Google und andere Dienstleister möchten dieser Tage neue Regelungen umsetzen. Dem Benutzer soll die 2-Faktor-Authentifizierung vorgeschrieben werden. An sich eine gute Sache, die die Zugriffssicherheit erheblich erhöht. Vor allem für Leute, die ihre Passworte an gut sichtbaren Stellen hin-bäppern oder noch besser dümmlich kurze Worte verwenden, die am besten ein einzelnes Wort ist, garniert vielleicht mit einem Großbuchstaben oder einer Zahl. Das geht möglicherweise flink verloren oder wird gekonnt mitgelesen. Hier kommt die neue Technik ins Spiel: Auf einem anderen Weg wird eine zweite Prüfung verlangt, die die erste qualifiziert. Uns begegnet das schon an vielen Stellen, z.B. in Banking-Apps, die eine Push-TAN oder einen Schlüssel von einem USB-Stick nach dem Einloggen verlangen.
Aus technischer Sicht ist es unerheblich, _woher_ der zweite Faktor kommt. Es sollte im Idealfall auf einem zweiten Übertragungsweg erfolgen, z.B. über eine SMS aufs Handy, einen zweiten E-Mail Account oder einen Service, der Einmal-Passwörter generieren kann. Ist der Anbieter fair, bietet er seinen Nutzern verschiedene Möglichkeiten an, den zweiten Faktor zu liefern. Das sind nur leider nicht alle.
In vielen Fällen ist es heutzutage nämlich nur möglich, den zweiten Faktor über eine Handy-Nummer bereitzustellen. Man hinterlegt seine Telefonnummer, installiert eine bestimmte App auf dem Telefon und wenn ein Request erfolgt, geht diese App auf und man bestätigt den zweiten Faktor. Warum ist das ein Problem? Das kommt daher, dass man damit dem Anbieter (z.B. Google) damit unfreiwillig mehr Informationen liefert, als man das vielleicht möchte:
- Den Bezug zwischen Login/E-Mail und der Handynummer
- Hat der Nutzer weitere Apps und Dienstleistungen des Anbieters auf dem Handy installiert, ist ebenfalls sofort der Bezug hergestellt
- Werden über die Freigaben der 2-Faktor App möglicherweise viele Informationen des Handys im Hintergrund geteilt: Konten, Kontakte, Positionskoordinaten.. you name it
Das Gemeine daran ist, dass mit der Argumentation "zu ihrer eigenen Sicherheit", dem Mangel an Alternativen und dem fehlenden Bewußtsein der Konsequenzen der Nutzer sich nicht einmal genötigt fühlt, sondern wahrscheinlich einfach beruhigt zustimmt. Na dann: Gute Nacht, schlaft gut.