Mehrfaktorauthentisierung: Dropbox, Google, Amazon AWS

Wie schützen wir unsere Daten? In sehr vielen Fällen verlassen wir uns ausschliesslich darauf, dass nur der rechtmässige Besitzer ein bestimmtes Passwort kennt oder in Kenntnis bringen kann. Das ist die einzige Hürde. Genau so verhält es sich auch bei diesem Blog. Die grosse Verbreitung darf aber nicht darüber hinwegtäuschen, dass dieses Verfahren wohlbekannte Schwächen aufweist: Mit Methoden des Phishing geraten tagtäglich Passwörter in falsche Hände oder werden mit Wörterbuchangriffen erfolgreich erraten. Reine Angstmache? Ich empfehle diesen Artikel zu lesen und danach zu neu zu urteilen…

Viele Dienste – z.B. Onlinebanking – verlangen deshalb zusätzliche Schutzmechanismen, die nicht nur darauf beruhen etwas zu wissen (das wäre der erste Faktor), sondern etwas zu besitzen (der zweite Faktor). Eine beliebte Methode einer solchen Mehrfaktorauthentisierung besteht darin nebst dem Passwort einen zusätzlichen Code zu verlangenh, den man bei jedem Loginvorgang erneut per SMS auf das persönliche Mobiltelefon erhält oder der von einer App auf dem Smartphone generiert wird. Fazit: Nur wer das richtige Mobiltelefon im Zugriff hat, kennt diesen zusätzlichen Code. Bei einigen Diensten stehen solche zusätzlichen Schutzmechanismen auf freiwilliger Basis zur Verfügung.

Von dieser freiwilligen Möglichkeit der Mehrfaktorauthentisierung Gebrauch gemacht habe ich bei meinen Online Konti von Dropbox, Google und Amazon AWS. Praktischerweise verwenden alle diese Dienste die gleiche Authentisierungsmethode und ich kann die zusätzlichen Codes mit der gleichen App auf dem Smartphone generieren. Ich verwende hierfür die App «Google Authenticator«. Die Aktivierung der Mehrfaktorauthentisierung ist bei allen diesen Diensten gut dokumentiert (Google, Dropbox, Amazon AWS) und verläuft recht problemlos. Der wesentlichste Schritt ist bei allen diesen Diensten gleich: Mit dem Smartphone einen auf dem Bildschirm angezeigten QR-Code einscannen und damit die App initialisieren. Zudem gibt es noch etwas Vorbereitungsarbeiten, damit man sich beim Verlust des Smarphones nicht definitiv aussperrt und sich von seinen Daten verabschieden muss. Darauf komm ich noch zurück. Geschafft: nun muss beim Login immer ein 6-stelliger zusätzlicher Code eingegeben werden, den in meinem Fall die «Google Authenticator» App anzeigt.

Aber was passiert, wenn man sein Smartphone verliert? Ich hab meines zwar nicht verloren, aber die «Google Authenticator» App bei einem «Factory Reset» meines Smartphones seiner Daten beraubt. Aus, Amen. Und nun Kurzzusammenfassungen meiner Erfahrungen mit diesen drei Diensten, inklusive der Wiederherstellung des Zugriffs:

• Google Konto: Der Zugriff auf die Daten bei Google kann auf vielfältige Weise erfolgen. Nebst dem Zugriff mit Hilfe des Browsers greifen auch diverse Apps und Programme auf die dort hinterlegten Daten mit dem selben Passwort zu. Nicht in allen Fällen ist die Eingabe eines zusätzlichen Codes vernünftig handhabbar oder das Programm ist nicht in der Lage diesen einzufordern. Solche Apps und Programme verlieren beim Einschalten der Mehrfaktorauthentisierung den Zugriff und müssen gezielt wieder freigeschaltet werden. Sie erhalten dann ein neues Passwort zugeteilt. Dieser Aufwand ist nicht ganz unbeträchtlich.
  Für den Verlust des Smartphones wappnet man sich, indem sogenannte Zusatzcodes bereitgestellt werden, die man am besten in Kreditkartengrösse ausdruckt und ins Portemonnaie legt. Mit einem dieser Codes war ich in der Lage nach dem «Factory Reset» im Konto einzuloggen, die Mehrfaktorauthentisierung zu deaktivieren und die neu installierte  «Google Authenticator» App wieder zu initialisieren.
• Dropbox: Einschalten der Mehrfaktorauthentisierung verläuft problemlos. Einen speziellen Rücksetzcode erhält man beim Einschalten, diesen muss man sicher hinterlegen. Mit dessen Hilfe konnte ich die Mehrfaktorauthentisierung deaktivieren und darauf das Einschaltprozedere erneut durchlaufen.
• Amazon AWS: Leider gilt die Mehrfaktorauthentisierung nur für das AWS-Konto (Cloud-Dienste von Amazon) und nicht für das «normale» Amazon Konto mit dem gleichen Passwort (Büchershop, etc.). Vermutlich bestehen Ängste betreffend Usability. Die Beschreibung fällt etwas technischer aus als bei den anderen Diensten, aber das passt gut zur technischen Natur der Cloud-Dienste.
  Nach dem «Factory Reset» meines Smartphones musste ich telefonisch an den Support gelangen und die Mehrfaktorauthentisierung ausschalten lassen. Dazu benötigte ich die Angabe der Mailadresse, Postadresse und Teile der Kreditkartennummer. Das sind alles Angaben, die im «normalen» Amazon-Konto ohne Zusatzcodes einsehbar sind, wenn man das Passwort kennt. Als einziges zusätzliches Merkmal musste ich eine Nummer nennen, die mir beim Aktivieren des AWS-Kontos per Mail mitgeteilt wurde.

Fazit

Zusätzliche Sicherheit hat ihren Preis. Mehrfaktorauthentisierung verbessert die Sicherheit, einiger Aufwand entsteht einmalig beim Einschalten, bei der Nutzung ist der Mehraufwand gering und die Usability ist insgesamt recht gut. Insbesondere sollte man den Zugriff auf die eigenen Mailkonti schützen: diese werden häufig für Passwort-Resets bei «normalen Diensten» benötigt, oder – wie im Fall Amazon AWS – auch für Resets bei Mehrfaktorauthentifizierung. Ich finde die zusätzliche Sicherheit rechtfertigt den zusätzlichen Aufwand und ich behalte die Mehrfaktorauthentisierung bei.