Seit kurzem bietet LinkedIn wie immer mehr andere Dienste die Möglichkeit, 2-Step Verification zu aktivieren. Wie das geht, ist hier erklärt
Was ist 2-Step Verification
Bei 2-Step Verification werden bei einem Web-Dienst die üblichen Identifikationsmerkmale, Namentlich Benutzername und Passwort, mit einem zweiten Authentifizierungsschritt ergänzt. Normalerweise ist das ein automatisch generierter Code aus Zahlen und/oder Buchstaben. Wie man zu diesem Code kommt ist unterschiedlich. Die am weitesten verbreiteten Varianten sind SMS oder Smartphone App wie Google Authenticator. Im Corporate-Bereich oder bei Banken kommen oft auch die so genannten RSA-Tokens zum Einsatz. Eine Dritte Variante sind Zertifikate auf SmartCards oder USB-Sticks mit einem Zertifikat drauf, wie beispielsweise die SuisseID.
Wieso ist 2-Step Verification gut?
Benutzername und Passwort sind in der Regel sehr statisch, verändern sich also kaum. Zudem verwenden viele Dienste die eMail-Adresse als Benutzername. Es kommt immer wieder vor, dass jemand bei Unternehmen einbricht und grosse Mengen an Benutzernamen und Passwörtern stiehlt, beispielsweise bei Evernote, PlayStation Network oder beim Adobe-Hack. Weshalb das für jemanden gefährlich sein kann, selbst wenn man dort selber gar kein Account hat, hat ein Artikel bei t3n schön aufgezeigt. Auch deshalb ist eine robuste Passwort-Strategie sicher nicht verkehrt. David Blum hat bei sich eine mögliche Passwort-Strategie aufgezeigt.
2-Step Verification ergänzt die statischen Benutzernamen und Passwort um eine weitere, von der Zeit abhängige und somit dynamische Komponente. So ist bei gleichem Benutzernamen und Passwort immer ein anderer, neuer Code nötig. Heutzutage wird dieser basierend auf kryptographischen Verfahren generiert, weshalb diese nicht einfach so im Kopf zu berechnen ist.
Um sich erfolgreich Anzumelden braucht es also 3 Dinge. Im ersten Schritt muss man den Benutzernamen und das Passwort wissen, und in einem zweiten Schritt etwas haben, welches einem den Sicherheitscode berechnet oder anzeigt. Wenn euch also jemand im Coffee Shop oder der Flughafen-Lounge über die Schulter schaut und sich Benutzernamen und Passwort merkt, muss er oder sie euch zusätzlich noch das Handy oder den Access-Token klauen um sich erfolgreich mit eurem Account einloggen zu können.
Wo gibts das?
2-Step Verification wird von immer mehr Diensten angeboten. Dies ist eine sicher nicht abschliessende Liste, aber ich versuche mal die gängigsten zusammenzukriegen, welche ich auch nutze (Links zeigen wo möglich dorthin wo 2-Step Verification aktiviert werden kann):
- DropBox (SMS oder Google Authenticator)
- Evernote (SMS oder Google Authenticator)
- Google (SMS oder Google Authenticator)
- Facebook (SMS oder eigene App)
- LinkedIn (SMS)
- BattleNET (Eigener Token oder Eigene App)
- E-Banking (unterschiedliche Lösungen)
Und was jetzt?
Bei jedem Dienst, der 2-Step Verification anbietet werde ich dieses auch aktivieren. Das heisst aber nicht, dass man nicht auch sichere und einmalige Passwörter verwenden soll! 😉