Diese Webseite enthält Informationen zu Thema Zwei-Faktor-Authentifizierung (2-Step Authentication), die in Kurzform auch als "2FA" bezeichnet wird.

News zum Them Zwei-Faktor-Authentifizierung

Das Git-Repositorien von Kernel.org wird sicherer mit Zwei-Faktor-Authentifizierung (2FA)

Auf dem Linux Kernel Summit 2014 in Chicago wurden von der Linux Foundation einhundert Yubikeys (von Yubico) an Entwickler des Kernels verteilt. Die Yubikeys wurden von der Firma Yubico vorab gespendet. Aktuell sind bereits die Mainline- und Stable-Repositorien per Zwei-Faktor-Authentifizierung (2FA) gesichert. Nun plant die Foundation die Sicherheit der Entwicklerarchive zu erhöhen, in dem sie durch die Zwei-Faktor-Authentifizierung (2FA) per Yubikey gesteigert wird. Die Yubikeys die an die Developer verteilt wurden, sind als USB basierter Hardware-Token eines Zwei-Faktor-Authentifizierungsmechanismus zu betrachten. Weiterhin unterstützt Yubikey das HOTP-Verfahren, das von der Linux-Foundation zu Erhöhung des Schutzes eingesetzt wird.. Dieser Mechanismus ist nun bei http://www.kernel.org in Verwendung und wurde mit dem Verwaltungswerkzeug für Repositorien Gitolite kombiniert, so dass eine Authentifizierung per IP-Adresse ohne zusätzlich händische Eingaben über eine Dauer von 24 Stunden und bis hin zu 30 Tagen möglich ist.

Zwei-Faktor-Authentifizierung (2FA) bei kernel.org

(Datum 19.08.2014)

------------------------------------------------------------------------------------------------

Zwei-Faktor-Authentifizierung (2FA) von PayPal-Konten (PayPal-Accounts) ausgehebelt

Mit einer Zwei-Faktor-Authentifizierung lässt sich ein Benutzerkonto zusätzlich sichern. PayPal gehört zu den Anbietern, die diese Sicherheitsfunktion ihren Usern zur Verfügung stellen. Die Experten des Sicherheitsanbieters Duo Security haben die Zwei-Faktor-Authentifizierung von PayPal-Konten umgangen und damit den dadurch versprochenen zusätzlichen Schutz des jeweiligen PayPal-Kontos ausgehebelt. Der als "Sicherheitsschlüssel" bezeichnet 2-Faktor-Authentifizierung-Mechanismus von PayPal ermöglicht Usern zwei unterschiedliche Nutzungsvarianten, um die Sicherheit der Authentifizierung deutlich zu erhöhen. Bei der ersten Variante wird dem User per SMS eine PIN zugesendet, die er dann neben seinen eigentlichen Zugangsdaten (Nutzerdaten-Passwort-Kombination) eingeben muss. Bei der zweiten Umsetzungsvariante nutzt der User ein von PayPal bereitgestellten Hardwaretoken (Kreditkartenformat) als zweiten Faktor, neben seinen üblichen Zugangsdaten (Nutzer-Passwort-Kombination). Die Experten von Duo Security haben den zweiten Faktor umgangen, in dem sie eine Schachstelle der API für den Webdienst ausnutzten, der von der offiziellen PayPal-App, anderen Apps und angebundenen Händlersystemen genutzt wird. Die erkannte Sicherheitslücke wurde umgehend an PayPal weitergegeben und geschlossen, aktuelle wird an einer dauerhaften Lösung der Sicherheitslücke gearbeitet. Wichtig ist, dass aktuelle für normale PayPal-Konten (User-Accounts) keine Gefahr besteht.

(Datum 29.07.2014)

------------------------------------------------------------------------------------------------

Firefox Accounts (Sync) mit Zwei-Faktor-Authentifizierung (2FA)

Mit dem Update von Firefox auf Version 29 wurden von Mozilla Firefox-Accounts sowie ein neues Sync eingeführt, welches auf besagten Firefox-Accounts als Authentifizierungsgrundlage basiert. Zukünftig soll per Zwei-Faktor-Authentifizierung-Mechanismus die Sicherheit der Anwendung noch einmal deutlich gesteigert. Hierbei wird die 2FA nur als optionale Möglichkeit dem Nutzer angeboten, so dass er selber wählen kann, ob er seinen Firefox-Zugang per zusätzliche Sicherheitsabfrage schützen möchte. Dabei werden zwei Umsetzungsvarianten angedacht. Falls der Nutzer sich für eine 2FA bei Firefox entscheidet und dieses Zusatzfunktion aktiviert, hat er die Auswahl, wie ihm der zusätzlich einzugebende Code übermittelt werden soll. So kann der Nutzer zeitbasierte Einmalpasswörter verwenden oder sich den Sicherheitscode per SMS zusenden lassen.

(Datum 26.05.2014)

------------------------------------------------------------------------------------------------

Twitter sichert die Accounts Zwei-Faktor-Authentifizierung (2FA) ab

Twitter führt ebenso zur Steigerung der Sicherheit einen Zwei-Faktor-Authentifizierungs-Mechanismus ein, dern Twitter Login Verification nennt. Aktuell steht dieser Service allerdings noch nicht für deutsche Twitter-Account zur Verfügung. Hintergrund ist die Steigerung des Schutzes von Account, so dass diese nicht von nicht autorisierten Personen übernommen werden können, wie in der Vergangenheit bereits öfter geschehen.

Die Twitter-Zwei-Faktor-Authentifizierung (Twitter-2FA) basiert auf der Informations-Übermittlung per SMS. Zur Registrierung an dem Service muss der Nutzer unter account settings (Einstellungen), Account Verification => Login Verification wählen und eine Mobilfunknummer hinterlegen. Auf diese wird später eine zusätzliche Information gesendet, die beim späteren Login zusätzlich zum eigentlichen Password benötigt wird. Ohne die, bei jedem Login an die hinterlegte Mobilfunkt-Nummer, Information ist ein Login in den Twitter-Account nicht möglich.

Trotz der gesteigerten Sicherheit, ist es zu empfehlen, ein starkes Login-Passwort zu wählen.

Ab wann der Service auch für deutsche Twitter-Account angeboten wird, ist aktuell noch offen.

(Datum 24.05.2014)

------------------------------------------------------------------------------------------------

Zwei-FaktorAuthentifizierungs-Tool LinOTP (Version 2.7) von LSE unter Open-Source-Lizenz veröffentlicht

Das Unternehmen LSE (https://www.lsexperts.de), Softwarespezialist für Identity-Management-Lösungen, mit Sitz in Weiterstadt, öffnet sein Produkt LinOTP für Zwei-Faktor-Authentifizierung und OTP-Verfahren (One Time Password). LinOTP wird ab der Version 2.7 unter die Lizenz AGPLv3/GPLv2 gestellt. Die zur Authentifizierung nötigen One Time Password, zu deutsch Einmalpasswörter, werden z. B. per entsprechenden Token ausgegeben oder an ein hinterlegtes mobiles Endgerät gesendet. Durch diesen Schritt werden die ehemals bestehende freie Community-Edition und die proprietäre Enterprise-Lösung zu einer Open-Source-Version durch das Unternehmen LSE zusammengefasst.

Zwei-Faktor-Authentifizierung per LinOTP von LSE unter Open Source

(Datum 21.05.2014)

------------------------------------------------------------------------------------------------

Paypal-Schutz per 2-Faktor Authentifizierung

Für Paypal-Nutzer besteht seit geraumer Zeit die Möglichkeit eine 2-Faktor Authentifizierung für den Einlogg-Vorgang zu nutzen, dabei wird ein zusätzlicher Zugangscode per SMS an den Nutzer gesendet. Bei der Nutzung dieses Authentifizierungsangebotes hatten Nutzer teilweise Schwierigkeiten, da die Übermittlung des Codes oft sehr lange dauerte. Allerdings steht Paypal-Nutzer eine weiter Möglichkeit zur 2-Faktor Authentifizierung zur Verfügung, bei der die App VIP Access der Firma Symantec genutzt werden kann. Die App steht für Android und IOS zur Verfügung und ist im Grunde ein Generator für RSA-Token der im zeitlichen Abstand von 30 Sekunden einen weiteren / neuen Schlüssel erzeugt und anzeigt. Will eine Nutzer nun die App VIP Access der Firma Symantec zur Sicherung seines Paypal-Kontos nutzen, muss die App auf dem Nutzer Smartphone installiert sein und mit dem Paypal-Konto des Nutzers gekoppelt werden. Hierzu muss sich der Nutzer in sein Paypal-Konto einloggen und ein eindeutiges und einmaliges Erkennungszeichen der App in seinem Paypal-Konto hinterlegen. Jede auf einem Nutzer-Smartphone installierte IP Access App verfügt über solch eine eindeutige und einzigartige ID in Form der Credential ID, die in einem dafür vorgesehenen Eingabefeld (Webformularfeld) bei Paypal eingeben und damit bei Paypal hinterlegt werden kann. Die Eingabe der Credential ID erfolgt durch den Nutzer, nachdem er sich in seinen Paypal-Account angemeldet hat.

Zwei-Faktor-Authentifizierung per VIP Access App von Symantec

(Datum 18.05.2014)

------------------------------------------------------------------------------------------------

CLEF – WordPress- Zwei-Faktor-Authentifizierung

Mit dem CLEF-Plugin steht Blogbetreibern, die das weitverbreitet und beliebte Blogsystem WordPress einsetzen, eine weitere Möglichkeit zu Verfügung den eigenen Nutzern eine Zwei-Faktor-Authentifizierung in bereit zustellen. Ähnlich wie bei bereits existierenden Authentifizierungsmechanismen benötigt der Nutzer ein mobiles Endgerät mit Kamera, wie z. B. eine Smartphoneoder Tablet-PC mit welchem er per Kamera einen Code aufnimmt, der als Erkennungsmerkmal fungiert. Allerdings handelt es sich bei dem CLEF-Code um einen dynamischen Code, ähnlich den Flicker-Authentifizierungscode bei Online-Banking-Systemen.

(Datum 18.04.2014, https://wordpress.org/plugins/wpclef/)

------------------------------------------------------------------------------------------------

FreeOTP quelloffene Software für Zwei-Faktor-Authentifizierung

Mit FreeOTP existiert eine quelloffene Zwei-Faktor-Authentifizierung-Software und damit eine Alternative zu Google Authenticator. Beide Systeme unterstützen eine Zwei-Faktor-Authentifizierung Login-Vorgänge von verschiedenen Webseiten und dienen damit der Steigerung der Sicherheit eines Nutzer-Accounts. Die 2ZA-Sofatwware FreeOTP kann als Reaktion auf das Vorgehen von oogle betrachtet werden. Google hatte vor ca. 1 Jahr den Sourcecode seines Google Authenticator nicht mehr veröffentlicht. Weiterhin stehen die neuen Ausgabeversionen des Google Authenticator nicht mehr unter einer freinen Lizenz (der Apache-Lizenz), so dass damit eine propritäre Software geschaffen wurde. FreeOTP sowie der Google Authenticator haben einen ähnlichen Funktionsumfang, allerdings benötigt FreeOTP weniger Rechte, weiterhin besitzt die freie Software eine Copy-Past-Funktion für Einmalpasswörter.

(Datum 04.04.2014, Quelle: https://fedorahosted.org/freeotp/)

------------------------------------------------------------------------------------------------

Schutz des Microsoft-Konto per Zwei-Faktor-Authentifizierung

Microsoft bietet für den Schutz des Microsoft-Konto seinen Nutzern eine Zwei-Faktor-Authentifizierung an, die unter https://account.live.com eingerichtet werden kann. Die Einrichtung der 2FA erfolgt nach dem erfolgreichen Login beim Microsoft-Konto unter Sicherheit und Kennwort, Sicherheitsinfos zum Schutz Ihres Kontos. Hier sind die E-Mail-Adresse sowie eine Mobilfunkt-Nummer hinterlegt, falls die Mobilfunk-Nummer noch nicht hinterlegt ist, muss dies nun erfolgen. Nun kann man mit Zwei-Faktor-Authentifizierung mit dem Link Prüfung in zwei Schritten einrichten aktivieren, in dem der Nutzer den nun Anweisungen folgt. Beim späteren Login am Microsoftkonto benötigt der Nutzer neben seinem Passwort eine weitere Information, die im z. B. per SMS oder E-Mail zugesendet wird, je nach dem für welche Variante sich der Nutzer bei der Einrichtung der Zwei-Faktor-Authentifizierung entschieden hat.

Zwei-Faktor-Authentifizierung für Mircrosoft-Konto (Mircosoft-Account)

(Datum 01.04.2014, Quelle: https://account.live.com)

------------------------------------------------------------------------------------------------

http://www.twofactorauth.org - Übersicht der Webdienste die bereits eine Zwei-Faktor-Authentifizierung anbieten

Auf der Webseite http://www.twofactorauth.org wird dem Interessierten Nutzer eine komprimierte Übersicht verschiedener Webdienste gegeben, die bereits eine Zwei-Faktor-Authentifizierung anbieten. Dabei werden die verschiedenen Dienste in Kategorien wie z. B."Finance", "Social", "Developer" und "Gaming" unterteilt. Ebenso ist in dieser Übersicht hinterlegt, mit welcher Technologie/ Methode der jeweilige Dienst die Zwei-Faktor-Authentifizierung realisiert hat, diese kann z. B. eine 2FA-Umsetzung per Hardware-Token, per App, per Barcode, per E-Mail, per SMS, per Anruf oder etwas ähnlichem sein.

Zwei-Faktor-Authentifizierung Übersicht auf http://www.twofactorauth

(Datum 28.03.2014, Quelle:http://twofactorauth.org/)

------------------------------------------------------------------------------------------------

Zwei-Faktor-Authentifizierung (Two-Factor Authentication (TFA)) bei tumblr.

Tumblr bietet nun seinen Nutzern ebenso an, dass Login für den jeweiligen Blog per Zwei-Faktor-Authentifizierung/ Two-Factor Authentication (TFA) abzusichern. Neben dem bekannten Login-Mechanismus (Eingabe von Nutzername und Passwort) muss der Nutzer einen weiteren zusätzlichen Authentifizierungs-Code in ein extra dafür vorgesehenes Eingabefeld beim Login eingeben. Der zusätzliche Code wird dem Nutzer, ähnlich wie bei anderen Diensten, per SMS oder per App auf sein Smartphone gesendet.

Einrichten der Zwei-Faktor-Authentifizierung bei tumblr.

Schritt 1: Der Nutzer muss sich einloggen und sich zu Kontoeinstellungen (Konto/ Account) bewegen.

Schritt 2: In den Kontoeinstellungen muss der Nutzer unter Sicherheit den Button der Zwei-Faktor-Authentifizierung (bzw. Two-Factor Authentication) aktivieren.

Schritt 3: Nun muss der Nutzer die entsprechenden Mobilfunktnummer eingeben sowie sein Passwort.

Schritt 4: Es folgt die Eingabe der Telefonnummer in das dafür vorgesehene Feld.

Weiterhin ist festzulegen, ob der später einmal pro Anmeldung zu übermittelnde Authentifizierungs-Code, per SMS oder per App auf übermittelt werden soll.

Schritt 5: Zum Abschluss der Aktivierung der Two-Factor Authentication hat der Nutzer den weiteren Anweisungen der Anwendung zu folgen.

Späteres Einloggen per Two-Factor Authentication (TFA) bei bei tumblr.

Im ersten Schritt gibt der Nutzer seine gewohnte Nutzername-Passwort-Kombination ein, zusätzlich wird ihm Ad-hoc ein weiterer Authentifizierungs-Code auf sein mobiles Gerät übersendet. Diesen zusätzlichen Code gibt der Nutzer in eine zusätzliches Eingabefeld ein.

Deaktivierung der Two-Factor Authentication (TFA) bei tumblr.

Eine Deaktivierung der Two-Factor Authentication (TFA) ist jederzeit möglich, allerdings wird davon aus Sicherheitsgründen abgeraten.

Two-Factor Authentication (TFA) bei trumblr.

(Datum 23.03.2014)

------------------------------------------------------------------------------------------------

Rublon - tokenless Zwei-Faktor-Authentifizierung für Web-Anwendungen

Rublon ist ein gelungenes Beispiel für Umsetzung einer tokenless Zwei-Faktor-Authentifizierung (tokenless 2-Step Authentication), bei der mit Hilfe einer mobilen App, Nutzergeräte als vertrauenswürdige Geräte eingestuft werden können. Erst durch die Instalation der Rublon-App unter Eingabe einer E-Mail-Adresse und der Nutzung eines QR-Codes, wird ein Endgerät zu einem vertrauenswürdigem Gerät. Wird eine Web-Anwendung per Rublon geschützt, ist eine späteres Login nur möglich, wenn neben dem herkömmlichen Login-Mechanisnmus (Eingabe Nutzername und Passwort) das vertrauenswürdige Gerät im Login-Prozess erfolgreich eingesetzt wird.

Logo Rublon

(Datum 21.03.2014)

>> weiter Informationen zu Rublon finden Sie hier

------------------------------------------------------------------------------------------------

Zwei-Faktor-Authentifizierung für die Fabasoft Cloud

Der Dienst Fabasoft Cloud hat eine Zwei-Faktor-Authentifizierung implementiert, bei der der entsprechende Authentifizierungscode per SMS oder per E-Mail an den Nutzer versendet wird. Der Versand des Authentifizierungscodes per E-Mail ist dann besonders sinnvoll, wenn der Nutzer über einen Internetzugang verfügt, allerdings keinen Empfang per Mobilfunknetz besitzt. Hierzu muss der Administrator vorab für jeden Nutzer der jeweiligen Cloud-Organisation definieren, ob der Nutzer für das spätere Einloggen den Authentifizierungscode per SMS oder per E-Mail übersendet bekommen soll.

Logo Rublon

(Datum 13.03.2014, https://www.fabasoft.com)

------------------------------------------------------------------------------------------------

Zweistufige Bestätigung der Apple ID

Auch Apple bietet seit diesem Jahr Februar eine Zwei-Faktor-Authentifizierung (2FA) in Deutschland für die Apple-ID an. Im Rahmen der Nutzung von Apple-ID wird keine Kombination, bestehend aus einer Sicherheitsabfragen und einer entsprechend zugehörigen Sicherheitsantworten mehr, eingesetzt. Als Ersatz dient eine zweistufige Anmeldung zum Apple-Dienst unter der Verwendung eines Apple-Gerätes, wie z. B. einem iPad oder iPhone, welches vorab als vertrauenswürdiges Gerät eingestuft wurde. Hintergrund dieser "Änderung" ist der Fakt, dass Passwörter über die Zeit verloren gehen bzw. schlicht vom Nutzer vergessen werden. Somit ist die zweistufige Bestätigung der Apple-ID eine neue optionale Funktion zur Steigerung der Sicherheit für die Apple-ID.

Zweistufige Bestätigung der Apple ID

(Datum 12.05.2014, Quelle: http://support.apple.com/kb/HT5570?viewlocale=de_DE)