Ausspähen von Passwörtern – Der Zugang zur Mitgliederverwaltung wird durch Zwei-Faktor-Authentifizierung wirksam geschützt!

Ein komplexes Passwort war bislang für den effektiven Schutz eines Online-Zuganges völlig ausreichend, jedoch kann mittels illegaler Schadsoftware auch das komplexeste Passwort ausgespäht werden. Auf diese Weise ausgespähte Zugangsdaten ermöglichen den unbefugten Zugriff auf sensible und persönliche Daten. Wirksamen Schutz gegen eine eventuelle Ausspähung bietet die Zwei-Faktor-Authentifizierung.

Die Zwei-Faktor-Authenti­sierung - Alles was man wissen muss

Gefahr durch Schadsoftware: Keylogger

Mittels Keyloggern wird jede Eingabe auf der Tastatur des infizierten Computers auf­gezeic­hnet und weitergeleitet. Keylogger sind eine Schadsoftware, diese arbeitet meist ohne dass es der Benutzer mitbekommt. Fasst immer wird der dadurch verursachte Diebstahl der Nutzerzugangsdaten erst dann bemerkt, wenn es zu spät ist.

Dagegen schützen kann man sich vor allem, indem man seine Software auf dem aktuellsten Stand hält und zudem einen professionellen Virenscanner installiert hat. Anhänge von Emails sollten nur dann geöffnet werden, wenn der Absender bekannt ist.

Den sichersten Schutz bietet die Zwei-Faktor-Authentisierung. Denn die Zwei-Faktor-Authentifizierung vereitelt den unberechtigten Zugriff sogar selbst dann, wenn die Zugangsdaten gestohlen wurden. Das Ausspähen von Passwörtern ist damit völlig nutzlos!

Und so funktioniert es

Ein normaler Online-Zugang wird mit Benutzernamen und dem zugehörigen Passwort vor unberechtigtem Zugriff ge­schützt. Doch was geschieht, wenn das Passwort ausgespäht wurde? Die Zwei-Faktor-Authentifizierung fügt dem Zugang eine zusätzliche Schranke hinzu. Ein sogenanntes zeitbeschränktes Einmalpasswort.

Um Zugang zu erhalten, muss der Nutzer neben den Zugangsdaten auch das richtige Einmalpasswort eingeben. Das Einmalpasswort wird mittels der Uhrzeit und einem vorher festgelegten Algorithmus (dem Geheimnis) generiert. Das Geheimnis wird beim Erstellen des ersten Passwortes, d.h. wenn das erste Mal eingeloggt wird, oder bei der ersten Verwendung der Zwei-Faktor-Authentifizierung, auf ein Endgerät des Benutzers übertragen.

Das Endgerät des Benutzers ist nun in der Lage zeitbeschränkte Einmal­pass­wörter zu erzeugen. Bei der Anmeldung werden diese vom Server geprüft. Die Einmalpasswörter sind zeitbeschränkt gültig. Im Normalfall wird alle 30 Sekunden ein neues Passwort generiert.

Was dafür benötigt wird

Zur Erzeugung der benötigten Ein­mal­pass­wörter wird ein Programm be­nötigt, welches mittels dem aus­ge­tausch­­ten Geheimnis, sowie der aktuellen Uhrzeit gültige Einmalpasswörter erzeugt. Ein solches Programm muss auf dem passenden Endgerät installiert werden. Als Endgerät lassen sich fast alle gängigen Smartphones verwenden und die Programme gibt es kostenlos, als App, von verschiedenen Anbietern. Wir empfehlen die App FreeOTP und den Google Authenticator. Beide Apps stehen kostenlos zum Download zur Verfügung. Das Erzeugen von Passwörtern funktioniert nach dem einmaligen Austausch des Geheimnisses ohne Übertragung von Daten (also offline).

Umsetzung in der SEWOBE CRM Software

Da diese Methode vor unbefugten Zugriff zuverlässig schützt, setzen die modernen SEWOBE Online-Lösungen (Vereins­MANAGER, Verbands­MANAGER, Liefer­MANAGER) diese Technologie ein. Die Verwendung ist für den Nutzer optional. Das heißt es kann vom Nutzer selbst entschieden werden, ob die Zwei-Faktor-Authentisierung genutzt werden soll. Zudem kann diese Einstellung vom Nutzer auch jederzeit wieder geändert werden.

Der SEWOBE Geschäftsführer Eiko Trausch über den Einsatz der Zwei-Faktor-Authentifizierung:

"Damit hat ab sofort jeder SEWOBE Kunde die Möglichkeit, sich zuverlässig gegen das Ausspähen von Passwörter zu schützen. Die 10 Sekunden Zeitaufwand für die Eingabe der 6 Ziffern sind gut investiert "

Zum Generieren des Einmalpasswortes wird ein Smartphone oder Tablet verwendet, sowie die App Google Authenticator. Zunächst wird die App installiert.

Bei der ersten Anmeldung im Online-Programm bzw. bei der Aktivierung der neuen Zugangsart wird auf dem Bildschirm ein QR-Code angezeigt – dieser muss innerhalb der App mit der Kamera des Smartphones gescannt werden. Dadurch wird der Algorithmus übertragen (das Geheimnis) und das Mobiltelefon ist nun in der Lage, gültige Einmalpasswörter zu erzeugen. Bei jedem Login wird neben den Zugangsdaten auch das Einmalpasswort abgefragt. Keyloggerangriffe haben nun keine Chance mehr.

Das Bundesamt für Sicherheit der Informationstechnik zum Thema Authentikationsmechanismen:

"Für sicherheitskritische Anwendungsbereiche sollte starke Authentisierung verwendet werden, hierbei werden zwei Authentisierungstechniken kombiniert, wie Passwort plus Trans­aktions­nummern (Einmalpasswörter) oder plus Chipkarte. Daher wird dies auch häufig als Zwei-Faktor-Authentisierung bezeichnet. Beide eingesetzten Authentisierungstechniken müssen sich auf dem Stand der Technik befinden. "

(weitere Informationen finden Sie in der Online-Programmhilfe Hilfe und im Video)

F