Hoffentlich hast du dich inzwischen für ein ProtonMail- oder Tutanota-Konto registriert und bist bereit, einige Konten zu übertragen. Also ist es Zeit, einige Tipps zu besprechen, wie du deine Konten dicht verschlossen hältst, damit ein Gegner sie nicht klaut. Dieser Abschnitt gilt eigentlich nur für nicht-staatliche Akteure, die dich in böser Absicht angreifen. Wenn eine Regierungsbehörde wie das FBI hineinwill, braucht sie nur einen Durchsuchungsbeschluss.
Das Wichtigste, was du bedenken musst, ist, wie dein Konto verifiziert wird. Die meisten Internetseiten nutzen E-Mail, weil es sie schon so lange gibt. Dein ProtonMail-Konto zu verknüpfen macht die Sache also umso sicherer, denn deine ProtonMail-E-Mail ist unglaublich sicher vor Übernahme, es sei denn, jemand sieht dir beim Eintippen beider Passwörter zu (was durch die Verwendung der LastPass-Erweiterung in deinem Browser vereitelt wird), oder du fängst dir einen Keylogger auf deinem Computer ein (was immer noch wahrscheinlich durch die LastPass-Erweiterung vereitelt wird). Selbst wenn dein ProtonMail-Konto einem guten Teil der Öffentlichkeit bekannt ist, weil du es entweder herausgegeben oder irgendwo öffentlich wie auf deinem Blog gepostet hast, müssen sie immer noch hinein, um ein Passwort-Reset für dein Konto durchzuführen.
Als Nächstes wirst du sichergehen, dass du die Sicherheitseinstellungen durchgehst, die die Website dir bietet, und ein wenig recherchierst, welche zusätzliche Sicherheit diese Optionen bieten. Nimm zum Beispiel Twitter, sie erlauben dir, persönliche Informationen zu verlangen, um dein Konto zurückzusetzen. Das bedeutet, ein Gegner muss deine E-Mail oder Telefonnummer eintippen, um den Reset-Prozess für dein Passwort überhaupt zu beginnen. Ein weiteres Beispiel wäre PayPal, das verlangt, dass du deine Kreditkarteninformationen eingibst UND eine E-Mail oder Textnachricht mit einem Reset-Code erhältst, bevor eine Passwortänderung erlaubt wird. Aber wo es möglich ist, nutze immer Zwei-Faktor-Authentifizierung.
Bestätigung in zwei Schritten und Zwei-Faktor-Authentifizierung
Es gibt eine große Diskussion darüber, ob es Unterschiede zwischen der Bestätigung in zwei Schritten und der Zwei-Faktor-Authentifizierung gibt. Es scheint, als würden Google, Apple und Microsoft eher die erste der beiden verwenden, während die meisten anderen Seiten die Zwei-Faktor-Authentifizierung (2FA) nutzen. Die Idee bei der Trennung der beiden ist, dass 2FA etwas Physisches ist, das du hast, wie ein Yubikey, eine Smartcard, ein Fingerabdruck oder ein CryptoKey. Die Bestätigung in zwei Schritten erfordert eine zweite Form der Authentifizierung neben deinem Passwort, wie einen TOTP-Code (Time-based One-time Password Algorithm) aus einer Authenticator-App oder eine an dein Telefon gesendete Textnachricht.
Ich sollte es nicht … aber ich verwende die obigen beiden ziemlich austauschbar. Ich glaube, der Begriff, den ich am häufigsten verwende, ist Zwei-Faktor-Authentifizierung (2FA), und es ist sehr gut möglich, dass ich diese Terminologie falsch verwende, um Methoden wie SMS-Auth und TOTP zu beschreiben, aber ich werde sie für den Rest dieses Textes verwenden. Generell würde ein Verifizierungscode, der an deine E-Mail gesendet wird, als unsichere Form der Zwei-Faktor-Authentifizierung gelten, denn wenn deine E-Mail kompromittiert ist, haben sie sowohl deine 2FA-Methode als auch die E-Mail, die zum Zurücksetzen deines Passworts nötig ist. Ebenso ist SMS- oder sprachbasierte 2FA auch ziemlich unsicher, da dein Mobilfunkanbieter “ausgetrickst” werden kann (http://www.securityweek.com/hackers-tricked-att-network-solutions-employees-tesla-attack), genug Details über dein Konto preiszugeben, um deine Texte an eine andere Nummer weiterzuleiten, und mit dem Fortschritt der Technik geben dir manche Anbieter auch die Möglichkeit, deine Nachrichten über ihr Online-Kontoportal zu lesen. Die besten 2FA-Methoden sind richtig umgesetztes TOTP, Yubikey oder biometrische Authentifizierung.
“Time-based One-time Password Algorithm (TOTP) ist ein Algorithmus, der ein Einmalpasswort aus einem gemeinsamen geheimen Schlüssel und der aktuellen Zeit berechnet” (Wikipedia). Im Grunde installieren wir eine Anwendung wie Google Authenticator auf unserem Telefon und verknüpfen unser Konto damit, indem wir das gemeinsame Geheimnis erzeugen und eingeben. Das synchronisiert sich mit der aktuellen Zeit und erzeugt alle 30 Sekunden (üblicherweise) einen neuen 6-stelligen Code. Nachdem der Nutzer seine E-Mail/seinen Benutzernamen und sein Passwort auf der Website eingegeben hat, muss er dann den 6-stelligen Code eintippen, den die Authentifizierungs-App zur aktuellen Zeit erzeugt hat. Das wäre die Nutzung von etwas, das man weiß (Passwort), und etwas, das man hat (TOTP-Code), um sein Konto abzusichern. Das ist meine bevorzugte Methode, um meine Online-Konten abzusichern. Alle TOTP-Codes werden an meine Smartwatch gesendet und sicher um mein Handgelenk gespeichert. Ich brauche mein Telefon die meiste Zeit nicht einmal, um mich einzuloggen.
Ich finde, Yubico gibt eine bessere Beschreibung davon, wie ein YubiKey für 2FA funktioniert, als ich es könnte, hier also der Auszug von ihrer Seite:
Ein YubiKey ist ein kleines Gerät, das du bei einem Dienst oder einer Seite registrierst, die Zwei-Faktor-Authentifizierung unterstützt. Zwei-Faktor-Authentifizierung bedeutet, dass der Dienst bei jedem Login einen Nachweis verlangt, dass du deinen YubiKey hast, zusätzlich zu deinem normalen Benutzernamen und Passwort. Phishing, Malware und andere Angriffsmethoden funktionieren nicht, weil sie sowohl deinen physischen Schlüssel als auch deine Passwörter bräuchten, um in deine Konten einzudringen. Zwei-Faktor-Authentifizierung mit einem YubiKey macht deinen Login sicher und hält deine Informationen privat. Der YubiKey erfordert nicht mehr als ein einfaches Antippen oder Berühren. Es sind keine Treiber oder spezielle Software nötig. Du kannst deinen YubiKey auf mehreren Computern und Mobilgeräten nutzen, und ein Schlüssel unterstützt beliebig viele deiner Konten. YubiKeys sind nahezu unzerstörbar, häng ihn einfach an deinen Schlüsselbund zu deinen Haus- und Autoschlüsseln.
Was Sicherheitsfragen und -antworten angeht, wärst du gut beraten, sie in deinem LastPass-Konto zu speichern, sodass du sie vom Naheliegenden fernhalten kannst. Was ich damit meine, ist, dass du, anstatt den Namen deines Hundes zu verwenden (der erraten oder ermittelt werden könnte), ein Symbol vor oder hinter deine Antwort setzen könntest, etwa: %Baxter statt Baxter. Ein Vorschlag für maximale Sicherheit wäre, zufällige Zeichen zu verwenden und sie zu speichern, damit du sie nicht vergisst.
Für Menschen, die in sozialen Medien sehr aktiv und/oder berühmt sind, oder für Geschäftsleute, die wichtige Websites absichern, die womöglich wichtige Kundendaten verarbeiten, ist die Zwei-Faktor-Authentifizierung eine unglaublich wichtige Sache, die man auf allen Websites/Diensten aktivieren sollte, die einem die Option geben. Es mag eine Lernkurve sein, aber es wird dich am Ende vor einem Angriff auf deine Identität bewahren.