Manche Dinge sind ohne etwas anderes irgendwie unvollständig. Was wäre zum Beispiel eine Fußballmannschaft ohne Torwart? Oder ein Reifen ohne Luft, ein Handy ohne SIM-Karte, ein Hotel ohne WLAN oder dieser Text ohne Sinn? Manche Dinge werden erst richtig gut, wenn sie nicht alleine sind. Dass dem auch im Internet so ist, das wollte Christopher Mims vom Wall Street Journal beweisen. Er schrieb einen Artikel (Übersetzung von t3n), in dem er behauptete, das Passwort sterbe aus, weil der tollste und sicherste Weg, sich irgendwo einzuloggen, die Zwei-Faktor-Authentifizierung sei.
Ein Passwort alleine ist eine Ein-Faktor-Authentifizierung. Wer es kennt, kann sich damit gegenüber Facebook, eBay und einem Mailserver als eine bestimmte Person ausgeben. Facebook, eBay und der Mailserver glauben dem, der das korrekte Passwort eingibt und geben den Zugang frei. Sie können jedoch nicht unterscheiden, ob ich es wirklich bin, ein Hacker der mein Passwort entwendet hat oder gar eine Urlaubsvertretung der ich mein Passwort anvertraut habe.
Bei der Zwei-Faktor-Authentifizierung (2FA) braucht man neben dem Wissen (eines Kennworts oder PINs) noch etwas anderes. Man muss etwas haben, in der Hand halten – etwas, auf dem noch ein weiteres Geheimnis wie eine Zufallszahl angezeigt werden kann. Das kann zum Beispiel ein Smartphone sein, auf das Facebook, eBay oder der Mailserver beim Login eine SMS mit einer Zufallszahl schickt. Wer das Passwort und die Zufallszahl eingeben kann, der ist noch viel sicherer der, der er vorgibt zu sein. Auch ich bin mir sicher: bald werden Facebook, Yahoo, Google und LinkedIn auf 2FA bestehen und diese nicht mehr nur als Alternative anbieten.
Um den hohen Sicherheitsstandard der 2FA zu beweisen, veröffentlichte Christopher Mims in seinem Artikel sogar das Passwort* für seinen Twitter-Account. Tausende Menschen versuchten daraufhin, sich dort einzuloggen. Vergeblich! Sie alle hatten schließlich nicht Mims Handy. Auf dem landeten jedoch plötzlich tausende SMS von Twitter mit tausenden Zufallszahlen von tausenden Einlogversuchen. Zwar war Mims Twitter-Account nicht gehackt worden, sein Telefon hingegen war laut seiner Kollegin Kashmir Hill jedoch plötzlich „Out of Service“. Gut, wer jetzt noch Festnetz hat.
* es lautet christophermims ….