Immer mehr Nutzer hinterlegen immer mehr Daten in den diversen Cloud-Diensten und vertrauen auf deren Sicherheit. Doch die sicherste Infrastruktur ist nicht viel Wert, wenn der Nutzer selbst das größte Problem darstellt und den Zugang zu all den Daten nicht ausreichend schützt. Wie Google jetzt während einer Sicherheitskonferenz verraten hat, nutzen gerade einmal 10 Prozent aller Nutzer die zusätzliche Bestätigung in zwei Schritten.
Die Zugangsdaten für die meisten Onlinedienste bestehen aus lediglich zwei Komponenten: Als erstes der Benutzername oder die E-Mail-Adresse und als zweites das Passwort. Letztes kann der Nutzer in den meisten Fällen frei wählen und hat damit schon einmal eine sehr gute Möglichkeit, durch ein gutes Passwort einen schnellen Hack abzuwenden. Doch für echte Sicherheit sorgt das schon längst nicht mehr, und so kann man nur jedem Nutzer ans Herz legen, die Zwei-Faktor-Authentifizierung zu aktivieren und somit eine zusätzliche Hürde einzubauen.
Google hat nun während einer Sicherheitskonferenz verraten, dass gerade einmal 10 Prozent aller Nutzer die Zwei-Faktor-Authentifizierung bzw. die Bestätigung in zwei Schritten verwenden. Das bedeutet zwar nicht unbedingt dass die restlichen 90 Prozent ungeschützt sind, aber sie sind deutlich leichter angreifbar. Zwar ist auch das nicht 100%ig unknackbar, aber in 99 Prozent der Fälle dürfte der Hacker an dieser Stelle aufgeben und sich das nächste Opfer suchen.
Pretty brutal numbers in this Google talk about authentication at #enigma2018:
-67 million valid Google credentials found in breaches
-less than 10% of active Google users have 2FA— kate conger (@kateconger) 17. Januar 2018
Der Wert ist zwar alarmierend gering, aber ehrlich gesagt ist sie doch sehr viel höher als ich es erwartet hätte. Immerhin sind es ja dann doch 10 Prozent die sch tatsächlich um ihre Daten sorgen und mindestens einmal Gedanken darum gemacht haben. Wenn man sich die Liste der populärsten Passwörter (diese Liste gibt es hier auch für deutsche Passwörter) ansieht, muss man schon sehr viel schlimmeres befürchten.
Man muss aber auch dazu sagen, dass Google und auch andere Anbieter mehr für die Verbreitung tun könnten. Eine Erinnerung bei jedem Login oder wenigstens einmal jährlich eine Info-Mail wäre vielleicht nicht verkehrt und könnte den Wert sicher ordentlich nach oben treiben. Wer schon einmal versucht hat, einem nicht ganz so versierten Nutzer die 2FA zu erklären und davon zu überzeugen, dürfte wohl aus Gründen der Bequemlichkeit nur selten Erfolg haben.
Die Zwei-Faktor-Authentifizierung funktioniert bei Google mittlerweile sehr leicht: Ist sie erst einmal eingerichtet, muss weder ein Code eingegeben noch eine SMS empfangen werden, sondern es ist nur noch ein einziger Druck auf einen Button notwendig. Loggt man sich dann auf dem Computer ein, erscheint unmittelbar danach auf dem Smartphone eine Vollbild-Abfrage, über die dem Login zugestimmt oder dieser Versuch abgebrochen werden kann.
Hat nun jemand das Passwort des Nutzers geknackt, kann der Angreifer nur sehr wenig damit anfangen. Tippt der Besitzer des Accounts auf seinem Smartphone auf NEIN oder gar keinen Button, wird der Login unterbunden. Außerdem erfährt der Nutzer die IP-Adresse des Angreifers und kann so im Zweifelsfall noch weitere Schritte unternehmen. Andersherum ist das aber auch kein Generalschlüssel. Hat ein Angreifer beispielsweise das Smartphone entwendet, kann er ohne Kenntnis des Passworts keinen Loginversuch starten.
Wer noch keine 2FA verwendet, sollte sich zumindest einmal Gedanken darüber machen, es einzusetzen. Nicht nur beim Google-Account. Informationen zum 2FA findet ihr hier.
Siehe auch
» Alles rund um die Bestätigung in zwei Schritten
» Ausgesperrt: Das passiert, wenn man den Zugang zum Google-Account verliert (Erfahrungsbericht)