Allgemein IOTA Tipps

IOTA Sicherheit: 2-Faktor-Authentifizierung über das Smartphone für Krypto-Börsen

Diese Anleitung zeigt dir, wie du die Sicherheit deiner Krypto-Exchange oder auch anderen Konten erhöhen kannst, indem du eine „Zwei-Faktor-Authentifizierung“  einrichtest. Du hast noch nie von einer „2-FA“ gehört? Dann ist die Erklärung erstmal genau das richtige für dich!

Was ist eine 2-FA?

Die Zwei-Faktor-Authentifizierung ist eine einfache Methode zur Erhöhung der Sicherheit von Benutzeraccounts. Dazu zählen nicht nur Konten auf Börsen für Kryptowährungen, nein auch Plattformen wie Facebook, Twitter, Apple und E-Mail Dienste bieten diese zusätzliche Sicherheitsebene an.

Du hast sicher auch schon mal diese „überaus nervige“ Meldung, zum Beispiel auf Binance, bekommen?! Ja klar! Und was hast du gemacht? Sicher auf „Skip for now“ gedrückt, also die Einrichtung der 2-Faktor-Authentifizierung übersprungen. Doch warum eigentlich, Binance möchte dir in diesem Fall doch nur etwas Gutes tun.

Nachdem du die 2-FA auf einer Plattform eingerichtet hast, sieht der Login nämlich folgendermaßen aus:

Du gibst wie immer deinem Benutzernamen und das Passwort im entsprechenden Loginbereich ein. Wenn die Eingaben richtig sind, erscheint im nächsten Schritt eine zusätzliche Abfrage nach einem Einmalpasswort (OTP). Dieser Code wird dir entweder per SMS zugesendet oder du musst ihn über eine spezielle App auf deinem Smartphone aufrufen. Sobald du den richtigen und aktuellen Code eingegeben hast, wird der der Login gewährt. Ist der Code ungültig, bekommst du keinen Zugriff auf den Account.

OTP ist ein 6-Zeichen langer Code, welcher alle 60 Sekeunden neu generiert wird. Er ist über eine Smartphone-App wie zum Beispiel Google Authenticator oder Authy abrufbar.

Welche dieser beiden Methoden, also SMS oder App, du verwenden möchtest entscheidet mehr oder weniger erstmal die Plattform für dich. Manche Börsen oder Dienste, wie zum Beispiel Coinbase, bieten eine Abfrage über SMS oder über eine Smartphone-App an. Bei Binance hingegen, ist die Anmeldung über SMS nicht möglich. Dort muss man, wenn man die 2-FA nutzen möchte, eine App installieren.

Schön und gut, aber was hat die 2-FA mit IOTA oder Kryptowährungen zu tun?

Grundsätzlich hat diese Zwei-Faktor-Authentifizierung nicht direkt irgendetwas mit IOTA oder anderen Währungen zu tun. Auch ohne diese kannst du dich auf Börsen anmelden, Coins kaufen und verkaufen und auch auf deine Wallet senden. Die zusätzliche Sicherheitsebene dient einfach als zusätzlicher Schutz, eben auch für den Krypto-Börsen-Account, wie auch schon oben beschrieben.

Gerade die Benutzerkonten von Exchanges sollten gut abgesichert sein. Wie auch wir schon geschrieben haben, sollte man keine Coins auf den Exchanges liegen lassen, auch Aufgrund der Account-Sicherheit. Viele Benutzer ignorieren solche Empfehlungen aber, da sie aus Bequemlichkeit oder aus „Angst“ vor der IOTA LightWallet ihre Coins auf den Exchanges sicherer wägen. Was ist aber, wenn ein unbefugter auf den Account zugreift? Du kannst es dir denken, dann Sind die Coins weg. Wenn du in Zukunft aber eine 2-FA verwendest, wird ein „Angreifer“ es deutlich schwerer haben in deinen Account zu gelangen. Es sollte also klar sein, dass man diese zusätzliche Sicherheit von sich aus aktivieren sollte!

2-FA auf Bitfinex

Auch die neue IOTA Wallet „Trinity“, soll eine 2-FA für ihre Nutzer anbieten. Welche Art der Authentifizierung genutzt wird, wurde noch nicht bekanntgegeben. Voraussichtlich wird es auf eine Software, wir Authy, oder auf eine Hardware-Authentifizierung hinauslaufen.

Gegen welche Risiken schützt eine 2-FA?

Der Login auf den meisten Plattformen erfolgt über einen Benutzernamen und ein Passwort. Diese beiden Abfragen sind also der einzige „Schutz“ um unseren Account vor dem Eindringen durch dritte zu schützen. Leider verwenden wir oft keine sicheren Passwörter. Entweder sind sie zu kurz oder zu einfach, sodass wir uns diese gut merken können. Gerne werden auch die selben Passwörter für alle möglichen Webseiten und Plattformen genutzt, dies stellt natürlich auch ein zusätzliches Risiko dar.

Passwörter, vor allem einfache, können über sogenannte Brute-Force-Attacken „geknackt“ werden. Einfach erklärt, wird bei einem solchen Angriff das Passwort durch ausprobieren entschlüsselt, es werden beispielsweise Hunderttausende von Buchstaben- und Zahlenkombinationen getestet. Es kann auch Fälle geben, in denen das Kennwort durch Phishing, Netzwerk-Sniffing oder Keylogging gestohlen wird.

Die Zwei-Faktor-Authentifizierung bietet für eben genau solche Fälle eine zusätzliche Sicherheit an. Selbst wenn das Passwort kompromittiert wurde, kann ein Angreifer nicht auf das entsprechende Benutzerkonto zugreifen, da er dazu das Einmalpasswort benötigt welches du nur über dein Smartphone abrufen kannst.

Zwei-Faktor-Authentifizierung einrichten

In unserem Beispiel benutzen wir die „Authy“ App für iPhone, es gibt sie natürlich auch für Android Geräte verfügbar. Ein weitere bekannte Software bietet Google mit dem „Google Authenticator“.

Die Entwickler von Authy werben mit einigen Vorteilen ihres Authentificators zu dem von Google. Darunter zum Beispiel die Möglichkeit, die Software auf mehreren Geräte zu betreiben oder verschlüsselte Backups in der Cloud zu speichern. Das bedeutet, dass selbst wenn das Handy mit der Authy-App verloren geht, eine Wiederherstellung der sogenannten „Authy Token“, über ein Master-Passwort einfach möglich ist.

Inwiefern Authy wirklich besser ist als Google oder weitere 2-FA Software, muss jeder selber entscheiden. Es sollte auch gesagt sein, dass es bei Authy letztes Jahr eine Sicherheitslücke gab, durch welche die Umgehung der 2-FA möglich war. Es ist wie überall, eine 100% tolle Software kann sicher kein Entwickler bieten.

Download, Installation und Einrichtung von Authy

Zuerst muss natürlich die Authy App heruntergeladen und installiert werden. Dies geschieht je nach Gerät über den Apple Store oder über Google Play. Um die Software zu finden, einfach mal „Authy“ in das Suchfeld eingeben. Zu erkennen ist es dann am Logo, welches du auch hier im nebenstehenden Bild siehst.

Sobald die Installation abgeschlossen ist, kannst du Authy öffnen. Im ersten Schritt wirst du nach deiner Handynummer gefragt. Also erstmal Ländervorwahl eingeben, dafür nach Germany suchen. Danach die Nummer eingeben. Bei der Erstanmeldung, also wenn Authy keine schon registrierte Handynummer erkennt, musst du auch noch deine E-Mail Adresse eingeben. Anschließend wirst du gefragt, wie du deinen Verifikations-Code erhalten möchtest. Bei Erstanmeldung einfach SMS oder Anruf wählen. Bei der Registrierung eines Zweitgeräts, kannst du auch „Use existing device“ auswählen. Dazu musst du aber Zugriff auf das andere Gerät haben. Wenn du die SMS mit dem Code erhalten hast, gibst du diesen im dafür vorgesehenen Feld ein.

Mit der Eingabe des Codes ist die Installation und Registrierung deiner Handynummer nun abgeschlossen. Jetzt können wir an die weitere Einrichtung der App gehen.

Als Erstes ist es zu empfehlen, einen Protection-Pin einzurichten. Dieser Pin schützt die Authy App vor dem Zugriff von unbefugten und muss bei jedem Start der Anwendung eingegeben werden. Also selbst wenn du dein Handy irgendwo liegen lässt oder es geklaut wird, hat diese Person keinen Zugriff auf deine 2-FA. Um diese Sicherheitsabfrage einzurichten musst du im Startbildschirm der Anwendung oben rechts auf „Settings“ klicken. Im Fenster danach müsstest du jetzt einen Button mit „Protection Pin“ sehen, welchen du anklickst. Dort kannst du nun einen PIN auswählen und einrichten. Auch die Entsperrung über Touch-ID, also über deinen Fingerabdruck ist möglich (Das Gerät muss dies natürlich unterstützen).

Eine zusätzliche Option welche zu empfehlen ist, ist die Backup Funktion. Mit dieser kannst du deine 2-FA beim Verlust deines Handys wiederherstellen. Das Backup wird über ein Passwort gesichert, dieses musst du dir natürlich irgendwo notieren oder merken. Solltest du das Passwort verlieren, hast du natürlich auch keinen Zugriff mehr auf deine Backups. Die Backups werden, nach Angaben von Authy, verschlüsselt auf deren Servern gespeichert.
Um die Backups zu aktivieren musst du im Startbildschirm von Authy wieder auf Settings klicken. Danach unten auf „Accounts“. In diesem Reiter werden zukünftig all deine eingerichteten Accounts angezeigt. Oben kannst du den Schieber bei „Authenticator Backups“ aktivieren. Jetzt ein sicheres Passwort eingeben, dieses wie gesagt notieren oder merken, und das Passwort nochmal bestätigen.

Mit diesem Schritt ist die Konfiguration von Authy erst einmal abgeschlossen. Nun können wir endlich eine 2-FA auf einer Börse einrichten, in unserem Beispiel auf Coinbase.

Beispiel: 2-FA auf Coinbase aktivieren

In diesem Step richten wir nun die Zwei-Faktor-Authentifizierung auf Coinbase ein. Diese Anleitung kannst du teilweise auch auf andere Börsen oder Plattformen adaptieren. Die einzelnen Schritte auf den Webseiten dieser Services laufen natürlich anders ab, der Teil mit Authy ist aber gleich.

Im Coinbase Dashboard oben auf den Reiter „Einstellungen“ (1) klicken, danach auf „Sicherheit“ (2) im Reiter darunter. Anschließend siehst du auf der linken Seite dieser Seite eine Headline mit „Zwei-Faktor-Authentifizierung“. Dort erstmal auf den Button „Authentifikator aktivieren“(3) klicken. Es wird sich nun ein Pop-up Fenster öffnen in welchem unser Authy 2-FA mit Coinbase verknüpft wird.

In Coinbase wird dir im Pop-up Fenster nun ein QR-Code angezeigt. Diesen Code musst du über die Authy-App einscannen um die Verknüpfung zwischen den beiden herzustellen. Dazu in der App ganz unten auf das rote „+ (Add Account)“ klicken. Im nächsten Step auf „Scan QR Code“, es öffnet sich deine Smartphone Kamera. Jetzt mit der Kamera auf den QR-Code auf der Coinbase Seite „zielen“ und den Code einscannen.

Im Authy Bildschirm wird dir ab sofort ein Code angezeigt der sich, wie oben schon beschrieben, alle 60 Sekunden verändert. Dieses OTP muss zur weiteren Einrichtung des 2-FA jetzt auf der Coinbase Seite eingegeben werden. Im noch offenen Fenster mit dem QR-Code befindet sich dazu im unteren Bereich ein Eingabefeld. Also, aktuellen Code eintragen und auf „Aktivieren“ klicken.

Das war es auch schon! Deine erste 2-FA hast du jetzt erfolgreich eingerichtet.

Um sie auszutesten, kannst du dich nun aus deinem Coinbase Account ausloggen. Anschließend wie gewohnt, mit Benutzernamen bzw. E-Mail Adresse und Passwort auf Coinbase anmelden. Im nächsten Schritt sollte, wir auf dem Bild zu sehen, die zusätzliche Code-Abfrage verlangt werden. Nun in der Authy-App den Service Coinbase auswählen den wir soeben eingerichtet haben. Auf dem Smartphone Bildschirm erscheint nun ein 6-stelliger Code, diesen einfach in das Feld auf Coinbase eintragen und auf verifizieren klicken. Der Login sollte jetzt funktionieren und du in das Dashboard weitergeleitet werden.

Zusammenfassung

Nochmal kurz alle Punkte in der Kurzübersicht um eine 2-FA einzurichten:

  • Authy herunterladen und installieren.
  • App öffnen und mit deiner Handynummer einrichten.
  • PIN-Schutz aktivieren.
  • Backup Funktion aktivieren -> sicheres Passwort wählen
  • Master Passwort für das Backup sicher verwahren, z.B. aufschreiben und archivieren!
  • Service hinzufügen auf welchem du die 2-FA aktivieren möchtest.
  • 2-FA ausprobieren, um sicher zu sein, dass alles richtig eingerichtet wurde

Genaue Anleitungen zur Einrichtung von Authy bei den diversen Konten und Börsen, gibt es auf deren Webseite. Auch die Seiten der Börsen, bieten diese Anleitungen meist direkt in ihrem FAQ Bereich an. Sobald du aber ein mal eine 2-FA eingerichtet hast, ist es selbsterklärend!

Wo sollte man die 2-FA verwenden?

  • Krypto-Börsen: Hier gibt es wirklich viele Plattformen welche eine 2-FA erlauben. Dazu gehören viele große wie Coinbase, Bitcoin.de, Binance, Bitfinex & Kraken.
  • E-Mail Account: Leider bieten nur wenige E-Mail Dienste die Möglichkeit, eine 2-FA zu aktivieren. Dazu gehören z.B. Google, Microsoft und Yahoo.
  • Passwort Manager: Solltest du einen Passwort Manager benutzen, wie zum Beispiel LastPass ist eine 2-FA ein Muss! Schließlich werden hier all deine Passwörter gespeichert.
  • Dropbox & iCloud: Auch diese Dienste bieten eine 2-FA an. Sofort aktivieren, hier werden oft private Bilder und Dokumente gespeichert.
  • Facebook, Twitter & Co.: Wer die volle Sicherheit seines Accounts möchte, kann auch hier eine 2-FA aktivieren.

Dies sollen nur einige Beispiele sein, damit man einen Überblick darüber bekommt, wo du in Sachen Sicherheit noch etwas tun kannst.

Meinung

Unserer Meinung nach, ist die Sicherheit unserer Benutzerkonten ein wichtiges Thema. Stille Mitleser in unseren Accounts können wir nicht gebrauchen! Dabei ist es egal, ob es sich um ein E-Mail, ein Social-Media oder ein Konto einer Krypto-Börse handelt. Und genau deshalb ist es wichtig, diese Konten gut abzusichern und zu schützen. Dabei unterstützt uns die 2-Faktor-Authentifizierung, wie man sich denken kann, um einiges.

Um zu sehen, welche Konten sich per 2-FA schützen lassen, gibt es zwei Webseite die empfehlenswert sind:
www.dongleauth.info und www.twofactorauth.org

Verwandte Artikel

Kommentar verfassen: (mit Facebook, Twitter oder Google Konto)

IOTA Ticker

Folge uns auf Twitter

Blog via E-Mail abonnieren

Gib deine E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 45 anderen Abonnenten an