Nach der Veröffentlichung persönlicher Daten von zahlreichen Politikern und Prominenten im Januar empfahlen viele Sicherheitsexperten den Nutzern, die Zwei-Faktor-Authentifizierung (2FA) zu verwenden. Seit heute können auch die rund 18 Millionen GMX-Kunden die Sicherheitstechnik zur Absicherung ihrer E-Mails und Cloud-Daten aktivieren. Haben sie dies getan, müssen sie zusätzlich zu Benutzernamen und Passwort einen sechsstelligen Code eingeben. Dieser wird nach dem TOTP-Standard (Time-based One-time Password) in einer App oder einem Browser-Addon generiert. Das sicherere Webauthn wird seitens GMX vorerst nicht unterstützt.

Der E-Mailanbieter Web.de, der wie GMX zu United Internet gehört, soll Ende Juni ebenfalls Zwei-Faktor-Authentifizierung erhalten.

Will ein GMX-Nutzer die neue Zwei-Faktor-Authentifizierung aktivieren, muss er zuerst seine Handynummer angeben und bestätigen. Technisch notwendig ist dies allerdings nicht. „Das ist ein wichtiger Faktor, falls der Kunde seine OTP-App verliert oder das Passwort vergisst“, erklärt Christian Schäfer-Lorenz, Leiter technisches Produktmanagement bei GMX und Web.de. Über die Handynummer könne GMX dem Nutzer dann eine Hilfestellung zukommen lassen. Zusätzlich, aber nicht alternativ, lassen sich E-Mail-Adressen bei anderen Anbietern angeben. Die Daten würden nicht zu Werbezwecken verwendet, versichert Schäfer-Lorenz.

GMX bietet als zweiten Faktor ausschließlich TOTP an. Bei dem Verfahren kommt ein Schlüssel zum Einsatz, der sowohl dem Dienst (also GMX) als auch dem Nutzer bekannt ist. Auf Basis des Schlüssels und der aktuellen Uhrzeit wird alle dreißig Sekunden ein neuer kryptografischer Hash-Wert generiert, aus dem ein sechsstelliger Code abgeleitet wird. Der Nutzer gibt diesen neben Benutzername und Passwort beim Anmeldevorgang ein. Auch der Dienstanbieter generiert den Code auf Basis desselben Schlüssels. Stimmen beide Codes überein, wird der Nutzer angemeldet.

Um diesen Code generieren zu können, muss der Nutzer den von GMX generierten Schlüssel mittels QR-Code-Scan, Copy-and-paste oder Abtippen an eine TOTP-App übertragen. GMX selbst bietet keine an, sondern verweist auf die bereits vorhandenen Apps, beispielsweise den Google Authenticator, Authy oder den Microsoft Authenticator. Alternativ könnten User auch Browser-Plugins verwenden, sagt Schäfer-Lorenz.

TOTP kommt in der Branche zwar häufig zum Einsatz, hat aus einer Sicherheitsperspektive jedoch auch seine Schwächen. Neben diesen technischen Schwächen lässt sich bei manchen Diensten zudem die Zwei-Faktor-Authentifizierung leicht zurücksetzen und dadurch umgehen. GMX hat Golem.de erklärt, wie sie mit einem solchen Szenario umgehen.

Voraussetzung für alle beteiligten Geräte ist, dass sie eine relativ genaue Uhrzeit verwenden. Weicht die Uhrzeit zu stark ab, werden nicht die aktuellen TOTP-Codes generiert. Die meisten Smartphones synchronisieren ihre Uhrzeit automatisch, entsprechend dürfte dies nur selten zum Problem werden.

Das TOTP-Verfahren hat allerdings weitere Schwächen. Kennt ein Dritter den Schlüssel, kann auch er die 2FA-Codes erzeugen. Zudem ist das Verfahren nicht Phishing-resistent. TOTP erschwert Phishing zwar, macht es aber nicht unmöglich. Gibt ein Nutzer beispielsweise seine Zugangsdaten sowie den TOTP-Code auf einer Phishingwebsite ein, kann diese das kleine TOTP-Zeitfenster nutzen, um sich mit den Daten bei dem eigentlichen Dienst einzuloggen. Die Software Modlishka kann das Verfahren beispielsweise für Google-Dienste automatisieren und sich so trotz des zweiten Faktors mithilfe von Phishing Zugang zu den Nutzerdaten verschaffen. Die sicherere Alternative Webauthn ist durch Public-Key-Kryptografie vor solchen Angriffen geschützt. „Webauthn schauen wir uns zurzeit an“, sagt Schäfer-Lorenz. Konkrete Pläne gebe es derzeit aber noch nicht.

Ein kritischer Punkt bei der Implementierung ist die 2FA- beziehungsweise Passwort-zurücksetzen-Funktion, die auch Angreifer missbrauchen können. Beispielsweise konnte der Politiker-Hacker Orbit ein Twitter-Konto trotz Zwei-Faktor-Authentifizierung übernehmen, indem er den Twitter-Support dazu überredete, eben jene Sicherheitsfunktion auszuschalten.

GMX erzeugt bei der Einrichtung einen „Geheimschlüssel“. Im Notfall kann der Nutzer den Geheimschlüssel über einen Recovery-Link, der ihm per SMS oder an eine hinterlegte E-Mail-Adresse geschickt wird, eingeben und die Zwei-Faktor-Authentifizierung zurücksetzen. Entsprechend sicher sollten Nutzer den Geheimschlüssel verwahren.

„Wenn wirklich alle Stricke reißen, gibt es auch die Möglichkeit, die hinterlegte Postadresse mit dem Personalausweis abzugleichen und dem Kunden einen neuen Geheimschlüssel per Brief zu schicken“, sagt Schäfer-Lorenz. Sind die entsprechenden Daten bei GMX nicht oder falsch hinterlegt, könne kein Zugang zum Konto gewährt werden – aus Sicherheitsgründen. Ein Fall wie bei Twitter dürfe nicht passieren. „Sonst kann man das mit der Zwei-Faktor-Authentifizierung auch gleich sein lassen“, kommentiert Schäfer-Lorenz.

Nutzer von Mailprogrammen wie Thunderbird oder Outlook können derzeit keine Zwei-Faktor-Authentifizierung benutzen. Die verwendeten Protokolle IMAP, POP3 und SMTP unterstützen dies schlicht nicht. Wie viele andere Mailanbieter, die Zwei-Faktor-Authentifizierung anbieten, löst GMX dies durch anwendungsspezifische Passwörter. Diese können in der Weboberfläche von GMX generiert werden und ermöglichen Mailprogrammen einen Zugriff auf das Postfach ohne zweiten Faktor. „Wer Wert darauf legt, immer einen zweiten Faktor zu verwenden, sollte unsere Apps und Webmail verwenden“, sagt Schäfer-Lorenz.

Autor des Artikels ist Moritz Tremmel.