Hauptinhalt

Doppelt hält besser mit der Zwei-Faktor-Authentisierung

Das Bild zeigt zwei Torwarte in einem Tor, auf das ein Ball geschossen wird

Warum?

Passwörter stellen allgemein immer noch eine gewisse Sicherheitslücke dar. Obwohl den meisten klar ist, dass Passwörter niemals doppelt verwendet werden sollten, wird dies aus Bequemlichkeit immer noch oft getan. Um Systeme oder Konten besser zu schützen und den Diebstahl von Daten und Identitäten zu erschweren, kann man das Log-In um einen weiteren Faktor neben dem Passwort ergänzen. Ganz nach dem Motto: Doppelt hält besser!

Für welche dienstlichen Anwendungen?

Insbesondere durch die Ausweitung des Home-Office in der Corona-Pandemie, aber auch ganz generell durch die Zunahme mobilen Arbeitens mit Smartphone und Laptops wurden wieder verstärkt dienstliche Anwendungen genutzt, die aus dem Internet erreichbar sind. Dazu gehört in erster Linie die als OWA bekannte Anwendung (Microsoft Outlook Web Access), die von allen Geräten den Zugang zu den dienstlichen Outlook-Funktionen wie Mail und Kalender ermöglicht. Um die Sicherheit der hier erreichbaren Daten zu erhöhen, wird ab 10. Januar 2022 die so genannte Zwei-Faktor-Authentisierung für OWA eingeführt. Das bedeutet, dass Sie ab dann nur noch unter der Verwendung eines OTP-Token (Hardware) bzw. der TeleSec OTP-Authenticator App (Software auf ihrem Smartphone), die Sie mitunter schon für Ihren Home-Office-Rechner nutzen, Zugang zu OWA haben werden. Die IT-Stelle Ihrer Behörde wird Sie dazu im Detail informieren und Ihnen bei Bedarf die Hard- bzw. Software zur Verfügung stellen.

Eine Grafik mit Smartphone

Wie funktioniert der Log-In mit dem zweiten Faktor? Sie erreichen Ihr Online E-Mail-Konto OWA unter der Webadresse: http://wm.sachsen.de/

1. Zeile: Anmeldename

  • Dieser setzt sich zusammen aus den folgenden Elementen: Behördenkürzel \ Nutzername Ihres dienstlichen Accounts (meist Nachname plus Anfangsbuchstabe(n) des Vornamens), z.B. smi\musterma
  • Achten Sie darauf alles in Kleinbuchstaben einzugeben!

2. Zeile: AD-Passwort

  • Das AD-Passwort ist das Passwort, mit dem Sie sich auch auf Ihrem Rechner einloggen.

3. Zeile: Einmalpasswort (zweiter Faktor)

  • Dieses Passwort wird durch ihren OTP-Token (kleines Gerät mit einfachem Display) oder durch die TeleSec OTP-Authenticator App auf ihrem Smartphone erzeugt. Die angezeigten Ziffern sind einzugeben, gleich dahinter dann noch die 4-stellige Token-PIN. Bei der Verwendung einer Token-App muss hier keine PIN zusätzlich eingegeben werden.
Eine Grafik mit stilisiertem Passwort

Hintergrund

Eine Authentisierung mittels mehrerer Faktoren beginnt in vielen Fällen mit der gewöhnlichen Eingabe eines guten Passworts. Das System, in das sich Nutzerin oder Nutzer einloggen möchten, bestätigt daraufhin die Richtigkeit des eingegebenen Kennworts. Dies führt jedoch nicht - wie bei einfachen Systemen üblich - direkt zum gewünschten Inhalt, sondern zu einer weiteren Schranke. Auf diesem Weg wird verhindert, dass unbefugte Dritte Zugang zu Nutzerdaten oder Funktionen erhalten, nur weil Sie in den Besitz des Passworts gelangt sind.

Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z.B. Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) verwendet wird.

TAN/OTP-Systeme als zweiter Faktor nach einem Passwort: Eine TAN bzw. ein OTP ist ein Einmalkennwort, das als zweiter Faktor übermittelt werden kann. In der Vergangenheit wurden TANs vorab auf Papierlisten (iTAN) bereitgestellt, dieses Verfahren gilt jedoch seit geraumer Zeit als nicht mehr sicher genug. Besser sind TAN-Generatoren (Hardware) bzw. Authenticator Apps (Software), die Einmalkennwörter zeit- oder ereignisbasiert stets neu generieren.

Eine Grafik mit Lupe und verstecktem Passwort

Ist Ihr Passwort gut? Überprüfen Sie es – sicher!

Prinzipiell ist es natürlich immer gut, wenn auch Ihr erster Faktor bei einem Log-In den aktuellen Sicherheitsansprüchen genügt. Auf der Internetseite https://apps.sachsen.de/cert/passwortcheck können Sie Ihr aktuelles Passwort oder auch Ihr beabsichtigtes zukünftiges Passwort auf seine Güte hin überprüfen – natürlich völlig anonym und sicher.

Eine Grafik mit Rechner und Passwort

Auch im Privaten sinnvoll

Was im dienstlichen Umfeld eingeführt wird, ist natürlich auch im Privaten sinnvoll. Mittlerweile bieten viele Online-Dienstleister Verfahren an, mit denen Sie sich zusätzlich bzw. alternativ zur Passworteingabe identifizieren können, wenn sie sich in ein Konto einloggen. Die 2FA gibt es in zahlreichen Varianten, u.a. in diesen bekannten Online-Anwendungen bzw. Technologien:

  • Mail- oder Cloud-Anbieter, Social Media Plattformen oder Online-Händler: Sicherer Log-In mit Passwort und mTAN oder einem OTP aus einer Authenticator-App, alternativ auch hardwarebasiert mit einem U2F/FIDO-Token. Verbreitete Authenticator-Apps für private Anwendungen sind u.a. Google Authenticator, Microsoft Authenticator, Duo Mobile, Free OTP, Authy
  • Online-Banking: Anmeldung mit Passwort und Bestätigung von Transaktionen zusätzlich mit TAN via mTAN oder pushTAN, alternativ auch kartenbasierte Systeme wie chipTAN oder HBCI.
  • Debit- oder Kreditkartenzahlung: Der Chip in der Karte zeigt den Besitz an und das Wissen der PIN legitimiert den Vorgang.
  • Online-Ausweisfunktion des Personalausweises: Zur Datenübermittlung muss der Chip im Ausweis durch Eingabe der PIN zunächst freigegeben werden. Zusätzlich findet eine gegenseitige Authentisierung zwischen Ausweis und Diensteanbieter statt und die ausgelesenen Daten werden Ende-zu-Ende verschlüsselt zum Diensteanbieter übertragen.
  • Steuererklärung: Mit ELSTER kann die Steuererklärung digital eingereicht werden, die Anmeldung erfolgt mit einem passwortgeschützten Softwarezertifikat oder der Online-Ausweisfunktion des Personalausweises.
zurück zum Seitenanfang