Strategien für die sichere Computernutzung
Einleitung
Ein Passwort ist so etwas wie das Schloss zu den persönlichen Daten. Und wie bei einem Schloss gilt auch hier, das ein wenig zusätzlicher Aufwand zu erheblich mehr Sicherheit führt. Denn wie bei einem Schlossmechanismus führt auch bei einem Passwort erst eine gewisse Komplexität zu einer annehmbaren Sicherheit.
Und solange es noch Nutzer gibt, die ganz offenbar daran glauben, dass Passwörter wie „123456“, „xyz“ oder „qwert“ ihre Daten schützen würden, bleibt das Thema leider aktuell.
Dieser Artikel möchte aufzeigen, wie Passwörter geknackt werden können, worauf man bei der Wahl eines Passworts achten muss und welche zusätzlichen Sicherheitsvorkehrungen man treffen sollte. Er beschäftigt sich neben dem Thema Passwörter auch mit Passwort-Managern, den Tricks der Hacker und der Wichtigkeit von Antivirus-Software und gibt Empfehlungen zum Einsatz. Ich wünsche viel Spaß bei der Lektüre.
Das Knacken von Passwörter?
Die einfachsten Programme zum Knacken von Passwörtern (engl. Password-Cracker) funktionieren entweder durch simples Ausprobieren aller Kombinationen (Brute-Force-Methode) oder durch Ausprobieren aller sinnvollen Wörter mithilfe von Wörterbüchern (Wörterbuchangriff oder Dictionary Attack).
Weiterhin unterscheidet man zwischen aktiven und passiven Angriffsobjekten. Ein aktives Angriffsobjekt ist eine Instanz, die die Richtigkeit eines Passworts überprüft und den Zugriff erteilt oder verweigert, beispielsweise das Anmeldeformular einer Website. Hier sind die Möglichkeit solcher Attacken stark begrenzt, weil meistens nach einer gewissen Anzahl von Fehlversuchen weitere Eingabeversuche unterbunden werden.
Ein passives Angriffsobjekt ist ein Text, der mit dem gesuchten Passwort verschlüsselt wurde. Dabei kann es sich entweder um einen verschlüsselten Text (E-Mail, Word-Datei usw.) handeln, oder um eine Passwortdatei.
Meistens werden zum Knacken von Passwörtern passive Angriffsobjekte gesucht. Denn mit dieser Methode lassen sich schon auf gut ausgerüsteten Heimcomputern einige hundert Millionen Passwörter in Sekundenschnelle ausprobieren. Lassen Sie mich das an einigen Beispielen erklären.
Betrachten wir zunächst einmal einen Wörterbuchangriff. Der Dudenkorpus (das ist eine seit 1995 geführte Duden-Sammlung von digitalen Texten) enthält rund 23 Millionen deutsche Wörter und Ausdrücke. Um diese 23 Millionen möglicher Passwörter durchzuprobieren, würde ein handelsüblicher PC rund 10 Sekunden benötigen. Bei der Zusammensetzung zweier Wörter aus dem Dudenkorpus zu einem Passwort gibt es rund 529 Billionen Möglichkeiten. Zum Testen dieser Möglichkeiten würde ein handelsüblicher PC rund 2 Tage benötigen, ein heutiger Supercomputer nicht einmal 2 Sekunden.
Für eine Brute-Force-Attacke kann man von einem Passwort ausgehen, dass aus einer zufälligen Folge von Zeichen besteht. Nehmen wir einmal an, dass ein solches Passwort aus den Groß- und Kleinbuchstaben von A bis Z und den zehn Ziffern besteht, das wären insgesamt 62 mögliche Zeichen. Bei einer Länge des Passworts von 8 Zeichen würde ein handelsüblicher PC zum Ausprobieren aller Möglichkeiten rund einen Tag benötigen, ein Supercomputer ungefähr eine Sekunde. Bei einer Passwort-Länge von 12 Zeichen wäre der PC bereits mehr als 41.000 Jahre beschäftigt, und selbst ein Supercomputer würde ein knappes halbes Jahr benötigen.
Mehr zu den diversen Tricks der Hacker erfahren Sie weiter unten im Artikel im Abschnitt Die Tricks der Passwort-Diebe.
Aber aus den obigen Beispielen lässt sich bereits recht gut ableiten, wie ein aus technischer Sicht sicheres Passwort aussehen sollte.
Das technisch sichere Passwort
Selbst recht sicher aussehende Passwörter aus Wörtern der deutschen Sprache wie beispielsweise „Hawaiianisches Bewässerungsprojekt“ bieten gegenüber Wörterbuchangriffen eine allenfalls marginale Sicherheit. Grundsätzlich sollten keine Wörter als Passwort genutzt werden, die in Wörterbüchern vorkommen.
Das ideale Passwort besteht aus mindestens 16 Zeichen und enthält Groß- und Kleinbuchstaben, Ziffern und eventuell noch Sonderzeichen (wie $, % oder &). Beim heutigen Stand der Technik würden selbst Supercomputer zum Knacken eines solchen Passworts mehrere Millionen Jahre benötigen. Für so ziemlich jeden modernen Webbrowser gibt es Erweiterungen zum Erzeugen solcher Passwörter, für Chrome beispielsweise den Strong Password Generator.
So erzeugte Passwörter gelten nach heutigem Stand der Technik als sicher und können über Jahre hinweg ohne Änderung verwendet werden. Allerdings ist es wichtig, dass für jedes Benutzerkonto ein eigenes Passwort erstellt wird, kein Passwort sollte jemals für mehrere Konten genutzt werden.
Allerdings ist das Resultat dieses Verfahrens eine Unmenge an verschiedenen und für den Menschen kaum merkbaren Passwörtern. Deswegen müssen diese Passwörter irgendwo gespeichert oder aufgelistet werden. Für diesen Zweck gibt es sogenannte Passwort-Manager, auf die ich etwas weiter unten eingehen möchte.
Lohnt ein laufender Passwort-Wechsel
IT-Sicherheitsexperten predigen seit Jahren, dass ein regelmäßiger Passwort-Wechsel mehr Probleme schafft, als er löst. In der seit dem 1. Februar 2020 gültigen Edition 2020 des IT-Grundschutz-Kompendiums hat sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) endlich von der Idee des laufenden Passwort-Wechsels verabschiedet und empfiehlt die Änderung des Passworts nur noch dann, wenn ein Verdacht auf Kenntnis durch eine dritte Person besteht. Bleibt zu hoffen, dass Unternehmen, die heute noch ihre Mitarbeiter zu ständigen Passwort-Wechseln zwingen, möglichst bald einlenken werden.
Denn die Folgen eines regelmäßigen Passwort-Wechsels sind aus Sicherheits-Aspekten fatal. Denn sichere Passwörter lassen sich sowieso schon nur sehr schwer merken. Wenn ein solches Passwort nun auch noch alle vier Wochen gewechselt werden soll, sind nahezu alle Benutzer überfordert. Und deswegen werden dann entweder einfache Passwörter gewählt, die man sich merken kann (und die sich leicht knacken lassen) oder es werden sichere Passwörter gewählt und irgendwo aufgeschrieben (gerne unter der Tastatur oder in der Schreibtisch-Schublade). Beides stellt die Sicherheit stark infrage.
Die Passwort-Manager
Ein Passwort-Manager ist ein kleines Programm, dass Passwörter für verschiedene Benutzer-Konten speichert und in den meisten Fällen auch die Anmeldeinformationen (Benutzername und Passwort) in die Felder des Anmeldeformulars einträgt.
Passwort-Manager gibt es sowohl als Funktion in den bekannten Webbrowsern als auch als zusätzliche Programme von Drittanbietern.
Die bequemste und einfachste Variante sind sicherlich die in den Webbrowsern enthaltenen Passwort-Manager. Und meiner Meinung nach sind sie wohl auch die sicherste Variante. Und zwar ganz einfach deswegen, weil die Hersteller der großen Webbrowser wahrscheinlich die Unternehmen sind, die weltweit die größten Erfahrungen im Bereich Sicherheit aufzuweisen haben.
Andererseits hört man vielfach das Argument, dass man nicht alle seine Daten einem der großen Internet-Unternehmen wie Google oder Apple anvertrauen solle und dass deswegen das Ausweichen auf einen Drittanbieter zur Passwort-Speicherung sinnvoll sei. Inwiefern dieses Argument stichhaltig ist, mag jeder für sich selbst entscheiden. Aber es gibt fraglos gute Passwort-Manager von Drittanbietern, auf die ich weiter unten deswegen noch einmal gesondert eingehe.
Allen gemeinsam ist übrigens die verschlüsselte Ablage von Passwörtern. Alle in die Webbrowser integrierten Passwort-Manager und die meisten der Passwort-Manager von Drittanbietern nutzen die AES-Verschlüsselung mit einer Schlüssellänge von 256 Bit zur Speicherung von Passwörtern. Die Verschlüsselung nach AES-256 gilt nach heutigem Ermessen als sicher und ist dementsprechend auch weltweit zur Speicherung von Dokumenten der höchsten Geheimhaltungsstufen zugelassen.
Aber mein Tipp wäre die Nutzung eines der in die Webbrowser integrierten Passwort-Managers, allen voran der von Google Chrome.
Webbrowser-integrierte Passwort-Manager
Die vier großen Webbrowser Chrome, Firefox, Safari und Edge bieten alle eine Passwort-Verwaltung an. Ausgereift und sicher sind sie alle, die Entscheidung für einen dieser Browser ist eher Geschmackssache. Von den Funktionen her ist der Google-Passwort-Manager wahrscheinlich am umfangreichsten, besonders die Funktion zur Sicherheitsprüfung mehrfach verwendeter oder eventuell gehackter Passwörter (unter Passwortcheck in Google’s Passwort-Manager) ist sehr nützlich.
Etwas Vorsicht ist bei den Funktionen zum Anzeigen von Passwörtern geboten. Falls nämlich eine dritte Person Zugang zu einem Rechner hat, auf dem Sie angemeldet sind, kann diese Person eventuell die gespeicherten Passwörter im Klartext anzeigen lassen.
Bei Firefox funktioniert das sogar ohne weitere Passworteingabe, falls kein Masterpasswort für den Passwort-Manager angelegt wurde. Bei den anderen Browsern ist zumindest die Eingabe eines Passworts notwendig, allerdings gibt es Tools (z.B. WebBrowserPassView), mit denen sich das in einigen Fällen umgehen lässt.
Sie sollten bei der Nutzung eines der Webbrowser-integrierten Passwort-Manager also darauf achten, dass keine dritte Person Zugriff auf einen Rechner erhält, auf dem Sie angemeldet sind.
Außerdem sollte man natürlich darauf achten, dass sich keine dritte Person Zugang zu den Konten des jeweiligen Webbrowser-Anbieters mit den darauf gespeicherten Passwörtern verschaffen kann. Daher sollte bei diesen Konten zwingend die Zwei-Faktor-Authentifizierung aktiviert werden.
Passwort-Manager von Drittanbietern
Passwort-Manager gibt es mittlerweile wie Sand am Meer. Sowohl die Anbieter von Sicherheits-Software als auch viele kleinere Anbieter haben sich auf den lukrativen Markt gestürzt. Die Produkte sind teilweise zumindest in einer (eingeschränkten) Basisversion kostenfrei erhältlich, manche sind sogar für private Anwender komplett kostenlos.
Alle gemeinsam ist, dass sie gegenüber den systemeigenen Passwort-Managern der großen Webbrowser eigentlich nur dann Sinn machen, wenn Passwörter zwischen verschiedenen Webbrowsern oder verschiedenen Betriebssystemen synchronisiert werden sollen. Auch für Unternehmen sind die integrierten Passwort-Manager aufgrund fehlender Funktionen kaum nutzbar (dazu weiter unten mehr).
Für Privat-Anwender sind die meisten Passwort-Manager von Drittanbietern aufgrund von drei Problemen nicht unbedingt empfehlenswert. Da wäre zum einen die Sache mit dem Master-Passwort. Denn dieses Master-Passwort erlaubt den Zugriff auf alle im System gespeicherten Passwörter und sollte deswegen so sicher wie möglich sein. Andererseits wird es ständig gebraucht und sollte deswegen so einfach sein, dass man es nicht vergisst. Wodurch sich gerade beim Master-Passwort wieder die klassische Methode der Passwortfindung aufdrängt und das Risiko besteht, dass das wichtigste Passwort des Passwort-Managers nicht die notwendige Sicherheit aufweist. Der einzige Ausweg aus dieser Situation ist eine Zwei-Faktor-Authentifizierung, die aber leider nicht alle Anbieter im Programm haben.
Das zweite Problem ist die Speicherung der Daten in einer Cloud. Um eine perfekte Sicherheit und eine Abgrenzung zu den systemeigenen Passwort-Managern der großen Webbrowser-Anbieter zu erreichen, wäre eigentlich die lokale Speicherung der Passwort-Datei (beispielsweise auf einem USB-Stick) die perfekte Lösung. Andererseits schränkt eine solche lokale Speicherung natürlich die Synchronisierung ein und wirft auch Fragen der Datensicherheit auf (ein USB-Stick könnte kaputtgehen).
Deswegen werden die Daten bei fast allen Anbietern in der Cloud gespeichert. Und lassen den Anwender mit der Frage zurück, warum eine herstellereigene Cloud eigentlich eine größere Sicherheit als eine von einem Anbieter wie Google bieten sollte. Was allen wohlgemeinten Argumenten zum Trotz dann letztlich doch wieder eine Frage des Vertrauens zu einem Anbieter darstellt.
Das dritte Problem ist die Integration der Passwort-Manager in die jeweiligen Webbrowser, die im Allgemeinen über Browser-Erweiterungen gelöst wird. Manche davon funktionieren hervorragend, manch andere eher holperig. Und alle unterstützen die drei großen Webbrowser Chrome, Firefox und Safari. Aber bei den kleineren wie Edge oder Opera fehlt die Unterstützung in vielen Fällen ganz.
Aber trotzdem tun die meisten Passwort-Manager auf dem Markt so ziemlich das, was sie sollen. Die Unterschiede im Hinblick auf Sicherheit, Funktionalität und Preis sind eher marginal. Weswegen es an dieser Stelle auch keine Produkt-Empfehlungen gibt.
Der Kunde sollte sich vor der Entscheidung für einen Passwort-Manager allerdings sehr genau überlegen, welche Funktionen er eigentlich erwartet. Und vor allem, ob er mit einem der systemeigenen Passwort-Manager nicht vielleicht besser bedient ist.
Passwort-Manager im Unternehmen
Im Gegensatz zu Privatanwendern sind die in den Browsern integrierten Passwort-Manager für Unternehmen kaum zu gebrauchen. Denn Unternehmen stellen völlig andere Ansprüche an Passwort-Manager, als dies ein Privatanwender tut.
Passwort-Manager im Unternehmen müssen Funktionen zur Verfügung stellen, mit denen Zugriffsdaten zentral verwaltet und schwache Passwörter schnell identifiziert werden können. Außerdem ist es vielfach notwendig, dass Mitarbeiter zwar auf Ressourcen (beispielsweise Cloud-Speicher) zugreifen dürfen, das dazugehörige Passwort aber nicht kennen sollen.
Sobald ein Unternehmen Wert auf sichere Passwörter legt und das auch kontrollieren möchte, bietet ein Passwort-Managers eine preisgünstige und effiziente Lösung. Ähnliches gilt dann, wenn Zugangsdatendaten zu Ressourcen (z.B. Cloud-Dienste, Online-Dienstleister, Datenbanken) von mehreren Mitarbeitern gleichzeitig genutzt werden. Ohne Einsatz eines Passwort-Managers werden solche Zugangsdaten zwischen Mitarbeitern weitergegeben und sind irgendwann allgemein bekannt.
Grundsätzlich gilt, dass für Unternehmen der Einsatz eines guten Passwort-Managers wohl die einzige Möglichkeit darstellt, die Sicherheit von Zugangsdaten unternehmensweit sicherzustellen.
Auf dem Markt sind diverse Passwort-Manager für Unternehmen verfügbar, die sowohl die Bedürfnisse kleinerer Unternehmen abdecken, als auch Funktionen wie Active-Directory- oder LDAP-Anbindung für größere Unternehmen unterstützen. Eine Auflistung und Bewertung dieser Passwort-Manager würde den Rahmen dieses Artikels sprengen, im Internet lassen sich aber viele Artikel über die Vor- und Nachteile dieser Passwort-Manager finden.
Die Tricks der Passwort-Diebe
Der beste Passwort-Manager und die sichersten Passwörter nützen recht wenig, wenn Benutzer und Netzwerkbetreiber nicht auf sie aufpassen.
Antiviren-Software
Auf jeden Rechner und jedes Telefon gehört zwingend eine gute Antiviren-Software. Denn auch heute noch werden viele Passwörter ganz trivial von installierten Schadprogrammen abgefangen und an Datendiebe übertragen. Solche Schadprogramme lauern sowohl auf Websites als auch in E-Mails und sind ohne funktionierenden Virenschutz mit hoher Wahrscheinlichkeit irgendwann auch auf Ihrem Rechner. Und viele von ihnen sind speziell für das Ausspähen von Anmeldeinformationen optimiert.
Phishing-Websites
Gerade bei E-Mails und in Chats ist aber auch der Benutzer selber gefragt. Denn Schad-E-Mails verweisen gerne einmal auf sogenannte Phishing-Websites. Diese Seiten sind im Prinzip Kopien der Anmeldeseiten bekannter Websites (beispielsweise Facebook).
Bei der Anmeldung auf einer solchen Website geschieht zweierlei. Zum einen werden die Anmeldeinformationen inklusive Passwort in einer Datenbank der Phishing-Website gespeichert. Zum zweiten wird der Benutzer auf die echte Webseite weitergeleitet und dort angemeldet. Für den Benutzer ist der Vorgang kaum ersichtlich.
Aber der Betreiber der Phishing-Website hat jetzt die Anmeldeinformationen zu einem weiteren Benutzer-Konto in seiner Datenbank und kann diese Information bei passender Gelegenheit verwenden. Das System funktioniert grundsätzlich bei vielen Websites, zum Beispiel auch bei manchen E-Banking-Systemen.
Vor solchen Angriffen kann man sich schützen. Einen Teil des Jobs erledigt eine gute Antiviren-Software, die die meisten dieser Phishing-Websites erkennen und den Zugriff blockieren sollte. Gute Passwort-Manager fallen ebenfalls normalerweise nicht auf Phishing-Websites herein und geben die Anmeldeinformationen nicht automatisch ein.
Beim anderen Teil ist der Benutzer selbst gefragt. So sollte grundsätzlich nicht auf Links in E-Mails oder Nachrichten geklickt werden, die zu einer bestimmten Aktion auf einer Website auffordern (ganz besonders nicht bei Bankgeschäften). Im Zweifelsfall ist es immer sicherer, sich ganz normal bei der jeweiligen Website anzumelden und die geforderte Aktion von hier aus auszuführen (falls sie denn überhaupt ausgeführt werden muss oder kann).
Spy-Programme
Recht problematisch können auch Spionage-Programme werden, die alle Tätigkeiten auf einem PC oder Smartphone mitverfolgen und an eine dritte Peron weitersenden. Programme wie Refog, FlexySpy, Realtime-Spy, Hoverwatch oder mSpy werden als Überwachungssoftware für eigene Geräte vermarktet, beispielsweise zur Kontrolle von Kindern.
Der Einsatz eines solchen Programms ist rechtlich nur dann in Ordnung, wenn der Besitzer des Computers oder des Smartphones über den Zugriff informiert wurde und diesem auch explizit zugestimmt hat. Eine rechtliche Grauzone stellt die Überwachung der eigenen Kinder dar. Bei jüngeren Kindern mag die elterliche Fürsorgepflicht und das Schutzrecht im Vordergrund stehen, mit zunehmendem Alter wird die Überwachung mehr und mehr zum Eingriff in die Privatsphäre des Kindes. Letztlich konkurriert hier das Elternrecht mit dem Recht des Kindes auf informationelle Selbstbestimmung.
Aber die Programme werden auch vermehrt eingesetzt, um Menschen ohne deren Wissen auszuspionieren. Entsprechende Funktionen zum unsichtbaren Einsatz sind in allen Programmen enthalten. Es ist wichtig zu wissen, dass ein Einsatz zu Spionagezwecken immer illegal ist und empfindliche Strafen nach sich ziehen kann.
Solche Spionageprogramme verfolgen alle Aktivitäten auf einem Computer oder Smartphone. Dazu gehört neben den Benutzereingaben auch der Browserverlauf, die Verfolgung von Chat-, E-Mail- und SMS-Verläufen, die Protokollierung der genutzten Programme, Screenshots und noch vieles mehr. Insgesamt überwachen und protokollieren solche Programme alle erdenklichen Tätigkeiten an PC und Smartphone und stellen dem Überwacher diese Protokolle in gut aufbereiteter Form zur Verfügung.
Und nicht alle von Ihnen werden immer von Antiviren-Programmen erkannt.
Auch aus diesem Grunde jeder Benutzer immer dafür sorgen, dass ein entsperrter PC oder ein entsperrtes Smartphone niemals für Dritte zugänglich gemacht wird. Denn die Installation solcher Programme lässt sich mit ein wenig Übung sehr schnell vornehmen und ist danach für den Benutzer mitunter nur noch sehr schwer zu erkennen.
Social Hacking
Social Engineering bezeichnet die zwischenmenschliche Beeinflussung einer Person mit dem Ziel, sie zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Wenn das Ziel das Eindringen in ein fremdes Computersystem ist, dann spricht man von Social Hacking.
Das funktioniert, weil bei allen technischen Sicherheitsvorkehrungen immer noch ein nur schwer zu kontrollierender Risikofaktor besteht, nämlich der Mensch selbst. Und genau hier setzt das Social Engineering an, grundsätzlich geht es um die Gewinnung von Vertrauen.
Ein Beispiel ist der „Enkel-Trick“, bei dem Trickbetrüger ältere Menschen davon überzeugen, dass sie ein Verwandter seien und dringend Geld benötigten. Auf Online-Partnerbörsen wenden sich Kriminelle in der Rolle einer jungen, attraktiven Frau an Männer, die offensichtlich auf der Suche nach einer Partnerin sind, und bitten recht schnell um finanzielle Unterstützung.
Aber auch gegenüber von Unternehmensmitarbeitern wird gerne Social Engineering angewandt, hier allerdings hauptsächlich mit dem Ziel der Preisgabe vertraulicher Informationen oder der Ausführung finanzieller Transaktionen. Dazu benötigt der Kriminelle zunächst einmal einige Informationen über das Unternehmen und seine Führungspersönlichkeiten.
Ein Beispiel wäre eine gefälschte E-Mail, in der der Chef des Unternehmens einen Mitarbeiter in dringenden Worten anweist, unverzüglich eine bestimmte finanzielle Transaktion durchzuführen.
Oder eine ebenfalls gefälschte Mail aus der IT-Abteilung, in der einem Mitarbeiter gesagt wird, dass in seinem Account Unregelmäßigkeiten aufgefallen seien, und in der zur Überprüfung die Zugangsdaten des Mitarbeiters angefordert werden.
Durch die mutmaßliche Dringlichkeit des Anliegens befindet sich der Empfänger der E-Mail nun in der Situation, dem Auftrag zügig nachzukommen. Bei einer gut und realistisch formulierten E-Mail und einem Unternehmen mit veralteten Sicherheitskonzepten besteht durchaus die Möglichkeit, dass solche Aufträge ohne Rückfragen ausgeführt werden.
Allerdings gibt es auch hier Möglichkeiten, sich zu schützen. Denn meistens können sich Kriminelle keinen Zugang zum E-Mail-System des Unternehmens verschaffen und nutzen deswegen eine ähnliche E-Mail-Adresse, die sich bei genauerem Hinschauen erkennen lässt. Bei Zweifeln sollte also zunächst einmal die E-Mail sorgfältig geprüft werden.
Und gerade bei eventuellen „Sonderwünschen“ einer Führungskraft des Unternehmens ist es wichtig, bei der betreffenden Person nachzufragen und sich die Anordnung noch einmal persönlich bestätigen zu lassen.
Die Zwei-Faktor-Authentifizierung
Die sogenannte Zwei-Faktor-Authentifizierung (2FA) wird mittlerweile von vielen Online-Diensten angeboten. Im Prinzip geht es darum, dass zusätzlich zur klassischen Identifikation mit Benutzernamen und Passwort ein zusätzlicher Faktor die Anmeldeinformationen ergänzt.
Für diesen zusätzlichen Faktor gibt es verschiedene Verfahren. Die heute gebräuchlichsten sind Anmeldecodes, die per SMS an den Benutzer geschickt werden oder von Code-Generatoren wie Authy oder Google Authenticator erzeugt werden. Es gibt aber auch Systeme, die biometrische Daten wie einen Fingerabdruck, eine Iris-Erkennung oder eine Gesichtserkennung verwenden.
Allen gemeinsam ist, dass zunächst einmal eine Identifikation mit Benutzernamen und Passwort erfolgt. Nach dieser Benutzer-Identifikation wird der zusätzliche Faktor (Code, Fingerabdruck oder ähnliches) benötigt, um tatsächlich Zugang zum jeweiligen System zu erhalten.
2FA per SMS
Leider bieten viele Dienste-Anbieter (gerade Online-Banking-Anbieter) als zweiten Faktor nur die Zusendung von Einmal-Passwörtern über SMS an. Leider deswegen, weil gerade diese Methode nicht wirklich sicher ist, und zwar aus mehreren Gründen.
- Bei aktivierten Sperrbildschirm-Benachrichtigungen sind Teile einer eingehenden SMS auch dann sichtbar, wenn das Smartphone nicht entsperrt ist. Im sichtbaren Teil könnte das Einmal-Passwort enthalten sein, dass auf diese Weise unter Umständen für einen dritten sichtbar sein könnte.
- Spy-Programme und Trojaner können SMS-Nachrichten abfangen und an dritte Personen weiterleiten, die dann mithilfe der SMS auf den jeweiligen Onlinedienst zugreifen können.
- Durch Vorspiegelung falscher Tatsachen (Social Engineering) kann sich ein Krimineller unter Umständen eine SIM-Karte mit der Nummer des Opfers besorgen. Dadurch landen dann SMS-Nachrichten bei dieser Karte und nicht beim eigentlichen Empfänger.
- Das für den Versand von SMS-Nachrichten verwendete SS7-Protokoll wurde in den 1970er Jahren entwickelt, zu einem Zeitpunkt also, zu dem Netzsicherheit nicht unbedingt prioritär war. Dass das Protokoll nicht sicher ist, sollte hinreichend bekannt sein. Auf einem Kongress des Chaos Computer Clubs präsentierte Thomas Engel bereits 2008 die Manipulationsmöglichkeiten, spätestens seit Edward Snowden ist bekannt, dass auch die NSA die Sicherheitslücken des Protokolls genutzt hat. Verwendet wird das Protokoll aber trotzdem bis heute.
Im Großen und Ganzen betrachtet sind als SMS versendete Einmal-Passwörter also nicht besonders sicher. Es macht daher durchaus Sinn, nach Alternativen Ausschau zu halten.
2FA per Code-Generator-App (Authenticator-Apps)
Falls der gewünschte Dienste-Anbieter die Authentifizierung mithilfe eines Code-Generators anbietet, bietet sich das Verfahren als sehr sinnvolle Alternative an. Die hier verwendeten Codes werden auf Grundlage eines Schlüssels und der aktuellen Zeit erstellt. Das mit Abstand am häufigsten verwendete Verfahren nennt sich TOTP (Time-based One-Time Password).
Zur Nutzung dieses Verfahrens wird ein Programm (2FA App) benötigt, dass auf Grundlage des geheimen Schlüssels diese Einmalschlüssel erstellt. Die Nutzung der Programme ist kinderleicht. Der Dienste-Anbieter zeigt in den Sicherheitseinstellungen einen QR-Code an, der mit der 2FA-App gescannt werden kann. Dieser QR-Code enthält typischerweise die Domain des Dienste-Anbieters, die E-Mail-Adresse des Benutzers und den zur Generierung der Einmal-Passwörter notwendigen geheimen Sicherheitsschlüssel.
Fast alle Dienste-Anbieter, die die Zwei-Faktor-Authentifizierung unterstützen, verwenden denselben Algorithmus. Daher kann der Benutzer unter einer Vielzahl von Apps diejenige auswählen, die ihm persönlich am besten gefällt. Meine persönlichen Favoriten finden Sie in den folgenden Absätzen.
Alle der unten genannten Apps sind kostenlos erhältlich.
Google Authenticator
Der Google Authenticator ist die wohl einfachste unter den zahlreichen 2FA-Apps. Die App hat keinerlei Einstellungen und erlaubt das Hinzufügen und Löschen von Diensten. Das macht die Anwendung sehr einfach bedienbar, erweiterte Funktionen sucht der Anwender allerdings vergeblich.
Unterstützte Plattformen: Android, iOS
Duo Mobile
Auch Duo Mobile ist äußerst benutzerfreundlich, minimalistisch und frei von zusätzlichen Einstellungen. Der Vorteil gegenüber Google Authenticator liegt darin, dass Codes standardmäßig verborgen sind. Der jeweilige Code wird erst nach Antippen des jeweiligen Dienstes angezeigt, eine Einsicht durch Dritte wird damit erschwert.
Unterstützte Plattformen: Android, iOS
Microsoft Authenticator
Der Authenticator von Microsoft verfolgt ebenfalls einen recht minimalistischen Ansatz. Wie bei Duo Mobile können Codes verborgen werden, allerdings kann die Einstellung für jeden Dienst einzeln festgelegt werden. Hauptsächlich ist die App allerdings aufgrund der vereinfachten Anmeldung für Anwender von Microsoft-Diensten interessant.
Unterstützte Plattformen: Android, iOS
FreeOTP
Die App ist hauptsächlich deswegen interessant, weil sie extrem klein ist und weil sie Backup-Funktionen (über Google Drive oder Android ab 6.0) anbietet. Außerdem werden Codes standardmäßig verborgen.
Unterstützte Plattformen: Android, iOS
Authy
Authy ist gewissermaßen das Schweizer Taschenmesser unter den 2FA-Apps. Denn die App speichert alle Daten in der Cloud. Dadurch steht zum einen für Notfälle ein Backup der Daten zur Verfügung, zum anderen lässt sich die App mit den gleichen Daten auf mehreren Geräten gleichzeitig verwenden. Dadurch ist natürlich auch die Migration der Daten auf ein neues Endgerät problemlos möglich.
Im Gegensatz zu anderen Apps gibt es Authy nicht nur für Smartphones unter Android und iOS, sondern auch als Anwendung für Windows und MacOS und als Erweiterung für Google Chrome. Die Daten sind zwischen den verschiedenen Versionen austauschbar.
Bezüglich der Sicherheit tut der Hersteller einiges. Alle gespeicherten Informationen werden mithilfe eines vom Benutzer zu vergebenden Master-Passworts verschlüsselt. Die Verschlüsselung erfolgt auf dem jeweiligen Endgerät, weder unverschlüsselte Daten noch das Master-Passwort selbst werden in der Cloud gespeichert. Da die Einmalcodes direkt auf dem jeweiligen Endgerät generiert werden, ist zur Nutzung der App keine Internet-Verbindung notwendig (zum Speichern der Daten in der Cloud aber natürlich schon).
Die App selbst lässt sich auf dem Smartphone sowohl mit einer PIN als auch, falls das Smartphone den entsprechenden Scanner bietet, einem Fingerabdruck schützen. Die Versionen für Google Chrome, Windows und MacOS lassen sich so einrichten, das zum Öffnen der Anwendung das Master-Passwort eingegeben werden muss.
Zur Nutzung von Authy muss ein Benutzerkonto eingerichtet werden, dass mit der Mobiltelefonnummer des Benutzers verknüpft ist. Ohne die Einrichtung eines solchen Kontos ist die App nicht funktionsfähig.
Besonders sicherheitsbewusste Benutzer können übrigens sowohl die Backup- als auch die Mehrgeräte-Funktionalität abschalten. In diesem Fall werden alle Daten ausschließlich auf dem Endgerät selbst gespeichert, eine Speicherung von Daten in der Cloud findet nicht statt. Ohne diese Datenspeicherung in der Cloud sind natürlich weder Backups noch der Datenzugriff durch mehrere Endgeräte möglich.
Unterstützte Plattformen: Android, iOS, Windows, MacOS, Chrome
Yandex.Key
Der russische Suchmaschinen-Betreiber Yandex bietet mit Yandex.Key eine eigene 2FA-App an, die einen zweiten Blick durchaus lohnt. Denn Yandex.Key kann, wie sonst nur Authy, ein Backup der Daten in der Cloud speichern.
Grundsätzlich lässt sich die App ohne Registrierung verwendet werden und lässt sich dann ebenso einfach wie der Google Authenticator verwenden. Aber sie bietet bei Bedarf einige zusätzliche Funktionen, die man sonst nur bei wenigen 2FA-Apps findet.
Zum einen lässt sich die App per PIN oder Fingerabdruck (sofern das Smartphone dies unterstützt) schützen. Zum anderen bietet die App die Möglichkeit an, ein Backup der Daten in der herstellereigenen Cloud zu speichern. Dazu muss allerdings ein Benutzerkonto erstellt werden, dass der Mobiltelefonnummer des Benutzers zugeordnet wird. Die Daten werden wie bei Authy mithilfe eines Master-Passworts verschlüsselt und nur in verschlüsselter Form übertragen und gespeichert.
Die App lässt sich nach Herstellerangaben auch gleichzeitig auf mehreren Endgeräten betreiben, allerdings bietet Yandex keine Desktop-Version für Windows oder MacOS an, als Endgeräte werden ausschließlich Smartphones unter Android oder iOS unterstützt.
Unterstützte Plattformen: Android, iOS
2FA durch Hardware
Im Hardware-Bereich gibt es einige unterschiedliche Ansätze, mit denen die Sicherheit bei der Anmeldung verbessert werden kann. Allen gemeinsam ist, dass der Dienste-Anbieter die Authentifizierung durch die gewünschte Hardware unterstützen muss.
Fingerabdruck-Scanner
Mittlerweile sind Fingerabdruck-Scanner auch in preisgünstigen Smartphones der unteren Mittelklasse für knapp über 100 Euro (z.B. im LG K40 für aktuell € 109,99 bei Saturn und Media Markt) angekommen, bei Smartphones der Mittelklasse ab ungefähr € 170 sollte ein solcher Scanner eigentlich immer vorhanden sein (ein aktuelles Beispiel wäre das Xiaomi Redmi Note 8T, das es momentan bei Amazon für € 167 gibt).
Da glücklicherweise immer mehr Apps den Fingerabdruck zur Identifizierung nutzen können (entweder allein oder zusätzlich zum Passwort), sollte man beim Neukauf eines Smartphones auf das Vorhandensein eines Fingerabdruck-Scanners gesteigerten Wert legen. Denn gerade im Bereich des Online-Bankings lässt sich die Sicherheit dadurch deutlich erhöhen.
Anmeldeschutz für PC und Notebook
Fingerabdruck-Scanner lassen sich übrigens auch ganz hervorragend als zusätzliche Sicherheits-Schranke für PCs und Notebooks verwenden. Nutzer von Apple-Geräten mit Touch Bar (MacBook Pro und MacBook Air) und Nutzer vieler (auch älterer) Business-Notebooks kennen solche Systeme bereits und melden sich schon seit langem per Fingerabdruck an.
Nutzer von Windows 10 in der 64-Bit-Version können (ausreichende Hardware vorausgesetzt) die Anmeldeoptionen des biometrischen Authentifizierungssystems Windows Hello nutzen. Zusammen mit einem passenden USB-Fingerabdruck-Scanner (beispielsweise hier bei Amazon ab knapp über € 20) lässt sich ein Windows-Rechner sehr einfach auf die Anmeldung per Fingerabdruck umrüsten.
Ob sich ein Windows-PC für die biometrische Anmeldung überhaupt eignet, lässt sich übrigens sehr leicht feststellen. Die Tastenkombination aus der Windows-Taste und dem Buchstaben „i“ öffnet das Einstellungsfenster. Im Bereich „Konten“ findet sich in der Gruppe „Anmeldoptionen“ ein Abschnitt „Windows Hello“. Wenn hier Optionen zur Einstellung von Gesichtserkennung und Fingerabdruck erscheinen, ist der PC zur Nutzung von Windows Hello geeignet. Andernfalls erscheint hier die Meldung „Windows Hello ist auf diesem Gerät nicht verfügbar“.
Gesichtserkennung
Da die Gesichtserkennung (Face ID) auf Smartphones immer mehr zum Standard wird, greifen mittlerweile auch erste Dienste-Anbieter auf diese Möglichkeit der Authentifizierung zurück. Momentan scheint den meisten Anbietern die Gesichtserkennung aber ganz offensichtlich noch nicht ausgereift genug zu sein.
Aber man kann wohl davon ausgehen, dass sich die Technologie schnell weiterentwickelt und in absehbarer Zeit hinreichend zuverlässig funktionieren dürfte. Die Dienste-Anbieter dürften dann relativ schnell nachziehen und entsprechende Updates anbieten.
Andere biometrische Identifikationsverfahren
In sicherheitskritischen Umgebungen werden neben Fingerbadruck- und Gesichts-Erkennung auch noch andere biometrische Verfahren wie Sprachanalyse, Iris-Scan, Gangart-Erkennung, Handgeometrie-Scan oder Unterschriftsdynamik-Erkennung eingesetzt.
Allen gemeinsam ist, dass die dafür notwendige Hard- und Software recht kostspielig ist. Daher dürfte der normale Anwender kaum jemals mit solchen Technologien in Berührung kommen.
U2F-Sicherheitsschlüssel
Sicherheits-Spezialisten raten vielfach zu USB-Sicherheitsschlüsseln, die auf dem sogenannten U2F-Standard (U2F steht für Universal 2nd Factor) der FIDO-Allianz basieren. Der Standard wird von großen Anbietern wie beispielsweise Google, Microsoft, Facebook, Twitter, Dropbox und YouTube und den Webbrowsern Chrome, Firefox, Edge, Opera und Safari unterstützt.
Aus Sicht eines Benutzers funktioniert das Ganze sehr einfach. Der U2F-Schlüssel muss lediglich mit dem zur Anmeldung verwendeten Gerät verbunden und im gewünschten Dienst registriert werden. Ab diesem Moment ist die Nutzung des Dienstes nicht mehr möglich, wenn der USF-Schlüssel nicht mit dem Gerät verbunden ist.
Die U2F-Schlüssel gibt es in verschiedenen Varianten. Der bekannteste dürfte der USB-Schlüssel der schwedischen Firma Yubico sein, für Smartphones gibt es daneben eine NFC-Variante des Schlüssels. Aber auch andere Anbieter produzieren U2F-Schlüssel, teilweise auch mit zusätzlichen Sicherheitsfunktionen. Eine Suche auf Amazon fördert schnell mehr als 100 Möglichkeiten zutage.
An dieser Stelle ist allerdings meiner Meinung nach eine deutliche Warnung angebracht. Denn die Technik selbst ist zwar ausgereift, die Umsetzung durch die Dienste vielfach aber sehr mangelhaft und mit viel Aufwand verbunden. Die Nutzung als zusätzliches Sicherheitselement bei der Anmeldung an Windows oder auf einem Android-Smartphone ist noch relativ einfach realisierbar und recht gut dokumentiert.
Auch einige Online-Dienste wie Google, Facebook, YouTube oder Twitter unterstützen die Einbindung von U2F-Sicherheitsschlüsseln ziemlich problemlos. Allerdings funktioniert das System nicht unbedingt mit jedem Browser, nach meinen Erfahrungen sind Chrome und Firefox wohl am besten geeignet. Leider bieten aber die weitaus meisten Dienste-Anbieter keine Einbindung von U2F-Sicherheitsschlüsseln an.
Insofern stellt sich die Frage, in welchen Fällen ein solcher Sicherheitsschlüssel überhaupt sinnvoll ist. Die Anmeldung auf einem PC oder einem Smartphone lässt sich mit einem Fingerabdruck-Scanner vermutlich ebenso sicher gestalten. Und eine 2-Faktor-Authentifizierung über einen Code-Generator sollte bei einer so abgesicherten Anmeldung am Gerät von der Sicherheit her ebenfalls in den allermeisten Fällen ausreichend sein und wird auch von erheblich mehr Dienste-Anbietern unterstützt.
Daher macht die Nutzung eines U2F-Sicherheitsschlüssels mit allen damit einhergehenden Einschränkungen wohl nur in Fällen Sinn, in denen aufgrund der Tätigkeit des Benutzers tatsächlich ein erhöhtes Sicherheits-Risiko besteht. Google selbst scheint das übrigens ähnlich zu sehen und wendet sich mit seinen Funktionen zur erweiterten Sicherheit klar an Nutzer, die der Gefahr zielgerichteter Onlineangriffe ausgesetzt sind.
Proprietäre Sicherheits-Hardware
Neben den standardisierten Verfahren wie U2F gibt es im Alltagsgebrauch noch eine schier unüberschaubare Menge an herstellereigenen Sicherheitsschlüsseln (Security Token), die für eine Vielzahl von Aufgaben genutzt werden.
Dazu gehören unter anderem
- bankeigene Code-Generatoren zum Kontenzugriff via Online-Banking
- Schlüsselkarten zur Anmeldung an Arbeitsplatzrechnern und Netzwerken
- Verschlüsselungskarten zur Daten- und E-Mail-Verschlüsselung
- Karten und Transponderschlüssel (Badges) zur Zugangskontrolle
- Elektronisch lesbare Mitarbeiterausweise zur Zeiterfassung
- SIM-Karten für verschiedene Zwecke, beispielsweise für Mobiltelefone, als Pay-TV-Karte, als Bank- oder Kreditkarte, als Krankenversicherungskarte oder Kundenkarte
- Fahrkarten und Eintrittskarten
Vielfach werden für solche Aufgaben spezielle Chipkarten eingesetzt, manchmal sind es einfache Magnetkarten und in einigen Fällen auch elektronische Geräte mit eigenem Gehäuse (beispielsweise Transponder in der Zugangskontrolle). Die von Banken genutzten Code-Generatoren funktionieren prinzipiell ganz ähnlich wie ein Code-Generator-App, nur das hier der Code von einem eigenen kleinen Gerät errechnet und angezeigt wird.
Gemeinsam ist allen diesen Sicherheitsschlüsseln, dass sie im Gegensatz zu einer offenen Lösung wie U2F auf eine herstellereigene Lösung setzen. Das Ziel ist dabei meistens die Schaffung geschlossener Systeme, die nur mit den eigenen Komponenten arbeiten. Die Hersteller können hier zumindest teilweise die Konkurrenz ausschließen und ihre Kunden langfristig an die eigenen Komponenten zu binden versuchen. Unglücklicherweise können solche „Insellösungen“ auf Dauer ganz gehörige Probleme verursachen. Nämlich dann, wenn Modernisierungen vernachlässigt werden und unterschiedliche Systeme aufgrund fehlender Schnittstellen nicht vernünftig zusammenarbeiten.
Glücklicherweise nutzen aber gerade im Sicherheitsbereich immer mehr Hersteller offene Standards für ihre Produkte, wenn auch teilweise nur auf erheblichen Druck der Kunden.
Fazit
Im Sicherheitsbereich gibt es die eine beste Lösung sicherlich nicht. Dafür hängt zu viel vom persönlichen Anforderungsprofil des Benutzers ab.
Einmalpasswörter per SMS
Grundsätzlich sollte soweit wie irgend möglich auf per SMS versandte Einmalpasswörter verzichtet werden. Leider sind aber gerade Unternehmen aus der Finanzbranche vielfach notorisch konservativ und bieten nahezu ausschließlich die Authentifizierung per SMS an. Aber auch in der Branche setzt so langsam ein Umdenken ein.
Sicheres Anmeldung für Endgeräte
Gerade bei Endgeräten, zu denen Dritte Zugang haben oder haben könnten, ist ein sicheres Anmeldeverfahren (beispielsweise per Fingerabdruck) sehr wichtig. Ein Endgerät sollte darüber hinaus niemals entsperrt für einen Dritten zugänglich sein.
Die Zwei-Faktor-Authentifizierung
Ist erst einmal ein sicheres Anmeldeverfahren auf allen Endgeräten installiert, sollten möglichst viele Online-Dienste durch eine Zwei-Faktor-Authentifizierung abgesichert werden. Bei den meisten größeren Diensten dürfte das mittlerweile durch Code-Generatoren machbar sein, im Zweifelsfall ist eine Absicherung per SMS-Code immer noch besser als gar keine Absicherung.
Absicherung des Passwort-Managers
Am wichtigsten ist hierbei auf jeden Fall die Absicherung des Passwort-Mangers selbst. Falls die Daten in der Cloud gespeichert werden, ist das Passwort für diesen Dienst mit besonderer Sorgfalt zu wählen und sollte immer mittels Zwei-Faktor-Authentifizierung zusätzlich gesichert werden. Aber auch in diesem Fall sollte eine Absicherung per Code-Generator-App in den allermeisten Fällen eine genügend hohe Sicherheit bieten.
Auf die Anmeldung bei einem Dienst zum Passwort-Management (dazu gehört auch das Google-Konto, wenn es als Passwort-Manager genutzt wird) auf fremden Rechnern (beispielsweise im Business-Center eines Hotels) sollte immer verzichtet werden. Das eigene Smartphone oder der eigene Laptop sind hier die weitaus sichereren Alternativen.
Rechner mit Zugriff durch dritte Personen
Falls ständig auf Rechnern gearbeitet werden muss, auf die auch dritte Personen Zugriff haben, und auf den Einsatz des Passwort-Managers nicht verzichtet werden kann, ist die Situation etwas problematischer. Selbst in diesen Fällen sollte eine Zwei-Faktor-Authentifizierung per Code-Generator auf einem Smartphone ausreichende Sicherheit bieten. Allerdings sollten in einem solchen Fall alle auf diesem Computer aufgerufenen Online-Dienste mit einer Zwei-Faktor-Authentifizierung abgesichert werden, um die Risiken möglichst gering zu halten
U2F-Sicherheitsschlüssel
Die Absicherung durch einen U2F-Sicherheitsschlüssel würde ich persönlich nur in Fällen in Erwägung ziehen, in denen ein echtes Risiko eines gezielten Online-Angriffs besteht. Berufsbedingt könnte das beispielsweise bei Journalisten, Aktivisten, Wirtschaftsführern und Politikern der Fall sein. Hier dürfte es allerdings in den allermeisten Fällen sowieso schon eine Sicherheits-Richtlinie des Unternehmens oder der Behörde oder sogar speziell gesicherte Endgeräte geben. Der jeweilige Benutzer dürfte auf diese Sicherheits-Vorkehrungen im Allgemeinen nur einen sehr geringen Einfluss haben.
Mir ist natürlich bewusst, dass das oben gesagte eher banal klingt. Aber wenn selbst das vermutlich sehr gut abgesicherte Smartphone des Amazon-Chefs Jeff Bezos noch Mitte 2018 gehackt werden konnte (vermutlich durch eine WhatsApp-Nachricht), ist der Hinweis auf aktuelle Antiviren-Programme und erhöhte Sicherheitsvorkehrungen wohl doch nicht ganz so banal.
Risiko durch Spionageprogramme
Außerdem gibt es Firmen wie die israelische NSO Group, die eine Spionage-Software namens Pegasus herstellt. Dieses Schadprogramm läuft sowohl auf iPhones wie auf Android-Smartphones und kann neben seinen Abhörfunktionen auch auf gespeicherte Passwörter (auch in der Cloud) zugreifen. Laut einem Bericht der Financial Times vom Juli 2019 kopiert Pegasus auch die Authentifizierungsschlüssel für mit dem Smartphone verbundene Cloud-Speicher und kann deswegen auch nach seiner Entfernung vom Smartphone noch auf diese Speicher zugreifen. WhatsApp und dessen Muttergesellschaft Facebook haben am 29. Oktober 2019 eine Klage gegen die NSO Group eingereicht, in der dieser die bewusste Infektion von 1.400 Smartphones durch Ausnutzen einer Sicherheitslücke in WhatsApp vorgeworfen wird.
Und Pegasus ist längst nicht die einzige Spionagesoftware im Umlauf. Weiter oben im Artikel finden sich bei Interesse einige weitere Alternativen, die frei verfügbar sind und millionenfach genutzt werden.
Antiviren-Software
Auch Nachrichten wie diese liefern immer wieder gute Gründe dafür, seine eigenen Endgeräte ständig aktualisiert zu halten und eine möglichst aktuelle Antiviren-Software zu benutzen. Der ständigen Aktualisierung der Software kommt dabei eine tragende Bedeutung zu. Das unabhängige deutsche Forschungsinstitut AV-Test schätzt die Zahl der täglich neu erscheinenden Schadprogramme auf über 350.000. Hier werden allerdings recht werbewirksam sogenannte „Unique Samples“ gezählt, die auch tatsächlich alle in den Virus-Datenbanken hinterlegt werden müssen. Aber selbst einige tausend wirklich neue Bedrohungen pro Jahr rechtfertigen mit Sicherheit den Einsatz einer Antiviren-Software und deren ständiges Update.
Der Preis der Sicherheit
Glücklicherweise lassen sich moderne PCs und Smartphones recht kostengünstig absichern. Mit einem Fingerabdruck-Scanner für den PC lässt sich die Anmeldesicherheit erheblich erhöhen. Und das auch noch recht preiswert, denn diese Geräte gibt es bereits ab knapp über 20 Euro (beispielsweise hier bei Amazon).
Mithilfe von Code-Generatoren lässt sich bei vielen Online-Diensten eine Zwei-Faktor-Authentifizierung einrichten. Und das Ganze ist sogar völlig kostenlos. Die Dienste-Anbieter bieten die Einrichtung kostenlos an, und die Apps zur Generierung der Einmal-Codes (siehe weiter oben) sind ebenfalls kostenlos erhältlich.
Auch eine Antiviren-Software lässt sich durchaus kostenlos installieren, Avira und AVG bieten beispielsweise kostenlose Versionen ihrer Antiviren-Programme an. Allerdings ist der Funktionsumfang dieser kostenlosen Versionen doch sehr begrenzt. Für einen kompletten Schutz sollte man sich eher für eine kostenpflichtige Vollversion einer guten Antiviren-Software entscheiden. Erst dann sind auch tatsächlich alle benötigten Funktionen vorhanden.
Die Preise liegen je nach Anbieter zwischen 60 und 100 Euro pro Jahr. Für diesen Preis kann die Software auf mehreren Endgeräten (PCs und Smartphones) eines privaten Haushalts installiert werden, die meisten Hersteller lassen die Installation auf 5 bis 10 Geräten zu. Ein Vergleich der verschiedenen Programme würde den Kontext dieses Artikels sprengen, im Internet sind aber hunderte von Vergleichen und Tests verfügbar.
Die bekannten Antivirus-Programme der großen Hersteller unterscheiden sich in ihren Leistungen mittlerweile nur noch marginal, die Auswahl wird also eher zu einer Frage des persönlichen Geschmacks und eventueller zusätzlicher Funktionen. Ich persönlich nutze übrigens die Vollversion von AVG Antivirus (Ultimate), die sich für 80 Euro pro Jahr auf beliebig vielen privat genutzten Endgeräten installieren lässt. Aber wie gesagt ist das eher eine Frage des persönlichen Geschmacks.
Great content! Super high-quality! Keep it up! 🙂