Sicherheit mit AuA (Authentifizierungs-App) am Beipiel von Paypal.
2FA, also 2-Faktoren-Authentifizierung, bedeutet, dass neben Benutzername und Passwort noch ein weiterer Faktor, zum Beispiel SMS, E-Mail oder App hinzukommt. SMS und E-Mail sind nur bedingt sicher, deswegen habe ich mich für die AuA entschieden.
Nach dem Einloggen bei Paypal öffnet ein Klick auf das Zahnrad rechts oben meine Profilseite. Einmal kurz die Angaben zu Wohnort, E-Mail und Telefon überprüfen, dann geht es im Reiter weiter zu Sicherheit.
Dort gibt es den Punkt „Zweistufige Verifizierung“, der nach einem Klick die Wahl zwischen SMS und Authentifizerungs-App bietet.
Für meinen Yubikey gibt es eine Authentifizierungs-App, die den angezeigte QR-Code inlusive Webseitenname und E-Mailadresse ausliest, eine Sache von Sekunden, wenn da nicht die Sicherheit der Sicherheit ins Spiel kommen würde.
Nachzuweisen, dass der Account tatsächlich mir gehört kann deutlich aufwändiger sein, als eine gute Vorbereitung und Sicherung aller notwendigen Daten, deswegen etwas Hintergrundwissen:
Der QR-Code enthält eine Zeichefolge (Schlüssel), die in der Regel als Buchstaben/Zahlenkombination unter dem maschinenlesbaren Bild angezeigt wird.
Auf Grundlage dieses Schlüssels, in diesem Fall „ABCD 1234 EFGH 5678“ (es geht aber auch z.B. „VMRT B442 RTZ7 FL3X“) berechnet die Authentifizierungs-App die sechsstellige PIN, die für die Anmeldung erforderlich ist und sich alle 30 Sekunden ändert.
Anders gesagt: Habe ich diesen Schlüssel, kann ich beliebige Authentifizierungs-Apps für meine Zugang einrichten, die dann alle eine gültige PIN erzeugen. Das bedeutet: Habe ich den Schlüssel gespeichert, kann der USB-Stick kaputtgehen oder das Handy ins Klo fallen. Das bedeutet auch: Der Schlüssel muss in den Hochsicherheitstrakt.
Ich benutze dafür KeePass und darin einen eigenen Ordner für die Schlüssel der Webseiten. Ein Passwortverwaltungsprogramm ist die erste Wahl für die unzähligen verschiedenen (!) Passwörter und in meinem Fall auch für die unterschiedlichen E-Mailadressen, denn jede Webseite bekommt ihre eigene E-Mail, so dass ich Betrug leichter erkennen kann, wenn die (falsche) Sicherheitswarnung für Paypal an die E-Mailadresse von Adobe geschickt wird.
Bei KeePass werden auch die Antworten auf die Sicherheitsfragen der verschiedenen Webseiten gespeichert, denn der Name meiner ersten Schule war „hEcqbueQsiXQ7zWyW4Vp“.
Die Datenbank von Keypass verschlüssele ich mit einem Passwort und nicht mit dem Stick, denn wenn ich nicht mehr auf die Datenbank zugrifen kann dann gilt: „Yousa in Big Doo Doo Dis Time!“. Zusätzlich wird die Datenbank regelmäßig gesichert.
Eine Frage bleibt: Warum ein 5-Gänge-Menue kochen, wenn man auch eine Tiefkühllasagne in die Mirkrowelle werfen kann? Lohnt sich der ganze Aufwand?
Auf alle Fälle, denn: Wenn jemand in meinem Namen für 8000,- Euro mit Paypal bezahlt, muss ich nachweisen, dass ich es nicht (!) war. Wenn mir das nicht gelingt, muss ich 8000,- Euro zahlen, denn es war ja mein Account.
(Wer möchte und sehr viel Zeit hat kann ja mal versuchen (ohne eingeloggt zu sein), das Kontaktformular zu finden, das benötigt wird, wenn man kein Paypal-Konto hat, aber jemand anderes gerade darauf eine Pizza bestellt hat.)
Ja, der Aufwand nervt. Anmelden im Web geht auch viel einfacher und schneller mit FIDO2 bzw. Webauthn. Dabei ist der USB-Stick der zentrale Bestandteil, denn die Anmeldung wird quasi „auf dem Stick“ durchgeführt, ich muss nur meinen Benutzername eingeben und auf den USB-Stick tippen und fertig.
Leider bieten nur wenige Seiten das an, obwohl es fertige Lösungen gibt, die relativ schnell in die eigene Webseite eingebaut werden können.