Wo die Zwei-Faktor-Authentifizierung zu kurz kommt

Webdesigner werden ständig mit Sicherheitsratschlägen bombardiert. Wir werden über Best Practices, Sicherheitslücken und deren erforderliche Patches informiert. Es ist genug, um dir den Kopf zu verdrehen.

Das ist natürlich alles wichtig und gut gemeint. Online-Sicherheit ist ein sich ständig bewegendes Ziel, an dem selbst die größten Akteure anfällig sind. Daher ist es an uns, mit den neuesten Entwicklungen Schritt zu halten.

Die Zwei-Faktor-Authentifizierung (2FA) gehört zu den am meisten angepriesenen Technologien, um Online-Konten sicher zu halten. Sie sehen, dass es überall implementiert wird, vom Bankwesen bis zu den sozialen Medien. Und es kann auch einfach auf Ihrer eigenen Website installiert werden.

Während 2FA den unbefugten Zugriff auf unsere Konten effektiv verhindern kann, hat es auch einige potenziell schwerwiegende Nachteile. Kürzlich habe ich das am eigenen Leib erfahren. Das Folgende ist ein Blick auf das, was passiert ist und das Chaos, das es verursacht hat.

Anbieterübergreifend unterschiedliche Implementierungen – mit einem roten Faden

Wie fast jede andere Technologie kann die Zwei-Faktor-Authentifizierung auf verschiedene Arten implementiert werden. Benutzer können sich über eine SMS-Nachricht, E-Mail oder einen Bestätigungscode von einer App wie Google Authenticator authentifizieren. Sie können auch ein vertrauenswürdiges Foto auswählen, das bei jeder Anmeldung angezeigt wird, um sicherzustellen, dass sie sich nicht auf einer Phishing-Website befinden.

Manchmal lässt Ihnen ein Dienstanbieter die Wahl. Aber ziemlich oft stecken Sie mit der Methode fest, die sie anbieten. Je mehr Konten Sie über 2FA schützen, desto komplizierter wird dies alles.

Beispielsweise verwenden viele Orte SMS-Nachrichten für Ihr Telefon. Aber andererseits werden einige auch diese Authentifizierungs-App benötigen. Wieder andere werden eine andere Einstellung haben. Die Herausforderung besteht darin, den Überblick darüber zu behalten, wer welche Technologie verwendet, und sicherzustellen, dass Sie die richtigen Tools zur Hand haben.

Aber es scheint, dass die meisten Methoden eine einzige Gemeinsamkeit haben: Sie verlassen sich darauf, dass Ihr mobiles Gerät funktioniert. Das ist sicher bequem. Was aber, wenn etwas mit diesem Gerät passiert?

Ein ausgefallenes Telefon führt zu Chaos

Dies ist die Situation, in der ich mich befand, als die mobile Datenverbindung auf meinem Android-Telefon aus dem Ruder lief. Textnachrichten wurden um Stunden verzögert oder gar nicht zugestellt. Ein Familienmitglied, das im selben Haus und im selben Netzwerk wohnt, hat seine Nachrichten problemlos empfangen. Das ließ mich glauben, dass dies eine Art Hardwarefehler war.

Wie man es in dieser misslichen Lage tut, versuchte ich eine Reihe von Heilmitteln. Dazu gehörte die gefürchtete „nukleare Option“, mein Telefon auf die Werkseinstellungen zurückzusetzen. Ein Versuch ist es wert, oder?

Das Problem hier war zweifach. Erstens wurde das Textnachrichtenproblem nicht behoben. Noch schlimmer ist, dass es mich von all meinen verschiedenen Konten abgemeldet hat. Google, Facebook, Twitter usw. wurden alle atomisiert. Vielleicht ist das besser für meine geistige Gesundheit, aber wahrscheinlich nicht so gut für Arbeit/Spiel.

Der Versuch, sich wieder bei jedem dieser Konten anzumelden, war nicht so einfach. Warum? Wegen 2FA natürlich.

Google war besonders hart, da die einzigen zwei Optionen, die es mir gab, an mein Telefon gebunden waren. Es wollte mir eine SMS schicken – aber das ging nicht. Und sie erlaubten auch einen Google Authenticator-Code. Das wäre toll gewesen, aber dazu musste ich in mein Google-Konto eingeloggt sein, um Zugriff auf den Code zu erhalten.

Die Lösung bestand darin, meinen Desktop-Computer endlich hochzufahren und 2FA für Google vorübergehend auszuschalten (das gefiel ihnen wirklich nicht). Süße Erleichterung, ich habe mein Gmail wieder.

Für noch mehr Spaß musste ich einen ähnlichen Vorgang mit mehreren anderen Konten wiederholen. Ironischerweise kann ich nicht über meinen Desktop auf mein Online-Banking zugreifen, da es auf SMS-Verifizierung angewiesen ist. Ich kann es jedoch auf meinem Telefon abrufen, da eine solche Anforderung nicht besteht. Allein der Gedanke daran bringt mich in kalten Schweiß.

Natürlich ist meine Situation nicht einzigartig. Jeder, der keinen Zugriff auf sein mobiles Gerät hat, könnte leicht im selben Boot sitzen.

gewonnene Erkenntnisse

Die mit 2FA verbundenen Frustrationen können als lehrbarer Moment nützlich sein. Diejenigen von uns, die Websites für ihren Lebensunterhalt erstellen, klopfen sich für die Erhöhung der Sicherheit auf die Schulter – und das zu Recht. Aber die Implementierung dieser Technologie an sich ist noch nicht das Ende unserer Mission.

Stattdessen braucht es einige ernsthafte Überlegungen. Hier sind ein paar Dinge, die Sie beachten sollten, bevor Sie Ihrer Website die Zwei-Faktor-Authentifizierung hinzufügen:

2FA muss nicht unbedingt eine Voraussetzung sein

Es ist verlockend, Benutzer zur Verwendung der Zwei-Faktor-Authentifizierung zu zwingen. Und unter bestimmten Umständen mit hohem Risiko ist dies sinnvoll.

Aber für die meisten Websites können Sie stattdessen strenge Passwortanforderungen in Betracht ziehen. Wenn Sie beispielsweise eine Mitgliederseite betreiben, die nichts Geheimnisvolles enthält, könnte 2FA optional sein. Aber vielleicht bitten Sie die Benutzer, alle sechs Monate Passwörter zu ändern.

Es ist etwas weniger Aufwand für die Benutzer und hoffentlich weniger Support-Arbeit für Sie. Und vergessen Sie nicht die Barrierefreiheit. Trotz Annahmen hat nicht jeder Zugriff auf mehrere Geräte.

Bieten Sie Alternativen an

Auch wenn es vom Wartungsstandpunkt aus schwierig sein mag, könnte es von Vorteil sein, mehr als eine einzige 2FA-Methode anzubieten. Benutzer können die Geschmacksrichtung auswählen, die für sie am besten geeignet ist. Oder sie könnten zur Not sogar ändern, was sie verwenden, falls ihr mobiles Gerät nicht mehr verfügbar ist.

Abgesehen davon, bieten Sie den Leuten zumindest eine einfache Möglichkeit, Sie zu kontaktieren, wenn sie auf Probleme stoßen. Es ist unglaublich frustrierend, wenn Sie nicht auf Ihr Konto zugreifen können und niemand da ist, der Ihnen hilft.

Erwarten Sie einige Herausforderungen

Es ist möglich, alles richtig zu machen und trotzdem auf Benutzer zu stoßen, die Anmeldeprobleme haben. Beispielsweise bieten einige 2FA-Implementierungen Backup-Codes zur einmaligen Verwendung an. Sie eignen sich hervorragend für Zeiten, in denen die von Ihnen gewählte Authentifizierungsmethode nicht funktioniert.

Allerdings wird sich nicht jeder die Zeit nehmen, diese Codes zu speichern oder auszudrucken (ich habe es sicher nicht getan). Daher ist es wichtig, sich auf die unvermeidlichen Probleme vorzubereiten, die auftreten werden.

Die Zwei-Faktor-Authentifizierung ist hilfreich, aber alles andere als perfekt

Alles in allem gibt es viele Gründe, 2FA zu mögen. Es kann ziemlich einfach zu implementieren sein und hilft, unbefugten Zugriff auf Benutzerdaten zu verhindern. Und es stehen verschiedene Methoden zur Verfügung.

Es ist jedoch nicht ohne Mängel. Wie ich herausfand, kann ein wackeliges Telefon viele Probleme verursachen. Die Unfähigkeit, sich bei Ihren wichtigsten Konten anzumelden, bringt Ihr Leben zum Erliegen. Stellen Sie sich vor, Sie könnten weder auf Ihr Bankkonto noch auf Ihren Mobilfunkanbieter zugreifen.

Fügen Sie also auf jeden Fall eine Zwei-Faktor-Authentifizierung zu Ihren Websites und Apps hinzu. Planen Sie jedoch voraus und versuchen Sie, den Prozess für die Benutzer schmerzlos zu gestalten. Sie können eine sicherere Umgebung erwarten – erwarten Sie nur keine Wunder.