Klopfers Web und die Zwei-Faktor-Authentifizierung
Auf Klopfers Web können angemeldete Mitglieder eine Zwei-Faktor-Authentifizierung aktivieren, um ihre Benutzerkonten besser vor Missbrauch abzusichern.
Was ist eine Zwei-Faktor-Authentifizierung?
Bei der Zwei-Faktor-Authentifizierung (englisch Two Factor Authentication oder oft auch kurz TFA oder 2FA) benötigt man neben dem Passwort (oder dem Zugriff auf die Mailadresse, falls man Login per Mail aktiviert hat) noch einen zweiten Faktor, um sich als berechtigter Benutzer des Profils auszuweisen.
Dieser zweite Faktor ist ein Code, den eine App zumeist auf dem Smartphone erstellt und welcher nur für kurze Zeit gültig ist. Es gibt viele Apps, die man hierfür verwenden kann und die alle nach dem gleichen Prinzip arbeiten. Am bekanntesten ist sicherlich der Google Authenticator, es gibt aber zum Beispiel auch noch den Microsoft Authenticator, FreeOTP oder Authy.
Der Sinn der Sache ist natürlich, dass jemand, der irgendwie das Passwort herausbekommen hat, sich dennoch nicht einloggen und mit dem Benutzerkonto Blödsinn anstellen kann, weil ihm der Zugriff auf das eine Handy fehlt, das den verlangten zusätzlichen Code generieren kann.
Entstehen durch die Verwendung dieser Authenticator-App irgendwelche Kosten?
Nein (außer halt für den Strom, den dein Schlaufon verbraucht). Die Apps selbst sind kostenlos und für die Generierung der Codes werden auch keine Daten übertragen, die Sache funktioniert also auch dann, wenn keine Internetverbindung besteht. Nur die Uhrzeit auf dem Handy muss recht genau stimmen, weil jeder Code nur 90 Sekunden lang gültig ist (und dabei nur 30 Sekunden angezeigt wird). Das heißt aber nicht, dass man in derselben Zeitzone sein muss; jemand in Japan muss sein Handy nicht auf deutsche Zeit umstellen, um gültige Codes zu kriegen.
Wie wird die Zwei-Faktor-Authentifizierung eingerichtet?
Auf der Seite zur Einrichtung der Zwei-Faktor-Authentifizierung wird ein großer QR-Code angezeigt. In der Authenticator-App seiner Wahl wählt man aus, dass man einen Account hinzufügen will, und zeigt dann mit der Handy-Kamera auf diesen großen QR-Code. Alternativ kann man auch per Hand den Schlüssel eingeben, der unter dem Code angezeigt wird.
Die App sollte die Information dann automatisch hinzufügen und schon einen Code anzeigen. Diesen Code (und sein Passwort) gibt man auf den angezeigten Formularfeldern ein und klickt auf „Aktivieren“.
Was mache ich, wenn ich mein Handy verloren habe?
Direkt nach der Aktivierung wird eine Seite angezeigt, die nicht nur sagt, dass die Funktion jetzt aktiv ist, sondern auch 8 Notfallcodes präsentiert, die man immer dann eingeben kann, wenn man gerade keinen Zugriff auf das Handy hat. Diese Codes sind jeweils nur einmal gültig.
Man sollte sich diese Seite also ausdrucken oder die Codes per Hand aufschreiben und an einem sicheren Ort verwahren. Sollten diese Notfallcodes zur Neige gehen oder in falsche Hände geraten sein, kannst du dir neue Notfallcodes erstellen – die alten Codes verlieren dann automatisch ihre Gültigkeit.
Und was, wenn mein Haus abgebrannt ist, mitsamt Handy und Codes?
Das tut mir furchtbar leid.
In dem Fall schreibst du mir am besten eine Mail oder kontaktierst mich per Twitter, falls du nicht auf der Seite eingeloggt bist und mir hier keine private Nachricht schicken kannst.
Wann wird so ein Code (aus der App oder als Notfallcode) abgefragt?
Die Abfrage gibt es (neben der Einrichtung) beim Einloggen, beim Erstellen neuer Notfallcodes, beim Deaktivieren der Zwei-Faktor-Authentifizierung, beim Ändern der E-Mail-Adresse oder des Passworts oder auch beim Löschen des Benutzerkontos.
Den aktuellen Status der Zwei-Faktor-Authentifizierung für dein Profil findest du, wenn du in deinem Profil auf das -Icon klickst und in dem Formular bis fast ganz nach unten scrollst. Dort sind dann auch die relevanten Links zum Aktivieren bzw. zum Erstellen neuer Notfallcodes oder zum Deaktivieren der Funktion.