Die meisten Ratgeber zur Internet-Sicherheit erteilen folgenden Rat: «Sichern Sie Ihre Online-Konten wenn immer möglich mit der 2-Wege-Anmeldung ab!»

Das heisst: Zur Anmeldung reichen Benutzername und Kennwort nicht. Es braucht ein weiteres Element, das nur Sie kennen. Dieses Vorgehen nennt sich «2-Wege-Anmeldung», auf Englisch «2-Factor-Authentication» oder kurz «2FA». Im Folgenden werden wir das Verfahren mit diesem Kürzel benennen.

Die 2FA ist beim Online-Banking seit jeher Pflicht: Die Geldhäuser schicken bei der Anmeldung eine SMS, zeigen einen QR-Code oder verteilen Zugangskarten, die einen Code generieren (etwa das «gelbe Kästchen» der PostFinance). Ohne diese Zusätze bleiben Sie draussen. Das gilt allerdings auch für einen Datendieb, der mit Kennwort allein nichts anfangen kann.

Es gibt also verschiedene Verfahren zur 2FA. Relativ einfach und komfortabel sind die Einmal-Kennwörter, im Englischen «One-Time-Password» genannt und mit OTP abgekürzt. (Das ist die zweite und letzte Abkürzung, die Sie in diesem Fall kennen müssen, versprochen!)

Ein Einmal-Kennwort oder OTP ist – wer hätte es geahnt – ein Kennwort, das nur einmal gültig ist und nach seiner Verwendung sofort entwertet wird. Ein typisches Beispiel vergangener Tage sind die Streichlisten mit Codes, die von der Bank ausgehändigt wurden und nach ihrer Verwendung durchgestrichen wurden.

Die Verwendung solcher Streichlisten wäre heutzutage nicht nur aufwendig, sondern schlichtweg unmöglich. So wird Googles kostenloser Dienst Gmail von mehr als einer Milliarde Menschen genutzt. Es ist kaum vorstellbar, dass Google Streichlisten in die hintersten Ecken der Welt per Post verschickt.

Zu den populärsten Methoden heute zählen die zeitbasierten OTP: Der sechsstellige Zahlencode läuft nach etwa 30 Sekunden ab, um sogleich einem neuen Platz zu machen – ganz egal, ob der Vorgänger in der Zwischenzeit zum Einsatz kam.

Token. Für die Erzeugung diese Codes wird ein «Token» verwendet: Dieses nicht zu übersetzende Wort beschreibt Geräte oder Programme, die Sicherheitselemente anfertigen können. Bei privaten Anwendern handelt es sich dabei meistens um das Smartphone, das meistens nur eine Armlänge entfernt herumliegt. Das Smartphone wird also zum Token.

Zeitkritisch. Der Server des Anbieters generiert diese Codes ebenfalls und wird Sie nur einlassen, wenn der Code übereinstimmt. Dazu ist es wichtig, dass die Uhrzeit des Servers mit jener des Tokens übereinstimmt, wobei unterschiedliche Zeitzonen kein Problem sind. Da ein Smartphone die Uhrzeit automatisch und präzise nachjustiert, können Sie diesen Aspekt getrost ignorieren.

OTPs bieten einige angenehme Eigenschaften.

Komfort. Zum einen ist der Code sehr komfortabel abzulesen und einzugeben – denn eine aktivierte 2FA sollte so wenig Arbeit machen, wie nur möglich.

Keine Telefonnummer. Ausserdem müssen Sie für die 2FA Ihre heilige Mobilnummer nicht preisgeben, wie es zum Beispiel bei einer SMS der Fall wäre. Mehr noch: Sie brauchen überhaupt keine Mobilnummer, sondern generieren diese Codes bei Bedarf auch am Tablet. Die Mobilnummer ist kein Bestandteil dieses Systems. Sie wird jedoch bei einigen Apps für die Registrierung verlangt, wie wir noch sehen werden.

Synchronisierung. Wenn die verwendete App dazu in der Lage ist, lassen sich die Token zwischen mehreren Geräten synchronisieren. Das kann neben dem Smartphone auch das eigene Tablet oder das Smartphone des Partners sein.

Voraussetzungen. Die erste Voraussetzung besteht natürlich darin, dass der Dienst diese Form der 2FA überhaupt anbietet. Nicht alle machen dabei mit; so verwendet Apple ein eigenes System. Andere Dienste wie Google bieten gleich mehrere Formen der 2FA, darunter auch OTP. Und wieder andere, meist kleinere Dienste bieten überhaupt keine 2FA: Ob es sinnvoll ist, das Konto unter «bettybossi.ch» mit einer 2FA abzusichern, ist Ansichtssache – angeboten wird es jedenfalls nicht.

Tatsächlich ist vor allem die Absicherung der grossen Dienste wichtig, die oft auch persönliche und finanzielle Details speichern, etwa Kreditkarten oder persönliche Daten. Auch Cloud-Dienste müssen unbedingt abgesichert werden.

Sie könnten jetzt bei jedem Dienst nachsehen, ob und welche 2FA er anbietet – oder Sie sehen zuerst auf der Website https://twofactorauth.org nach:

Tippen Sie den Namen des Dienstes ein. Anschliessend sehen Sie, ob und welche Form der 2FA angeboten wird. Das Häkchen der Begierde steckt in der Spalte «Software Token» ganz rechts:

Authenticator-Apps. Um diese Form der 2FA einzurichten, benötigen Sie für das Smartphone eine fähige App. Diese sind zahlreich und meistens kostenlos. Zu ihnen gehören der Microsoft Authenticator für iOS und Android oder der etwas vernachlässigte Google Authenticator für iOS und Android.

Authy. Vorzeigbar, leistungsfähig und kostenlos ist die App «Authy» für iOS und Android. Sie speichert die Daten verschlüsselt in der eigenen Cloud. Damit ist es möglich, dass Sie diese Zugangsdaten zwischen mehreren Geräten synchronisieren. Ausserdem bietet Authy die Möglichkeit, Backups der Token in der Cloud anzufertigen, damit der Token schnell wiederhergestellt werden können, wenn das Gerät abhandenkommt.

Unpraktisch: 1Password & Co. Zugegeben: Ich bin ein glühender Verehrer von 1Password. Meiner Meinung nach sind die Apps und Desktop-Anwendungen die beste Lösung überhaupt, um Kennwörter zu verwalten. Natürlich bietet 1Password auch die Möglichkeit, solche OTPs zu generieren. Über die Cloud werden diese Token sogar unter beliebigen Geräte abgeglichen.

Allerdings ist diese Integration unpraktisch, wenn Sie häufiger OTPs verwenden. 1Passwort starten, den Dienst suchen, antippen: Das nervt mit der Zeit. Bei anderen Kennwort-Verwaltern ist es ähnlich. Wenn Sie also auf dieses Verfahren setzen, ist eine spezialisierte App komfortabler: Sobald sie gestartet wird, präsentiert sie auch schon die Codes aller Dienste – und das sind selten so viele, dass es dazu eine Datenbank-Struktur braucht.

Wenn Sie unser Beispiel gleich nachvollziehen möchten, laden Sie eine der erwähnten Apps herunter. Das Prinzip ist immer dasselbe. Die folgenden Abbildungen zeigen die App «Authy» unter iOS. Sie ist zurzeit nur in Englisch verfügbar, aber die Interaktion ist minimal.

Starten Sie Authy auf Ihrem Smartphone. In einem ersten Schritt müssen Sie Ihre Mobilnummer und eine E-Mail-Adresse eingeben. Danach erhalten Sie eine SMS, um die Nummer zu bestätigen. Das ist alles. Später werden Sie gefragt, ob Sie ein Backup in der Cloud ablegen möchten, aber das ist freiwillig.

Wenn Sie ein weiteres Gerät unter demselben Konto laufen lassen, melden Sie sich auf dem anderen Gerät ebenfalls mit Ihrer Mobilnummer an – selbst dann, wenn diese gar nicht geprüft werden kann, etwa auf einem Tablet ohne SIM-Karte. Bestätigen den Zugang entweder über eine SMS oder eine Abfrage auf Ihrem Smartphone. So getan, werden alle Zugänge synchronisiert.

Damit sind die Voraussetzungen geschaffen. Jetzt geht es darum, einen Dienst abzusichern. Falls OTPs angeboten werden, finden Sie die Einrichtung in den jeweiligen Konto-Einstellungen im Bereich «Sicherheit» – oder wie auch immer er heissen mag.

Die folgende Prozedur sichert ein Google-Konto durch OTPs ab. Das dauert nur wenige Minute und sorgt anschliessend für gute Gefühle. Dabei gehen wir davon aus, dass die 2FA noch nicht aktiviert wurde.

Melden Sie sich unter der Adresse https://myaccount.google.com/ mit Ihrem Google-Konto an. Klicken Sie links auf den Bereich «Sicherheit» und danach auf «Bestätigung in zwei Schritten».

Klicken Sie sich durch den Assistenten, bis Sie aufgefordert werden, Ihre Mobilnummer einzugeben. Bestätigen Sie via SMS:

Nachdem die 2FA durch die SMS bestätigt wurde, klicken Sie auf die Schaltfläche «Authenticator App». Google meint damit natürlich den eigenen «Google Authenticator», aber das Verfahren funktioniert mit jeder anderen App genauso:

Beantworten Sie die Frage nach dem Smartphone-System, damit ein QR-Code angezeigt wird. (Warum hier diese Abfrage kommt, weiss nur Google allein.)

Diesen QR-Code lesen Sie nun mit Authy (oder einer anderen Software) ein und benennen den Dienst, damit Authy sofort ein sechsstelliges OTP ausspuckt. Geben Sie diese Ziffernfolge ein, um die Einrichtung abzuschliessen.

Ab sofort benötigen Sie diese Codes, wenn Sie sich zum ersten Mal an einem neuen Rechner mit Ihrem Google-Konto anmelden. Wie oft ein OTP verlangt wird, hängt aber allein vom jeweiligen Dienst ab.

Sicherheit ist immer auch mit Arbeit verbunden. Doch mit Einmal-Kennwörtern und einer fähigen App verliert das Thema viel von seinem Schrecken. Nehmen Sie den Aufwand einmal in Kauf und wiegen Sie sich anschliessend in der beruhigenden Sicherheit, dass Sie bestmöglich abgesichert sind.