Cyberkriminelle machen mit Phishing-Angriffen Jagd auf Zugangsdaten für gesicherte Dienste. Per 2FA sichern Sie Ihre Online-Konten effizient gegen unbefugte Zugriffe.

Seit Kriminelle vermehrt herkömmliche Authentifizierungsmethoden wie Benutzername und Passwort ausspähen, haben sich sogenannte Zwei-Faktor-Authentifizierungen (2FA) im Markt etabliert. Dafür benötigt man bei Verwendung von Einmalpasswörtern meist als weiteres Gerät ein Smartphone, das den zusätzlichen Faktor zur Authentifizierung generiert. Lässt sich das Mobiltelefon beispielsweise wegen eines erschöpften Akkus oder eines Defekts nicht nutzen, fällt die Anmeldung bei den betroffenen Diensten flach. Mithilfe einer Desktop-Applikation können Sie sich jedoch auch ohne Smartphone bei verschiedensten Online-Diensten per 2FA anmelden.

Konzept

Das generelle Funktionsprinzip ist bei allen Formen der Zwei-Faktor-Authentifizierung dasselbe: Ein zweiter Authentifizierungsfaktor zusätzlich zu Benutzernamen und Passwort erschwert Cyberkriminellen den Zugang zu geschützten Diensten wesentlich. Der zusätzliche Authentifizierungsfaktor lässt sich nicht nur schwerer erraten als ein Passwort, sondern hat in vielen Fällen auch nur eine zeitlich eng begrenzte Gültigkeit.

Für 2FA gibt es verschiedenste Varianten. Neben einfachen biometrischen Verfahren mithilfe von Fingerabdrücken oder Routinen zur Gesichtserkennung sind auch Hardware-Token gebräuchlich. Dabei handelt es sich um kleine Geräte wie Smartcards oder USB-Sticks mit einem kryptografischen Chip. Darauf speichert der Benutzer seinen privaten Schlüssel. Zur Anmeldung verbindet er das Token mit einem Computer, und die Login-Routine vergleicht den gespeicherten Private Key mit einem öffentlichen Schlüssel auf dem Server des Diensteanbieters. Bei positivem Ergebnis übermittelt der Dienst einen Zahlencode, den der Anwender am Computer eingeben muss, um seine Identität zu bestätigen. Erst, wenn diese Authentifizierungsstufe erfolgreich durchlaufen wurde, übermittelt das Token ein kryptografisches Zertifikat an den Server des Diensteanbieters. Es dient als digitale Signatur und autorisiert den Anwender gegenüber dem Diensteanbieter. Der überprüft das Zertifikat und gewährt anschließend entweder den Zugriff auf den gewünschten Dienst oder lehnt ihn ab.

Als gebräuchlichste Form der Zwei-Faktor-Authentifizierung hat sich in Deutschland jedoch das SMS-Token durchgesetzt. Dabei generiert der Diensteanbieter beim Einloggen einen in der Regel sechs- oder achtstelligen Zahlencode, den er per SMS an den Nutzer schickt. Der muss die Zahlenfolge innerhalb eines fest definierten Zeitintervalls von meist wenigen Minuten am Computer eingeben, um Zugang zum gewünschten Dienst zu erhalten. Lässt er diese Zeitspanne ohne Eingabe des Codes verstreichen, kann er sich mit dieser Zahlenfolge nicht mehr anmelden.

Mit Apps

Ein ebenfalls zunehmend genutztes Verfahren zur Zwei-Faktor-Authentifizierung stellt die Verwendung von Apps zum Generieren von Einmalpasswörtern (One-time Password, OTP) dar.

Die Dienste, bei denen der Anwender ein gesichertes Konto unterhält, registriert er in der App. Auf der Website des Diensteanbieters wird bei der Registrierung ein QR-Code generiert und angezeigt. Den fotografiert der Anwender mit dem Smartphone ab und liest ihn in die App ein, um das Konto darin zu registrieren. Die App generiert anschließend eine sechs- oder achtstellige Zahlenfolge und zeigt sie auf dem Display des Smartphones an. Die Zahlenfolge muss der Anwender dann auf der Webseite des Diensteanbieters eingeben, um den Registrierungsvorgang für die Zwei-Faktor-Authentifizierung abzuschließen.

Bei jeder folgenden Anmeldung generiert das Smartphone bei Auswahl des Diensteanbieters eine neue sechs- oder achtstellige Zahlenfolge, die der Nutzer jeweils auf der Webseite des Anbieters eingibt, um sich zu authentifizieren. Die Zahlenfolgen müssen als Einmalpasswörter (Time-based OTP) innerhalb eines vorgegebenen Zeitintervalls eingegeben werden.

Unter Linux

Während es für mobile Plattformen eine Vielzahl von Authentifizierungs-Apps gibt, sind solche Anwendungen auf dem Desktop rar gesät. Authentifizierungs-Addons für Webbrowser funktionieren meist nur mit wenigen Anbietern, sodass Sie bei intensiver Nutzung der Zwei-Faktor-Authentifizierung bei vielen verschiedenen Diensteanbietern auch mehrere Browser-Addons installieren müssen.

Bei einigen der nativ unter Linux verfügbaren 2FA-Anwendungen handelt es sich zudem um proprietäre Software, sodass unangenehme Abhängigkeiten entstehen. So wurde der Authy-Authenticator für den PC-Desktop, den es auch für Linux gab, zum 19. März 2024 abgekündigt und wird nicht weiter gepflegt. Es empfiehlt sich daher, freie Software zu verwenden.

Authenticator

Mit Authenticator steht ein freies Programm für Linux zur Verfügung, das mehr als 200 Diensteanbieter unterstützt. Die GTK-Anwendung wird als Flatpak [1] bereitgestellt; die von Ihnen verwendete Distribution muss also die Flatpak-Paketverwaltung unterstützen. Das ist jedoch bei den meisten Linux-Distributionen der Fall.

Sollten Sie die Flatpak-Paketverwaltung noch nicht in Ihr System eingebunden haben, holen Sie das vorab nach (Listing 1, Zeile 2) und integrieren anschließend das Flathub-Repository ins System (Zeile 4). Nach einem Warmstart können Sie nun die App laden (Zeile 7). Bei Verwendung anderer Arbeitsumgebungen als Gnome beansprucht die Installation längere Zeit, da aufgrund von bestehenden Abhängigkeiten Teile der Gnome-Oberfläche zusätzlich in Ihr System integriert werden. Nach einem erneuten Warmstart finden Sie die Anwendung in der Menühierarchie Ihres Desktops.

Darüber hinaus führen Ubuntu und dessen Derivate Authenticator als Snap-Paket [2] in den entsprechenden Repos, sodass die Anwendung sich bei diesen Distributionen bequem über die Softwareverwaltung installieren lässt.

### Flatpak installieren
$ sudo apt install flatpak -y
### Repo einbinden
$ flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo
[... Warmstart ...]
### Authenticator einrichten
$ flatpak install flathub com.belmoussaoui.Authenticator

Problemfall X11-Server

Das bisher in den meisten Linux-Derivaten eingesetzte X Window System harmoniert nicht mit Authenticator. Die Anwendung lässt sich zwar auch auf Distributionen installieren und öffnen, die den X11-Server nutzen, kann dann jedoch keine Konten mit QR-Code-Registrierung integrieren: Das Abfotografieren der QR-Codes auf dem Bildschirm setzt ein Screenshot-Programm voraus, das den Wayland-Compositor verwendet. Mit den gängigen X11-Screenshot-Anwendungen lassen sich keine Aufnahmen für Authenticator anfertigen.

Die Wayland-Unterstützung hängt stark von der jeweiligen Desktop-Umgebung ab, und faktisch alle Projekte außer Gnome und KDE Plasma bieten bislang eine nur sehr rudimentäre Unterstützung für Wayland. Daher empfiehlt es sich für Anwender, die bislang weder Gnome noch Plasma nutzen, eine dieser Arbeitsumgebungen nachzuinstallieren.

Kontenregistrierung

Nach dem ersten Aufruf der Anwendung erscheint ein modernes, an Gnome-Konventionen orientiertes Programmfenster (Abbildung 1), das Sie auffordert, ein erstes Konto hinzuzufügen. Dazu klicken Sie auf das Plussymbol links oben in der Titelleiste. Im folgenden Dialog zeigt die App mittig Daten zum Diensteanbieter, dem Konto und dem Token an, sobald sie die entsprechenden Daten eingelesen hat.

Abbildung 1: Authenticator bedarf aufgrund der wenigen Bedienelemente keiner Einarbeitung.

Das Programm führt zudem eine Liste mit unterstützten Anbietern, die Sie über einen Klick auf das Hamburger-Menü oben rechts in der Titelleiste und Auswahl der Option Anbieter einblenden. Über das Plussymbol oben links in dieser Liste fügen Sie gegebenenfalls neue Anbieter hinzu. In der Anbieterliste sehen Sie zudem zahlreiche technische Details zur Zwei-Faktor-Authentifizierung, darunter den verwendeten Algorithmus, die Länge des erzeugten Codes sowie den Zeitraum für die Gültigkeit eines Zahlencodes (Abbildung 2).

Abbildung 2: Authenticator bringt bereits eine umfangreiche Anbieterliste mit.

Melden Sie sich nun im Webbrowser bei dem Dienst an, bei dem Sie sich per 2FA authentifizieren möchten. Je nach Konfiguration des Diensts erhalten Sie nach einem oder mehreren Schritten zur Einrichtung der Zwei-Faktor-Authentifizierung einen QR-Code angezeigt. Um das Konto in Authenticator zu registrieren, klicken Sie oben rechts im Dialog Neues Konto hinzufügen auf das QR-Code-Symbol und wählen Sie aus dem Kontextmenü die Option Bildschirmfoto. Im danach eingeblendeten Fenster der Screenshot-Applikation aktivieren Sie die Option Aktuelles Fenster aufnehmen und passen bei Bedarf die Auslöseverzögerung an. Danach klicken Sie oben rechts im Fenster auf den blauen Button Bildschirmfoto aufnehmen. Nach dem Anfertigen des Screenshots blendet die App erneut einen kleinen Dialog ein, der das abfotografierte Fenster zeigt. Um den QR-Code in Authenticator einzulesen, klicken Sie oben rechts auf den kleinen Schalter Freigeben (Abbildung 3).

Abbildung 3: Per Screenshot wird der QR-Code zur Registrierung eingelesen.

Nach der Freigabe übernimmt Authenticator den Anbieter in den Registrierungsdialog und zeigt das Konto samt den technischen Details dazu an. Sie klicken nun auf Hinzufügen oben rechts im primären Fenster des Programms. Nach wenigen Sekunden schließt die Anwendung das Registrierungsfenster. Im Hauptfenster finden Sie jetzt den registrierten Eintrag des Diensteanbieters. Die rechts daneben angezeigte sechsstellige Zahlenfolge geben Sie im Webbrowser zum Authentifizieren der Registrierung im entsprechenden Feld ein. Damit ist die Registrierung des Kontos für die Zwei-Faktor-Authentifizierung abgeschlossen.

Bedienung

In der Folge ist bei registrierten Konten stets die zusätzliche Authentifizierungsebene aktiviert, sodass Sie sich nicht nur mit Benutzernamen und Passwort, sondern jeweils auch mit einer neuen Zahlenfolge bei den entsprechenden Diensten anmelden müssen. Sobald im Webbrowser das Eingabefenster für die Aufnahme der sechs- oder achtstelligen Zahlenfolge erscheint, öffnen Sie Authenticator. Die Anwendung blendet rechts neben dem Namen des Diensteanbieters eine Zahlenfolge ein und zeigt darüber eine blaue Stoppuhr, die in der Regel in 30-Sekunden-Intervallen abläuft (Abbildung 4). Danach erhalten Sie eine neue Zahlenfolge angezeigt, und die Stoppuhr läuft erneut ab.

Abbildung 4: Authenticator generiert in Intervallen neue Zahlencodes zur Authentifizierung.

Die jeweils angezeigte Zahlenfolge kopieren Sie mit einem Klick auf das Symbol mit den beiden Papierblättern in die Zwischenablage. Von dort aus übertragen Sie sie anschließend in das dafür vorgesehene Feld der Webseite oder geben die Zahlenfolge direkt über die Tastatur ein. Damit haben Sie sich zusätzlich authentifiziert, und die Webseite gewährt Ihnen Zugang zu Ihrem Konto.

Sperre

Authenticator ist nach der Installation frei zugänglich, Sie benötigen für den Aufruf keine administrativen Rechte. Bei der Nutzung auf mobilen Geräten wie Notebooks oder Convertible-PCs kann das ein Sicherheitsrisiko darstellen: Geht das Gerät verloren, erhalten möglicherweise Unbefugte Zugriff auf den Zahlengenerator.

Um diesem Manko abzuhelfen, sollten Sie die Software zusätzlich durch ein gesondertes Passwort absichern. Dazu nutzen Sie nach einem Klick auf das Hamburger-Menü im primären Fenster den Eintrag Einstellungen des Kontextmenüs. Im sich öffnenden Dialog klicken Sie oben auf die Option Passphrase und legen im nun erscheinenden Einstellungsmenü ein Passwort fest (Abbildung 5). Nach einem Klick auf Speichern oben rechts startet die Anwendung gesperrt und muss künftig erst durch Eingabe des Passworts freigeschaltet werden.

Abbildung 5: Mit einer Passphrase sperren Sie Unbefugte aus Authenticator aus.

Sicherung

Authenticator kann Ihre persönlichen Kontodaten für die Zwei-Faktor-Authentifizierung auch sichern. Auf diesem Weg können Sie sie beispielsweise nach einer Neuinstallation weiter verwenden, ohne die gesamte Konfiguration erneut durchlaufen zu müssen.

Im Hamburger-Menü des Hauptfensters finden Sie im Untermenü Einstellungen den Reiter Sichern/Wiederherstellen (Abbildung 6). Im oberen Bereich des eingeblendeten Konfigurationsdialogs definieren Sie, wie Authenticator Ihre Daten speichern soll. Zur Auswahl steht die Sicherung als einfache Textdatei oder als JSON-File, dann entweder als Text oder mit verschlüsselten Feldern. Damit bietet Authenticator eine Kompatibilität zu mehreren 2FA-Standardformaten anderer Applikationen.

Abbildung 6: Kontodaten lassen sich in verschiedenen Formaten sichern und wiederherstellen.

Dateien dieser drei Formate sowie solche aus dem Passwortmanager Bitwarden und dem Google Authenticator können Sie im Bereich Wiederherstellen in Authenticator einlesen. Dabei nutzt Authenticator unter anderem einen von Google bereitgestellten QR-Code, den Sie via Kamera am Computer, durch Abfotografieren des Bildschirms oder aus einer QR-Bilddatei importieren. Dadurch lässt sich Authenticator simultan auf mehreren Systemen mit abgeglichenen Datenbeständen nutzen.

Fazit

Die Zwei-Faktor-Authentifizierung bei unterschiedlichsten Online-Diensten erledigen Sie auch ohne Smartphone einfach und bequem mit Ihrem Linux-Rechner. Authenticator arbeitet zuverlässig und stellt die benötigten Zahlencodes für die meisten Plattformen zur Verfügung. Die Konfiguration gestaltet sich allerdings aufgrund der fehlenden Unterstützung für den X11-Server unter Umständen etwas umständlich; die Anwendung eignet sich deshalb primär für Nutzer von Gnome und KDE Plasma. Einmal eingerichtet, trägt Authenticator jedoch signifikant zur Erhöhung der Sicherheit beim Nutzen wichtiger Online-Dienste bei. (jlu)