das abfangen von sensiblen daten wie passwörtern und TANs beim online-geldtransfer wird für den angreifer schwer, wenn wir das auf zwei geräte verteilen. die meisten von uns haben zwei geräte, zum beispiel einen PC und ein mobiltelefon. beim online banking bieten die meisten banken die mTAN an. sie wird als SMS aufs mobiltelefon geliefert. das macht besonders dann sinn, wenn man sich auf einem anderen gerät mit seiner bank verbindet.
ich wollte das am beispiel von paypal zeigen, wo ich seit längerem nach dem normalen einloggen mit name und passwort einen zweiten log-in-vorgang mache, mit einem so genannten “sicherheitsschlüssel”. er ist kostenlos, wird über eine separate app erzeugt. man muss dieses sicherere login-verfahren über die einstellungen im paypal-konto aktivieren. im reiter “sicherheit” gibt es den eintrag “sicherheitsschlüssel”. durch klick auf “bearbeiten” kann man nun einen schlüssel hinzufügen. welchen, sage ich gleich.
aktivierung des sicherheitschlüssels in den paypal-einstellungen
im obigen beispiel ist der sicherheitsschlüssel bereits aktiv, und zwar mit einer “seriennummer”, die mit irgendwelchen buchstaben wie VS… beginnt, denen dann zahlen folgen. dies ist die “gerätenummer” meines schlüsselgenerators. wenn man da noch nichts stehen hat, folgt man dem link weiter unten: “sie haben noch keinen sicherheitsschlüssel?”
meinen sicherheitsschlüssel erzeugt eine app auf meinem smartphone, die sich VIP access nennt und von symantec stammt. symantec ist mir persönlich unsympathisch, weil deren virenschutz am PC sich so tief ins system eingräbt, dass man ihn auch beim wechsel des virenschutzanbieters kaum mehr loskriegt. aber diese app ist schön einfach, kostenlos und praktisch:
VIP Access ist eine smartphone-app, die einen temporären schlüssel generiert.
man kann, wenn man ganz auf nummer sicher gehen will, das smartphone in den flugmodus stellen; die app funktioniert offline. ruft man sie auf, sieht sie so aus:
die app erzeugt alle 30 sekunden einen neuen schlüssel.
diese app erzeugt alle 30 sekunden einen neuen sechsstelligen schlüssel, eben den sicherheitsschlüssel. es gibt auch geräte zum anfassen, also hardware, die genau das tut, sie kostet aber was. auch deren sinn ist es, den log-in-vorgang auf zwei geräte zu verteilen. der schlüssel ist an zwei faktoren gebunden: die uhrzeit und die gerätenummer.
konkret geht das einloggen bei paypal dann so vor sich: ich surfe (nicht am handy, sondern am tablet oder am PC) zu paypal, gebe name und passwort ein. im nächsten schritt fragt mich paypal nach einem aktuellen sicherheitschlüssel auf dem gerät VS… jetzt rufe ich die app am smartphone auf, warte gemütlich, bis die aktuellen 30 sekunden um sind. dann erscheint ein neuer schlüssel groß und gelb, und diese sechs ziffern gebe ich nun am PC ins zweite log-in-feld ein. paypal würde feststellen, wenn der code von einem anderen gerät käme oder veraltet ist. kein hacker kann mit dem code von vor 40 sekunden etwas anfangen. die app kann ich schließen, das war’s.