Während früher der zweite Faktor im Online-Banking noch per SMS oder sogar auf Papier bereitgestellt wurde, setzt man heutzutage zunehmend auf Push-TAN-Verfahren. Auch andere Online-Dienste haben sich bereits vor Jahren an diesem Vorbild orientiert und ihren Nutzern die Möglichkeit zur Zwei-Faktor-Authentifizierung (2FA) angeboten. Neben der Authentifizierung über Apps stehen auch Hardware-Lösungen zur Verfügung. Eine Möglichkeit hierfür ist der Titan Security Key aus dem Hause Google.
Das kann der Google Titan Security Key
Während der wohl bekannteste Anbieter von Hardware-Security-Keys, Yubico, diverse Modelle des YubiKey anbietet, setzt Google auf ein Einheitsmodell. Der einzige Unterschied besteht im Anschluss: Nutzer können zwischen USB-A und USB-C wählen. Zur Authentifizierung verwendet der Google Titan Security Key den FIDO2-Standard, konkret stehen WebAuthN sowie Passkeys zur Verfügung.
Ein Vorteil des Google-Sticks ist die Vielzahl der unterstützten Dienste, da bis zu 250 Accounts mit dem Stick abgesichert werden können. Im Gegensatz zur ersten Version ist die zweite Version des Sticks vielseitiger einsetzbar. Dank NFC kann der Hardware-Token auch an mobilen Geräten zur Authentifizierung genutzt werden. So lassen sich auch bekannte Dienste wie der eigene Microsoft- oder Apple-Account absichern. Auch Nextcloud und Bitwarden unterstützen diese Anmeldemethode.
Es ist jedoch zu beachten, dass manche Dienste – darunter auch Apple – beim Einsatz eines Hardware-Tokens zwei unterschiedliche Geräte voraussetzen. Dies soll sicherstellen, dass im Falle eines Verlusts oder Defekts weiterhin ein sicherer Zugriff auf den Account möglich ist.
Kommentar: 2FA ist inzwischen Pflicht
Es ist nach wie vor erschreckend, wie viele Nutzer auch 2024 auf 2FA verzichten und dies mit dem Verlust an Komfort begründen. Es ist, als ob man sich eine Haustür einbaut, aber das Schloss weglässt – ein Szenario, das niemand in der physischen Welt akzeptieren würde. Warum sollte man dann im Internet anders handeln? Spätestens wenn es zu einem finanziellen Schaden oder einem übernommenen Account samt aller Daten kommt, setzt sicherlich ein Umdenken ein. Doch warum sollte man es erst soweit kommen lassen, wenn es Möglichkeiten zur Verhinderung gibt? Egal ob TOTP-App oder Hardware-Token: 2FA ist spätestens 2024 genauso wie ein Passwort-Manager Pflicht.
Wie haltet ihr es mit der 2-Faktor-Authentisierung? Lästige Pflicht oder doch eher freiwillige Absicherung?
Zu kaufen gibts den hier um €35,-
https://store.google.com/de/product/titan_security_key
Die USB-A Version beinhaltet auch einen Adapter auf USB-C. Die USB-C Version umgekehrt nicht.
Nachteil vom Google Key, er hat keine Verwaltung, man kann also keine einzelne alten Tokes lsöchen.
https://www.heise.de/news/Google-Titan-Sicherheitsschluessel-Keine-Passkey-Verwaltung-9684858.html
Gibt auch noch diese Firma in der Schweiz die Security Keys anbietet: https://www.token2.com
Da gibt es Security Keys mit USB A und USB C an einem Key mit bis zu 300 Passkey Speicher.
Den nutze ich zur Zeit im Testbetrieb. Zumindest mit WebAuth N auf meiner Internetseite brauchte es ein paar Versuche, bis ich den Key registrieren konnte.
Gut finde, dass ich mit dem Fido-Manager einzelne Schlüssel auch löschen kann.
gepostet mit der Deskmodder.de-App für Android
Ich selber benutze schon längere Zeit zwei YubiKeys 5 NFC und bin bis jetzt sehr zufrieden. Der einzige Nachteil, wenn überhaupt, sind die „nur“ 25 Speicherplätze für Passkey.
Finde ich gut.
Ich nutz ooch 2FA, is ebe safer
gepostet mit der Deskmodder.de-App
*********************************************************
Es ist, als ob man sich eine Haustür einbaut, aber das Schloss weglässt – ein Szenario, das niemand in der physischen Welt akzeptieren würde.
*********************************************************
Ist ja nicht ganz stimmig… ist doch eher so das man an der Haustüre auf das Zweite Schloss verzichtet, den mit PW hat man ja das Schloss….und sind wir mal ehrlich wer bitte hat nen zweites Schloss an der Haustüre?
IT ist aber eben keine Haustüre! Wenn 2FA angeboten wird nutze ich das auch… zumindest für die wichtigen Accounts. Nen Forenaccount mit 2FA absichern? Wozu?
Authentisierung? -im Titel
Schreibfehler?
Kein Schreibfehler.
Ja, müsste Authentifizierung heißen. Authentisierung ist der Nachweis einer Identität, Authentifizierung die Überprüfung der Identität.
Mit Schreibfehlern nimmt man es hier aber leider nicht so genau 😉
Solltest dich erst einmal schlaumachen, bevor du hier solche Sprüche von dir gibst.
Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere voneinander unabhängiger Komponenten (Faktoren).
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
GrammarGuy —>>>hat er doch geschrieben “ Authentifizierung die Überprüfung der Identität. “
du auch —>>>“ Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers „
Wenn, dann zitiere den gesamten Kommentar von dem Knaben. Er unterstellt Björn einen Schreibfehler.
wollte nur zeigen das ihr beide das gleiche schreibt.
mehr nicht…..
Ich nutze 2fA wenn möglich, gerne aber auch Passkeys.
„Es ist, als ob man sich eine Haustür einbaut, aber das Schloss weglässt“
Stimme ich nicht zu das Passwort ist ja bereits das Schloss zum Account, wie sicher man die Tür macht bleibt ja jedem Selbst überlassen !
Ich nutze 2FA auch nicht für alles , weil es einfach umständlich ist. für jeden account den ich irgendwo mache ein 2FA einzurichten vor allem setzen die nicht alle auf die gleiche Authenticate Methode und man hat unter umständen mehrere authenticatoren bei sich zu tragen.
Um mal auf die abschliessende Frage des Artikels zu sprechen zu kommen: 2FA krankt heute in meinen Augen an zwei Dingen:
– Es gibt kein Verfahren, das sich überall verwenden lässt.
– Es gibt meist kein Backup für den Fall, dass der zweite Faktor kaputt oder verloren geht.
Konkret:
– Mein Smartphone quillt inzwischen über (ich überspitze) von Banking-Apps. Umgekehrt würde keine Bank, bei der ich Kunde bin, aktuell die Verwendung des hier vorgestellten Keys ermöglichen.
– Wenn mein Smartphone kaputt oder verloren geht, habe ich ein Riesenproblem (kann auf meine Konten nicht mehr zugreifen), denn nur eine meiner Banken ermöglicht es mir, ihre App auch auf einem zweiten (Backup-) Gerät zu nutzen.
Insofern: 2FA ist in der Theorie gut, richtig und wichtig; in der Praxis aufgrund der damit verbundenen Einschränkungen und Risiken eher lästige Pflicht.
Wie sieht es denn konkret mit dem Google-Key aus? Kann ich davon ein Backup machen? Und das auch noch so, dass es technisch ausgeschlossen ist, dass die hinterlegten Schlüssel beim Kopier-Vorgang von Dritten abgegriffen werden können?
Die meisten Drittanbieter-2FA Apps bieten eine Sicherung bzw. Export an.
Das große Problem bei 2FA ist, dass sich gerade große Unternehmen wie Adobe oder Pinterest beharrlich weigern, andere Lösungen als ihre eigene Lösung (oder im Fall von Pinterest nur Authy) akzeptieren.
gepostet mit der Deskmodder.de-App für Android
Ich persönlich halte auch nichts von 2FA, es ist nur läßtig-
Hat man ein sicheres Paßwort, so ist das meiner Meinung nach ausreichend.
Wie Bernd Bachmann schon erklärt hat, es ist immer noch sehr problematisch und umständlich.
Ich habe nur bei meiner Bank 2FA und arbeitsbedingt auch nur da wo es erzwungen wird.
Zitat: „Es ist, als ob man sich eine Haustür einbaut, aber das Schloss weglässt –“
Wie schon andere zuvor erwähnt haben ist diese Aussage absolut falsch, meine Haustür hat schon ein Paßwort(Schloß).
Mit einem Bohrer bekomme ich meine Wohnungstür auch auf, egal wieviele Schlösser ich da hab.
MfG
> Es ist nach wie vor erschreckend, wie viele Nutzer auch 2024 auf 2FA verzichten und dies mit dem Verlust an Komfort begründen. Es ist, als ob man sich eine Haustür einbaut, aber das Schloss weglässt – ein Szenario, das niemand in der physischen Welt akzeptieren würde.
Der Vergleich hinkt ja mal. Ein Schloss ist schon die Möglichkeit ein Passwort zu setzen. Ich schließe das mit einem Passwort ab. 2FA ist nicht anderes als das du dann noch vom Postboten einen Brief bekommen musst, damit du auch aufschließen darfst. Langsam, nervig und der reale Nutzen eher gering.
Ich hab auch schon mehrmals gesehen wie man dank 2FA aus wichtigen Accounts ausgesperrt wurde. Selber Schuld? Klar. Aber erkär das mal den 80+ Jährigen, die unüberlegt ihr Handy tauschen.
2FA hat das große Problem das es so umständlich wie es nur ging implementiert wurde, umständlich für den Nutzer, statt für die großen Herrsteller. SMS und Email waren halt einfach einfach. Ein neues System zu erstellen, das dich einen zweiten Faktor authenifizieren lässt ohne das du noch sonst wo irgendwas aufmachen musst und dann zum Login 5x so lange brauchst, dafür war es dann auch nicht wichtig genug.
Es gibt mittlerweile einige wenige gute 2FA Lösungen, aber die kann ich an einer Hand abzählen. Etwa Sparkasse mit der App, das dauert 10 Sekunden, ich muss nichts händisch kopieren, easy. Oder Apple, mMn ideal aber muss überall funktionieren: Du bekommst auf deinen Geräten einfach die Frage: Bist du das? Oder nicht? Standort noch dazu und dann musst du nur noch Ja oder Nein drücken, und egal wo du dich gerade versuchst bei Apples Diensten einzuloggen, es wird entsprechend gehandhabt.
TOTP ohne Unsichere Online Apps- siehe Authy Debakel – ist ganz nett, funktioniert gut, aber wird auch nur von ~50% der Dienste unterstützt. Einige haben dann ihre ganz eigene Implementierung. Oder vernichten den Nutzen durch UI Blödsinn: Statt den Code gibts erstmal nur QR Codes mit denen man nichts anfangen kann; einige verhindern das Einfügen des Codes in das Feld…
Mich wundert es nicht, das keiner auf einen Brief vom Postboten warten will, der umständlich präsentiert wird, dich oft weiteren Risiken aussetzt, dich aus deinen eigenen Accounts aussperren kann, wenn die Poste halt nicht mehr kommt und auch einfach 5x so lange braucht damit man seine eigene Haustür aufschließen kann. Daher finde ich diese Formulierung im Beitrag mehr als falsch. Der Verlust vom Komfort ist sozusagen ByDesign, obwohl es besser geht – gute TOTP bzw. ideal Apple – und wiegt für 80% der Online Dienste den Nutzen nicht wirklich auf.
Finanzen? Große, wertvolle Libraries? Dinge die man auf keinen Fall in anderern Händen will, weil sie einem wichtig sind oder dort persönliche Daten liegen? Nutzen, wo möglich den Bostpoten mit was schnellerem ersetzten. Aber für den deutlich größeren Teil von Accounts ist einfach nicht wert.
Das jedenfalls ist meine Meinung zu 2FA Pflichten. Am Ende sollte es meine Entscheidung sein, wie ich meinen Account absichere.