In den letzten Jahren hat ein neues Sicherheitskonzept viele Schlagzeilen gemacht - Zwei-Schritt-Verifikation oder Zwei-Faktor-Authentifizierung. Alles begann damit, dass Google es seinen Nutzern ermöglichte, und seitdem folgten viele Unternehmen ihrem Beispiel, einschließlich Microsoft und Facebook. Wenn Sie wissen möchten, was die Zwei-Faktor-Authentifizierung ist, wie sie funktioniert, warum Sie sie aktivieren sollten und wo, lesen Sie diesen Artikel. Du wirst es nicht bereuen, dass du es getan hast!
Was ist zweistufige Verifizierung / Zwei-Faktor-Authentifizierung?
Die zweistufige Verifizierung ist ein Sicherheitsprozess, der zwei Phasen umfasst, um die Identität einer Person oder eines Unternehmens zu überprüfen, die versuchen, auf einen Dienst jeglicher Art zuzugreifen (E-Mail, soziale Netzwerke, Bankgeschäfte usw.). Dieses Konzept wird auch als Zwei-Faktor-Authentifizierung bezeichnet und erfordert zwei oder mehr dieser drei Authentifizierungsfaktoren: einen Wissensfaktor, einen Besitzfaktor und einen Inhärenzfaktor.
Bei der traditionellen Überprüfung werden nur ein oder zwei der drei oben genannten Faktoren berücksichtigt. Wenn Sie beispielsweise einen digitalen Dienst wie E-Mail verwenden möchten, müssen Sie bei der herkömmlichen Überprüfung den Benutzernamen und das Kennwort kennen. Wie wir alle wissen, kann Wissen auf verschiedene Arten gespeichert werden, und die Leute können sowohl Ihren Benutzernamen als auch Ihr Passwort lernen, dieselben Dienste wie für alle möglichen Zwecke nutzen und sich wie Sie verhalten.
In der realen Welt kann traditionelle Überprüfung den Wissensfaktor und den Besitzfaktor einschließen. Wenn Sie beispielsweise an einen Geldautomaten gehen, um Bargeld zu erhalten, verwenden Sie Ihre Debit- oder Kreditkarte (Besitzfaktor) und die PIN (Wissensfaktor). Jedoch können sowohl die PIN als auch die Informationen auf Ihrer Kreditkarte auf verschiedene Arten erlernt werden und nicht autorisierte Parteien können Online-Transaktionen mit Ihrem Geld tätigen. Deshalb wurde das 3-D-Secure-Konzept entwickelt, um eine zusätzliche Sicherheitsebene für Online-Kredit- und Debitkartentransaktionen zu bieten.
Bei Verwendung der zweistufigen Verifizierung in der digitalen Welt wird ein dritter Faktor hinzugefügt: der Besitzfaktor - normalerweise Ihr Smartphone oder Mobiltelefon. Dieses Gerät wird für die zweite Phase der Identitätsüberprüfung verwendet. Wenn Sie sich beispielsweise in Ihrem E-Mail-Konto anmelden, geben Sie zunächst Ihren Nutzernamen und Ihr Passwort an. Anschließend werden Sie aufgefordert, ein zeitbasiertes Kennwort anzugeben, das in 30 Sekunden abläuft. Dieses Passwort kann per SMS an Ihr Mobiltelefon gesendet oder in einer Authenticator App wie Google Authenticator oder Microsoft Authenticator angezeigt werden.
Einige Unternehmen und Dienste bieten auch physische Authentifizierungsgeräte an, die kontinuierlich die Codes generieren, die Sie zum Abschluss des Verifizierungsprozesses benötigen. Zum Beispiel bieten viele Banken physische Geräte für die Bestätigung in zwei Schritten an, so dass Sie online auf Ihr Bankkonto zugreifen können. Auch PayPal tut dies für eine kleine Anzahl von Ländern, einschließlich der USA.
Wie funktioniert es?
Die Implementierungen für die zweistufige Verifizierung sind zahlreich und wir werden nicht auf alle Details eingehen.
Die gängigste Implementierung ist Googles Ansatz basierend auf dem TOTP - Time-Based One-Time Password Algorithm. Wenn die Bestätigung in zwei Schritten für Ihr Konto aktiviert ist, generiert ein spezieller Server alle 30 Sekunden ein neues Passwort / einen neuen Code. Das Gerät, das das Passwort mit Ihnen teilt, muss mit dem Server synchronisiert werden, damit der Code, den Sie während des zweiten Authentifizierungsschritts eingeben, mit dem auf dem Server übereinstimmt. Wenn das Gerät, das das Passwort freigibt, nicht synchronisiert ist, können Sie die Überprüfung Ihrer Identität nicht abschließen.
Dieser Algorithmus ist der populärste, der online gefunden wird. Viele Unternehmen nutzen es, darunter Google, Microsoft, Facebook, Evernote, Dropbox, Wordpress, MailChimp und Lastpass.
Ein anderer beliebter Ansatz ist derjenige, der von Banken und Kreditkartenanbietern verwendet wird. Es heißt 3-D Secure und dient zur Genehmigung von Finanztransaktionen, die online vorgenommen werden. Diese Methode der zweistufigen Verifizierung umfasst drei Entitäten: die Domäne des Händlers oder die Bank, an die Geld gezahlt wird, die Domäne der Bank, die die verwendete Karte ausstellt, und die Infrastruktur, die das 3-D-Protokoll unterstützt.
Dieses Protokoll verwendet nur sichere SSL-Verbindungen für Online-Transaktionen. Um eine Transaktion genehmigen zu können, benötigen Sie neben Ihrem Namen und Ihrer Kreditkartendetails ein spezielles Passwort. Dieses Passwort kann temporär und zeitbasiert sein oder es kann dauerhaft sein und von Ihnen, dem Benutzer, festgelegt werden. Ein weiterer wichtiger Aspekt ist, dass dieses Passwort nicht vom Händler oder der Bank gespeichert wird, an die das Geld bezahlt wird. Das Passwort ist nur den Servern bekannt, die die Infrastruktur für das 3-D-Protokoll bereitstellen. Wenn der Händler gehackt wird, können Hacker daher Ihr 3-D Secure-Passwort nicht erhalten.
Warum benötigen Sie eine Bestätigung in zwei Schritten?
Der Hauptgrund, warum Sie die Bestätigung in zwei Schritten verwenden sollten, besteht darin, sich selbst zu schützen. Durch die Verwendung dieser zusätzlichen Schutzebene wird es für unerwünschte Parteien schwieriger, online auf Ihre Identität zuzugreifen und persönliche oder finanzielle Daten zu stehlen.
Wenn Sie 3-D Secure für Finanztransaktionen verwenden, erschweren Sie es Hackern, Ihr Geld zu stehlen. Es ist sehr einfach für Sie, Ihre Kartendetails zu kopieren, aber es wird Ihnen schwer fallen, Ihr 3-D Secure-Passwort zu erhalten.
Wann sollten Sie die Bestätigung in zwei Schritten verwenden?
Das Hinzufügen eines zusätzlichen Authentifizierungsschritts ist für jeden lästig, aber notwendig, um unsere Daten privat zu halten. Ich empfehle dringend, dass Sie die Bestätigung in zwei Schritten für die folgenden Arten von Diensten aktivieren und verwenden:
- E-Mail - In Ihrem Posteingang werden die meisten persönlichen Daten aller Ihrer Online-Konten gespeichert. Die Leute können Ihren E-Mail-Verlauf ausspionieren, den Benutzernamen für Ihre Bank- und PayPal-Konten erfahren, mehr über Ihre Arbeit, Ihre Beziehungen und viele andere wichtige Details erfahren. Sichern Sie Ihren Posteingang ist das erste, was Sie tun sollten.
- Online-Banking & Finanztransaktionen - Wenn Sie Online-Banking betreiben, wenn Sie Waren von Amazon, eBay oder anderen Online-Shops kaufen, müssen Sie Ihre Kredit- oder Debitkarte sichern. Fragen Sie Ihre Bank nach 3-D-Sicherheit und den zweistufigen Verifizierungsoptionen, die sie anbieten, aktivieren Sie sie und verwenden Sie sie.
- Speichern Sie Ihre Passwörter - viele sicherheitsbewusste Menschen nutzen Dienste wie LastPass, Roboform oder KeePass. Sie zu sichern ist entscheidend. Wenn Ihr Kontopasswort gestohlen wird, haben Unbefugte Zugriff auf alle Ihre Passwörter und können Ihnen viel Schaden zufügen.
- Social Networking - Wir speichern viele persönliche Daten auf unserem Facebook-Account und anderen sozialen Netzwerken. Wenn jemand anderes Zugang dazu erhält, werden sie viele Dinge lernen, die Sie lieber privat halten würden. Wenn Sie zum Beispiel einen eifersüchtigen Partner haben, kennen Sie vielleicht bereits Ihr Facebook-Passwort und behalten im Auge, was Sie tun. Schützen Sie sich und aktivieren Sie die Bestätigung in zwei Schritten.
Fazit
Ich hoffe, Sie fanden diesen Leitfaden hilfreich. Wenn Sie Fragen oder Probleme mit dem Verständnis dieses Konzepts haben, zögern Sie nicht, unten einen Kommentar zu hinterlassen.
