IT-Sicherheit für Privatanwender: Grundsätze: Mehr-Faktor-Authentifizierung

Mehr-Faktor-Authentifizierung

Bearbeiten

Einer der sichersten Standards in der Kategorie "Besitz" ist U2F. Im Gegensatz zu OAuth ist hier der Authentifikationsprozess nachvollziehbar (keine Security by Obscurity). Um U2F nutzen zu können, empfiehlt es sich, offene Hardware zu nutzen (bspw. Nitrokey). Wenn man eigene Server administriert, wird es empfohlen, für SSH U2F zu nutzen. Für andere Logins (E-Mail Konten u.ä.), ist es relevant, dass man sich ein eigenes Threat Model erstellt hat (wird empfohlen!). Dann sollte man sich überlegen, ob der Sicherheitsgewinn in der Praxis relevant ist und ob es nicht ausreicht, eine relativ lange Passphrase (die man zur Not immer noch mit der Hand abtippen können sollte!) in der verschlüsselten Datenbank eines bekannten Open Source Passwort Managers (bspw. KeepassXC) abzuspeichern.[1] Die Datenbank sollte mit einer hinreichend langen Passphrase (7-9 Wörter), die man sich merkt und mit dem Diceware Verfahren erstellt wurde, verschlüsselt werden. [2]

Wenn man den Passwortmanager für beide Faktoren (Wissen + Besitz) nutzt, ist das ein Sicherheitsverlust! [3]

Die Kategorie "Sein" wird in dem Kapitel "Biometrie" näher beschrieben.

Die Kategorie "Wissen" wird im Kapitel "Passwörter" näher beschrieben.

  1. https://infosec-handbook.eu/blog/keepassxc-password-management-basics/
  2. https://www.eff.org/dice
  3. https://www.privacy-handbuch.de/handbuch_21j1.htm