identity Guidelines

Warum ein Passwort allein nicht mehr ausreicht

Die meisten Menschen verwenden Passwörter dienstübergreifend wieder, was bedeutet, dass ein Datenleck auf einer unabhängigen Website einem Angreifer die Schlüssel zu Ihrem Geschäft liefern kann. Automatisierte Tools nehmen Listen von geleakten E-Mail- und Passwortpaaren und versuchen sie bei Tausenden von Websites in einer Technik namens Credential Stuffing. Da der Versuch ein echtes, gültiges Passwort verwendet, sieht er nicht offensichtlich verdächtig aus. Die Zwei-Faktor-Authentifizierung durchbricht diesen Angriff sauber: Selbst mit dem richtigen Passwort wird der Angreifer im zweiten Schritt gestoppt, weil er Ihr Telefon oder Ihren Schlüssel nicht besitzt. Dieser einzige Vorteil ist der Grund, warum so viele Plattformen jetzt dringend zu 2FA für Administratorkonten ermutigen und diese zunehmend vorschreiben.

Die wichtigsten Methoden im Vergleich

Nicht alle zweiten Faktoren sind gleichwertig. Die Optionen reichen von bequem, aber schwächer, bis hin zu etwas mehr Aufwand, aber weitaus stärker. Wenn Sie die Kompromisse verstehen, können Sie die Methode an den Wert dessen anpassen, was Sie schützen. Ihre Kundendatenbank und Ihr Website-Admin verdienen die stärksten Optionen; ein internes Tool mit geringem Risiko könnte etwas Bequemeres rechtfertigen.

Übersicht über gängige 2FA-Methoden
Methode Stärke und Kompromiss
SMS-Textcode Einfach und vertraut, aber anfällig für SIM-Swap und Abfangen. Besser als nichts, die schwächste der Optionen.
Authenticator App (TOTP) Generiert einen rotierenden Code offline. Widerstandsfähig gegen Abfangen. Ein starker, kostenloser Standard für die meisten Teams.
Push-Benachrichtigung Zur Genehmigung auf Ihr Telefon tippen. Bequem, aber achten Sie auf ermüdungsbedingte versehentliche Genehmigungen.
Hardware-Sicherheitsschlüssel Physischer Schlüssel, den Sie einstecken oder antippen. Am stärksten, Phishing-resistent. Geringe Kosten und Sie müssen ein Backup aufbewahren.

SMS-Codes: bequem, aber das schwächste Glied

Eine Textnachricht mit einem sechsstelligen Code ist die Methode, die die meisten Menschen zuerst kennenlernen. Sie funktioniert auf jedem Telefon, erfordert keine App und ist weitaus besser als ein Passwort allein. Ihre Schwäche besteht darin, dass das Telefonnetzwerk nie als sicherer Übertragungskanal konzipiert wurde. Bei einem SIM-Swap-Angriff überredet ein Krimineller Ihren Mobilfunkanbieter, Ihre Nummer auf sein Gerät zu übertragen, wonach Ihre Codes auf seinem Telefon ankommen. Nachrichten können unter bestimmten Umständen auch während der Übertragung abgefangen werden. Verwenden Sie SMS, wenn es die einzige Option ist, die eine Plattform bietet, bevorzugen Sie aber immer etwas Stärkeres, wo immer Sie können.

Authenticator-Apps: der praktische Sweet Spot

Eine Authenticator-App generiert alle dreißig Sekunden einen neuen sechsstelligen Code mithilfe eines gemeinsamen Geheimnisses, das bei dem Scannen eines QR-Codes eingerichtet wurde. Da der Code auf Ihrem Gerät mithilfe einer Uhr und eines gespeicherten Geheimnisses generiert wird, wird nichts über das Netzwerk übertragen, was ein Angreifer abfangen könnte, und er funktioniert auch ohne Signal. Diese Apps sind kostenlos, laufen auf dem Telefon, das Sie bereits bei sich tragen, und werden von fast jeder ernsthaften Plattform unterstützt. Für die meisten kleinen Unternehmen ist eine Authenticator-App die richtige Standardlösung für jedes Administratorkonto.

Hardware-Schlüssel: der Goldstandard für hochwertige Konten

Ein Hardware-Sicherheitsschlüssel ist ein kleines physisches Gerät, das Sie an einen USB-Anschluss anschließen oder an Ihr Telefon halten. Er verwendet Kryptografie, die an die spezifische Website gebunden ist, bei der Sie sich anmelden, was ihn sogar gegen überzeugende Phishing-Seiten resistent macht, da der Schlüssel auf eine gefälschte Adresse einfach nicht reagiert. Wenn Sie Konten besitzen, die im Falle einer Kompromittierung ernsthaften Schaden anrichten würden, wie Ihren Domain-Registrar, Ihre primäre E-Mail oder Ihren Website-Host, ist ein Hardware-Schlüssel die bescheidenen Kosten wert. Kaufen Sie zwei und registrieren Sie beide, damit ein verlorener Schlüssel Sie niemals aussperrt.

Schützen Sie zuerst die Schlüssel zum Königreich
Ihre Domain-, E-Mail- und Hosting-Konten verdienen Ihren stärksten zweiten Faktor.
Quelle: Cloudflare Learning Center

2FA einführen, ohne sich selbst auszuschließen

Der häufigste Grund, warum Menschen die Zwei-Faktor-Authentifizierung meiden, ist die Angst, von ihrem eigenen Konto ausgeschlossen zu werden. Diese Angst ist vernünftig, aber völlig beherrschbar. Die wichtigste Gewohnheit ist, Ihre Backup- oder Wiederherstellungscodes in dem Moment zu speichern, in dem Sie 2FA aktivieren. Fast jede Plattform gibt Ihnen während der Einrichtung einen Satz einmaliger Wiederherstellungscodes. Drucken Sie sie aus, bewahren Sie sie sicher und offline auf und behandeln Sie sie wie Ersatzschlüssel für Ihr Grundstück. Mit Wiederherstellungscodes in der Hand ist ein verlorenes oder kaputtes Telefon eher eine Unannehmlichkeit als eine Katastrophe.

Beginnen Sie mit Ihren eigenen hochwertigsten Konten und arbeiten Sie sich nach außen vor. Aktivieren Sie 2FA für Ihren Website-Admin, dann für Ihre E-Mail, Ihren Domain-Registrar und Ihr Hosting-Kontrollpanel, da dies die Konten sind, die ein Angreifer am meisten begehrt. Für weitere Informationen zu den Grundlagen, auf denen diese Konten basieren, behandelt unser Leitfaden zu den Grundlagen der Website-Sicherheit das umfassendere Bild, und der Begleitartikel über Passwortsicherheit und Zugriffsverwaltung passt natürlich gut dazu.

Ihr Team mitnehmen

Wenn andere Personen sich auf Ihrer Website anmelden, ist 2FA nur so stark wie das schwächste Konto. Machen Sie es zur Voraussetzung für jeden mit Administrator- oder Redakteurzugriff, nicht zu einer optionalen Zusatzfunktion. Führen Sie jede Person durch die Aktivierung einer Authenticator-App und lassen Sie sie ihre eigenen Wiederherstellungscodes speichern. Führen Sie eine einfache Aufzeichnung darüber, wer Zugriff auf was hat, damit Sie das Konto umgehend entfernen können, wenn jemand das Unternehmen verlässt. Geteilte Anmeldungen sind der Feind einer guten 2FA, da ein einziger geteilter zweiter Faktor unmöglich sauber zu verwalten ist; geben Sie stattdessen jeder Person ein eigenes Konto.

Planung für den Verlust des Telefons

Geräte gehen verloren, werden gestohlen und ersetzt. Erstellen Sie einen Wiederherstellungsplan, bevor Sie einen benötigen. Bewahren Sie Wiederherstellungscodes an einem sicheren Ort auf, registrieren Sie einen zweiten Faktor, wo die Plattform es zulässt, z. B. einen Backup-Hardware-Schlüssel oder ein zweites vertrauenswürdiges Gerät, und wissen Sie im Voraus, wie jede kritische Plattform mit der Kontowiederherstellung umgeht. Wenn Sie Ihre Domain und E-Mail gut schützen, behalten Sie die Kontrolle über die Kanäle, von denen die meisten Wiederherstellungsprozesse abhängen, wodurch Sie auch bei Problemen am Steuer bleiben.

Wo 2FA in Ihre umfassendere Sicherheit passt

Die Zwei-Faktor-Authentifizierung ist mächtig, aber sie ist eine von mehreren Schichten. Sie schützt die Haustür Ihrer Konten; sie patched keine veraltete Software, scannt nicht nach Malware oder sichert Ihre Daten. Betrachten Sie sie als Teil einer Routine neben regelmäßigen Updates, sinnvollen Passwörtern und Überwachung. Wenn Sie den Verdacht haben, dass ein Konto bereits kompromittiert wurde, führt unser Leitfaden zur Wiederherstellung einer gehackten Website Sie durch die sofortigen Schritte, und der umfassendere Leitfaden zur Website-Wartung zeigt, wie diese Gewohnheiten im Laufe der Zeit zusammenpassen. Da Angreifer oft den Diebstahl von Zugangsdaten mit Tracking und Datenerfassung kombinieren, lohnt es sich auch, die Datenschutzseite zu verstehen, die in unserem Hinweis zu Analysen und Datenschutz behandelt wird.

Eine realistische Vorsichtsmaßnahme: 2FA reduziert das Risiko dramatisch, ist aber keine Zauberei. Raffiniertes Phishing kann manchmal eine Person dazu verleiten, eine Anmeldung zu genehmigen oder einen Einmalcode in Echtzeit preiszugeben. Genau deshalb sind Hardware-Schlüssel, die sich weigern, sich bei gefälschten Websites zu authentifizieren, für Ihre sensibelsten Konten wichtig, und deshalb zählt auch das fortlaufende Bewusstsein. Das Ziel ist nicht Perfektion, sondern die Erhöhung der Angriffskosten so hoch, dass Sie den Aufwand nicht mehr wert sind.

Häufig gestellte Fragen

Lohnt sich die Zwei-Faktor-Authentifizierung?+
Ja. Die wenigen Sekunden, die sie beim Login hinzufügt, sind trivial im Vergleich zu der Zeit, dem Geld und dem Vertrauen, das Sie verlieren, wenn ein Konto übernommen wird. Für jedes Konto, das Ihre Geschäfts- oder Kundendaten berührt, ist es eine der besten Investitionen in Sachen Sicherheit.
Was passiert, wenn ich mein Telefon verliere?+
Sie verwenden die Wiederherstellungscodes, die Sie bei der Einrichtung von 2FA gespeichert haben, oder einen Backup-Zweitfaktor wie einen Ersatz-Hardware-Schlüssel. Deshalb ist das Speichern von Wiederherstellungscodes während der Einrichtung so wichtig. Mit ihnen ist ein verlorenes Telefon eine Unannehmlichkeit, kein Ausschluss.
Ist eine Authenticator-App besser als SMS-Codes?+
In fast allen Fällen, ja. Authenticator-Apps generieren Codes auf Ihrem Gerät, ohne etwas über das Telefonnetz zu senden, sodass sie SIM-Swap- und Abhörrisiken vermeiden, die Textnachrichten betreffen. Verwenden Sie Textcodes nur, wenn keine App angeboten wird.
Sollte mein ganzes Team 2FA verwenden oder nur ich?+
Jeder mit Zugriff sollte es verwenden. Ein Angreifer braucht nur ein schwaches Konto, um einzudringen, daher schließt die Forderung nach 2FA für alle Administratoren und Redakteure die Lücke. Geben Sie jeder Person ihr eigenes Konto, anstatt einen einzigen Login zu teilen.
Kann 2FA umgangen werden?+
Entschlossene Angreifer können manchmal eine Person dazu verleiten, eine Anmeldung zu genehmigen oder einen Code in Echtzeit über Phishing preiszugeben. Dies ist selten und weitaus schwieriger als ein Passwort zu stehlen. Hardware-Schlüssel widerstehen sogar dem, weshalb sie für Ihre sensibelsten Konten geeignet sind.

Referenzen

  1. NIST, Digital Identity Guidelines (Authentifizierung), nist.gov
  2. Cloudflare Learning Center, Was ist Zwei-Faktor-Authentifizierung?, cloudflare.com/learning

Die Zwei-Faktor-Authentifizierung ist eine Art von Änderung, die sich klein anfühlt, aber eine ganze Klasse von Angriffen eliminiert. Aktivieren Sie sie zuerst für Ihre wichtigsten Konten, speichern Sie Ihre Wiederherstellungscodes und nehmen Sie Ihr Team mit. Wenn Sie Hilfe bei der Planung einer umfassenderen Sicherheitsroutine benötigen, sehen Sie sich unsere Website-Wartungsdienste an oder kontaktieren Sie uns.

Zurück zum Blog

AUTOMATISIEREN. OPTIMIEREN. DOMINIEREN.

Optimieren Sie Ihre Betriebsabläufe und bieten Sie ein reibungsloses Kundenerlebnis. Unsere Experten implementieren modernste Technologien und optimierte Arbeitsabläufe, damit Sie sich auf Ihre Kernkompetenzen konzentrieren können.

DISKUTIEREN SIE IHRE IDEEN