Die vielen Abkürzungen muss ich gleich am Anfang erklären:
„OTP“ = One Time Password, oft für
2FA = 2-Factor-Authentifikation genutzt.
Fido2 beschreibt einen offenen Standard der das Problem „Passwort“ lösen kann und auch als 2. Faktor einsetzbar ist.
Warum 2FA?
Passwörter sind schlecht. Sie waren lange das beste was wir hatten. Und selbst wenn wir alle gut gemeinten Tipps berücksichtigen – ob bei euch oder beim Dienstanbieter – wenn es gestohlen ist, ist es weg und die Diebe kommen in eure Accounts.
An dieser Stelle kommt, wie beim Banking eine TAN, ein zweiter Faktor ins Spiel. Dieser kann nicht so einfach gestohlen werden, da es beim OTP-Verfahren, das ich hier erwähne, immer wieder neu berechnet wird, basierend auf einem geheimen Code und der aktuellen Uhrzeit. Das zweite Gerät benötigt deshalb keine Internetverbindung zum Dienst, bei den ihr euch einloggen wollt.
Wo kann ich 2FA nutzen?
Eigentlich bald überall. Außer bei Banken. Da nur ganz kompliziert. Ich möchte hier aber nicht auf irgendwelche proprietären Kram oder SMS als 2. Faktor eingehen (so wie es die Banken Anno 2020 nach der PSD2-Richtline der EU stümperhaft umgesetzt haben), sondern mit offenen Standards die ich in Form des OTP seit 5-7 Jahre auf immer mehr Plattformen nutze:
Über Plugins für WordPress (Beispiel), App für Nextcloud (wahrscheinlich auch Owncloud). Bei Google, Facebook, Amazon, Instagram, Patreon, nextcloud (Plugin), Xing, Fyyd, stripe, mastodon, twitter, Dropbox, AdobeID, Slack, Paypal (auch wenn hier bei einer ebenfalls hinterlegten Telefonnummer diese immer bevorzugt wird), ebay, Firefox Konto, Ubisoft u.v.m.
Ihr müsst es nur aktivieren. Es ist sogar leichter als ein neues Passwort festzulegen (was dennoch sinnvoll ist, vor allem wenn es zu kurz ist).
Was brauche ich für ein OTP als 2. Faktor dafür?
Eigentlich nur ein halbwegs modernes Smartphone mit einer Kamera (es geht auch ohne, dann wird statt dem QR-Code zu scannen der Initial-Code/Geheimnis abgetippt).
Eine App, die auf dem offenen Standard basiert, es gibt aber eine Vielzahl von Programmen. Ich nutze die Android-App andOTP – es ist OpenSource, man kann es mit einer Pin schützen, verschlüsselte Backups machen. Zu finden auch in F-Droid. Oder eben bei google.
Was muss ich noch beachten?
Backup machen. Für jedes Profil die Backup von Einmal-Codes digital oder gar ausgedruckt ablegen (die Dienste bieten dies eigentlich immer an). Für den Fall, dass das Telefon kaputt geht und man kein Backup hat (siehe Empfehlung der App).
Alternative als 2. Faktor: Fido2 Hardware.
Statt einer Berechnung muss hier meist ein USB-Stick (alternativ auf Mobiltelefonen: Kontakt via NFC) eingesteckt und eine Taste gedrückt werden, wenn die Verbindung „abgefragt“ wird.
Der Standard lässt sich sowohl als Passwort-Ersatz wie auch als zweiter Faktor nutzen.
Der Standard wird schon erstaunlich lange entwickelt und von den 3 Browser-Engines (von FF, Chromium, Safari) unterstützt. Bei den Diensten sind die wichtigsten auch schon dabei.
Wichtig hier: Es gibt keine Backup-Codes. Wenn das Gerät kaputt geht, ist es vorbei. Also unbedingt ein zweites Gerät verknüpfen oder einen anderen Weg (als 2. Faktor oder ein Passwort) im Account hinterlegen.
Es gibt FIDO2 Sticks von verschiedenen Herstellern wie Solokeys, Yubico, Nitrokey oder google (und noch mehr). SoloKeys ist OpenSource-Hardware. Eine FAQ (aus 2019) zum Thema hier bei der ct‘. Einige Schlüssel haben weitere Funktionen.