Wer sich bereits etwas mit Kryptowährungen beschäftigt hat, dem dürfte sie bereits schon aufgefallen sein: Die „2FA“. Gemeint ist damit die Zwei-Faktor-Authentifizierung oder im englischen Two-Factor-Authentication. Sie ist eine der wichtigsten Maßnahmen, zur Sicherung von Kryptowährungen und Kundenkonten und wird deshalb auch außerhalb des Kryptoversums von einer Vielzahl von Firmen angeboten.
Es gibt zwar verschiedene Methoden, jedoch ist ihnen eine Grundidee gemein. Neben dem Passwort und Nutzernamen gibt es noch eine weitere, davon unabhängige Komponente, die Bestandteil des Anmeldeverfahrens ist. Daher gehören 2FA-Methoden häufig zum Standardrepertoire von Kryptobörsen, die ihren Kunden einen besonders hohen Schutz ihrer Einlagen bieten möchten.
Weitere Informationen: Sichere Krypto-Passwörter: Passwort und Backup Guide
Es gibt jedoch viele verschiedenen Methoden, zwischen denen du auswählen kannst und jede davon hat ihre Vor- und Nachteile. Wir möchten dir in diesem Beitrag die wichtigsten Methoden vorstellen und näherbringen, wie dir ihr Einsatz konkret nutzen kann.
Eine Zwei-Faktor-Authentifizierung liegt immer dann vor, wenn zwei voneinander unabhängige Komponenten zur Anmeldung benötigt werden. Ein Beispiel dafür sind die Bankkarte und die PIN, denn beides sind zwei voneinander unabhängige Bestandteile, die zur Authentifizierung benötigt werden. Geht eines von beiden verloren oder ist nicht bekannt, dann scheitert das Anmeldeverfahren.
Bei allen 2FA-Methoden handelt es sich um eine Form der sogenannten Multi-Faktor-Authentifizierung. Sie kommen unter anderem im Zusammenhang mit Krypto zur Anwendung, weil bei Bekanntwerden von Nutzernamen und Passwort bestimmter Accounts auf Kryptowährungen zugegriffen werden kann und sie damit mitunter unwiederbringlich verloren gehen können.
Ihr größter Vorteil besteht also darin eine letzte Verteidigungslinie zu bilden, wenn beispielsweise einem Angreifer ein krypto Phishing-Versuch geglückt ist oder er ein Virus in das System seines Opfers eingeschleust hat. Dann hat er zwar den Benutzernamen und das Passwort ergattert, aber ohne den Zugriff auf die 2FA-Methode bleibt er ausgesperrt.
Der größte Nachteil besteht in der Handhabung der Methode und dem geringeren Komfort. Verliert man sein 2FA-Geheimnis, dann braucht man dringend Backups. Hat man das notwendige Backup gerade nicht zur Hand, dann kann man sich vorerst nicht einloggen. Im Ergebnis tauscht man Sicherheit gegen verminderte Usability ein.*2FA-Methoden lassen sich ihrem Wesen nach in drei Kategorien einteilen:
- Besitz ist notwendig: Der rechtmäßige Inhaber ist im Besitz eines Tokens oder eines Gegenstands wie beispielsweise einer Bankkarte oder einem Schlüssel.
- Eindeutiges Merkmal: Der rechtmäßige Inhaber besitzt ein eindeutiges Merkmal, dazu gehören beispielsweise Fingerabdrücke bzw. ihr Scan.
- Erforderliches Wissen: Der rechtmäßige Inhaber kennt eine zusätzliche PIN oder eine Antwort auf eine Sicherheitsfrage, welche nur ihm bekannt ist.
Viele 2FA-Methoden, die im Zusammenhang mit Kryptowährungen verwendet werden, lassen sich der ersten Kategorie zuordnen, da hier ein bestimmter Token notwendig ist.
Hierbei handelt es sich um eine Standardmethode, die häufig bereits aktiviert ist, nachdem man ein Kundenkonto, zum Beispiel bei einer Börse, eröffnet hat. Der Anbieter verlangt bei Erstellung des Kundenkontos die Mobilfunknummer und E-Mail-Adresse des Kunden und nutzt eine von beiden Optionen als 2FA.
Versucht der Kunde sich in den Account einzuloggen, dann bekommt er, nachdem er erfolgreich Passwort und Nutzernamen eingegeben hat, einen Code zugeschickt, der eine einmalige Gültigkeit hat und nach wenigen Minuten nicht mehr verwendet werden kann. Erst nach Eingabe dieses Codes kann er sich einloggen und in der Regel wird auch ein Code verschickt, wenn der Kunde Änderungen an seinem Konto vornehmen möchte oder Kryptowährungen abheben will.
Das Zusenden per SMS ist vergleichsweise sicher, obgleich theoretisch immer die Möglichkeit besteht, dass auch hier eine Angriffsfläche über das sogenannte SIM Swapping entsteht. Wird der Code jedoch per E-Mail zugesendet, dann beinhaltet das nur Risiken. Denn mit den gleichen Methoden, mit denen Kriminelle Passwort und Nutzernamen kompromittieren können, lassen sich ggf. auch die Zugangsdaten für das E-Mail-Konto abgreifen.
Zusammenfassend könnte man sagen, dass beides besser als gar keine 2FA-Methode ist, insgesamt aber gegenüber anderen Methoden deutlich schlechter abschneidet.
One-Time-Password – Das Einmalkennwort
Bei einem One-Time-Password oder kurz OTP handelt es sich um eine App, die mit Hilfe eines geheimen Schlüssels alle 30 Sekunden neue Passwörter generiert. Dieses Geheimnis ist nur dem rechtmäßigen Inhaber des Kontos bekannt. Der Anbieter, bei dem er sich einloggen möchte, kann nur überprüfen, ob das Einmalkennwort stimmt oder nicht.
Diese Hürde ist im Prinzip nur dann zu knacken, wenn man Zugriff auf das Smartphone bekommt, auf dem die OTP-App installiert ist oder das Geheimnis kennt. Ein Vorteil besteht darin, dass man das Geheimnis auf verschiedenen Geräten einlesen kann. So zum Beispiel auf einem Zweithandy. Der Nachteil besteht darin, dass man gründlich auf sein Backup des Geheimnisses achten muss, denn wenn man das Gerät verliert, kann man es sonst nicht wiederherstellen.
Dann bleibt einem nur übrig, den Anbieter um Rücksetzung zu bitten, was in der Regel mit umfangreichen Checks einhergeht. Die beliebteste OTP-App stammt von Google selbst, es gibt aber auch Alternativen dazu.
Der YubiKey
Bei einem YubiKey handelt es sich um ein Stück dedizierte Hardware, die als Token für die Zwei-Faktor-Authentifizierung verwendet wird. Der Key lässt sich entweder per USB, per NFC oder per Lightning-Schnittstelle anschließen.
Das Gerät lässt sich als 2FA-Methode einrichten oder alternativ als Zugangsschlüssel verwenden, um sich ohne Passwort und Nutzernamen anmelden zu können. Ein YubiKey ist aus technischer Sicht eine sehr sichere Methode und gilt daher als empfehlenswert.
Ein Engpass ist jedoch, Anbieter zu finden, die den YubiKey als 2FA-Methode akzeptieren. Außerdem ist die Wiederherstellung des Zugangs nach Verlust des Geräts wesentlich problematischer als mit einer OTP-App, weil zwingend ein neuer YubiKey gebraucht wird und dieser neu eingerichtet werden muss. Als Vorsorge hierfür macht es Sinn einen zweiten YubiKey zu Beginn als Backup einzurichten und diesen an einem sicheren Ort zu verstauen. Bei Verlust des Primären erspart man sich so viel Arbeit und Stress.
FIDO U2F
Hierbei handelt es sich um eine 2FA-Methode, die unter anderem von den Hardware Wallets der Firma Leder unterstützt wird. Da die Geräte als sehr sicher gelten, ist das 2FA-Geheimnis gut geschützt. Allerdings muss man dann auch ständig Zugriff auf sein Wallet haben, um die App nutzen zu können.
Ähnlich wie beim YubiKey unterstützen nicht alle Krypto-Anbieter FIDO U2F. Verwenden lässt sich die App allerdings beispielsweise mit Facebook, Google, Dashlane oder Dropbox. Ein weiterer Vorteil besteht darin, dass der Seed zu dem Wallet gleichzeitig auch das 2FA-Geheimnis wiederherstellt. Daher hat man mit einem Backup direkt beides abgedeckt, um wieder Zugriff zu erlangen und kann auch mehrere Geräte mit der 2FA-App ausstatten, sofern mehr als ein Hardware Wallet verfügbar ist.