Passwort-Sicherheit:So sichern Sie Ihre Konten bei Facebook, Amazon und Google

'Enter Password' - Hacker

Viele Menschen gehen mit ihren Passwörtern lax um.

(Foto: Oliver Berg/dpa)

Nur ein Passwort reicht nicht. Wer seine Accounts besser schützen will, sollte Zwei-Faktor-Authentifizierung verwenden. Was das ist und was Nutzer beachten müssen.

Von Morten Luchtmann

Innerhalb der vergangenen Wochen haben Hacker über das Darknet mehr als 800 Millionen Zugangsdaten verkauft. Betroffen waren Nutzer von Linkedin, Tumblr und vielen weiteren Plattformen. Die Hacker, die sich dazu bekennen, sagten Wired, sie verfügten noch über eine Milliarde weiterer gehackter Passwörter.

Die Hacker haben oft leichtes Spiel. Die empfohlenen 16-stelligen Buchstabenkombinationen mit Ziffern und Sonderzeichen sind vielen Menschen zu aufwändig, besonders weil Fachleute empfehlen, für jeden Account ein anderes Passwort zu wählen.

Im schlimmsten Fall machen sich Fremde die Identität von Nutzern zu eigen und benutzen sie, um Geld auf ihre eigenen Konten umzuleiten. E-Mail-Accounts sind dafür eine beliebte Angriffsfläche, denn über sie verwalten viele Nutzer ihre Accounts auf Ebay, Amazon und anderen Seiten.

Effektiv helfen kann Zwei-Faktor-Authentifizierung (2FA): Mit wenig Aufwand können Nutzer die Sicherheit ihrer sensiblen Daten erhöhen.

Was ist Zwei-Faktor-Authentifizierung?

Eine der simpelsten Schutzmechanismen ist, Online-Accounts nicht nur durch Passwörter zu schützen, sondern zusätzlich durch einen weiteren Faktor. Bei der Zwei-Faktor-Authentifizierung entriegeln Nutzer den Zugang zu ihrem Onlinekonto oder Social-Media-Profil zusätzlich zum Passwort durch eine weitere Abfrage. Je nach Dienst und technischer Voraussetzungen kann die zweite Abfrage ein Finger-Abdruck-Scan sein oder ein Code, den Nutzer per E-Mail, App oder SMS geschickt bekommen. Nachdem sie das Passwort eingegeben haben, müssen sie auch diesen Code angeben, um sich einzuloggen. Das verhindert, dass erbeutete Passwörter allein Hackern freien Zugang zu Nutzerkonten verschaffen.

Was bringt 2FA?

Zwei-Faktor-Authentifizierung macht die Sicherheit des Kontos unabhängiger vom Passwort. Selbst wenn Login-Name und Passwort in die Hände von Kriminellen gefallen sind, ist die eigene Online-Identität weiterhin durch den Code geschützt, der an die hinterlegte Telefonnummer geschickt wurde. Solange Hacker keinen physischen Zugriff auf das Smartphone des Kontoinhabers haben, verhindert 2FA, dass sie Kontrolle über den Account übernehmen. Ohne den zweiten Faktor kommen sie nicht rein.

Was muss ich bei 2FA beachten?

2FA wird von vielen Internetdiensten angeboten. Die Sicherheitscodes können Nutzer sich per SMS, per Anruf oder per E-Mail schicken lassen. Außerdem gibt es Apps wie Duo Mobile, Authy oder Google Authenticator, die diese Sicherheitscodes empfangen. Manche Dienste bieten als Authentifizierungsmöglichkeit einen Hardware-Sicherheitsschlüssel. Das können zum Beispiel spezielle Sticks mit USB-Anschluss sein, die in den Computer eingesteckt werden müssen.

Nutzer sollten sich überlegen, welcher Weg der Authentifizierung für sie der beste ist. Wer immer sein Handy parat hat, kann den Weg per SMS wählen. Andere nutzen vielleicht lieber eine App oder richten sich ein spezielles E-Mail-Konto ein. In jedem Fall sollten sie bedenken, dass sie vielleicht einmal nicht darauf zugreifen können. Für solche Fälle können Nutzer zusätzliche Ersatzadressen von Freunden oder Verwandten angeben. Oft gibt es auch Wiederherstellungscodes, mit denen 2FA deaktiviert werden kann. Das kann wichtig werden, wenn man nicht mehr auf das eigene Smartphone oder den Sicherheitsschlüssel zugreifen kann.

Wie aktiviere ich 2FA?

  • Facebook bietet Nutzern die Möglichkeit, bestimmte PCs, Smartphones und Browser als dem Kontoinhaber zugehörig abzuspeichern. Wenn sich jemand über ein fremdes Smartphone anmelden will, wird zusätzlich ein Sicherheitscode abgefragt. Diesen bekommen Nutzer per SMS oder App zugesandt. Hier steht, wie Sie 2FA für Facebook einrichten.
  • Google-Nutzer haben mehrere Möglichkeiten, 2FA zu nutzen. Bei der Anmeldung wird ein zusätzlicher Sicherheitscode abgefragt. Den können sich Nutzer per SMS, Anruf oder App zukommen lassen. Wer möchte, kann zudem einen Hardware-Sicherheitsschlüssel verwenden, um die Anmeldung zu bestätigen.
  • Nutzer von Apple können 2FA benutzen, indem sie sich einen Sicherheitscode an ein verifiziertes Gerät oder eine verifizierte Telefonnummer schicken lassen. So richten Sie 2FA bei Apple ein.
  • Amazon ermöglicht seinen Nutzern in der US-Version 2FA per SMS, Anruf oder App: Melden sich Nutzer an einem fremden Rechner oder Smartphone an, wird der Sicherheitscode abgefragt. Amazon-Kunden aus Deutschland können 2FA bisher nur über einen Umweg nutzen, indem sie sich auf der US-Website von Amazon anmelden (amazon.com) und dort die 2FA-Sicherheitseinstellungen freischalten. Danach sind sie auch auf der deutschen Webseite verfügbar. Heise online zeigt, wie es geht.
  • Auch Kunden von Paypal und Ebay können für ihre Accounts 2FA aktivieren. Per SMS-Sicherheitscode oder Hardware-Sicherheitsschlüssel bestätigen Nutzer zusätzlich zum Passwort, dass sie sich anmelden und niemand anderes.
  • Für Hunderte andere Dienste zeigt diese Webseite, ob und wie Nutzer 2FA nutzen können. Dort sind Anleitungen verlinkt, in denen Schritt für Schritt erklärt wird, wie es geht.

Wann lohnt sich Zwei-Faktor-Authentifizierung?

Nutzerkonten werden sicherer, Logins aber auch etwas aufwendiger. Pro Zugang dauert das realistisch gerechnet bis zu einer Minute. Je wichtiger die Daten oder je privater die Information, desto eher lohnt sich 2FA. Das gilt vor allem für Kreditkartennummern, Privatinformationen, die erpressbar machen, oder Accounts, die für die Arbeit unabdingbar sind. In jedem Fall ist 2FA für E-Mail-Accounts sinnvoll, mit denen andere Konten verwaltet werden, etwa die von Facebook oder Paypal.

Wovor schützt 2FA nicht?

Kriminelle durchsuchen das Internet systematisch nach Nutzerdaten, aus denen sie irgendwie Geld ziehen können. So wurden die erbeuteten Daten im Juni verkauft und für Spam genutzt. Spam- und Phishing-Mails, die Nutzer daraufhin erhalten, hätte auch die Verwendung von 2FA nicht verhindert.

Linktipp:

Auf dieser Website können Nutzer überprüfen, ob ihre E-Mail-Adresse von Hacks betroffen ist. Sollte das der Fall sein, bedeutet das noch nicht, dass unmittelbare Gefahr besteht. Denn oft können Hacker Passwörter nur in verschlüsselter Form abgreifen. Wenn Ihre Adresse betroffen ist, sollten Sie Ihre Passwörter trotzdem ändern. Je länger Passwörter in der Hand von Kriminellen sind, desto eher können sie sie irgendwann knacken.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: