Der U2F Authenticator
U2F (Universal Second Factor) ist das neueste und sicherste Verfahren, um ein Konto gegen Passwortdiebstahl abzusichern. Genauso wie beim "Authenticator" ist dann neben dem Benutzernamen (änderbar) und Passwort ein dritter Faktor für den Login notwendig. Im Gegensatz zum "Authenticator", bei dem man einen 6-stelligen Code vom Smartphone abtippt, schliesst man beim U2F-Verfahren einfach das kleine USB-Gerät, z.B. den Yubikey von Yubico, an seinem Computer an und drückt den darauf befindlichen Knopf (falls der Key mit Knopf verwendet wird) und schon ist man eingeloggt. Das U2F-Verfahren ist kinderleicht und zudem extrem sicher. Die weitere, manuelle Eingabe von Passwörtern oder Codes, wie beim "Authenticator" ist nicht nötig.
Eine Auswahl an U2F-Geräten führen wir im Verlauf des Hilfetextes auf.
Vorteile des U2F Authenticators
Neben dem allgemeinen Vorteil der kryptographisch gesichteren Zweifaktor-Authentifizierung bietet technisch gesehen das U2F Verfahren einige weitere Vorteile: Es schützt gegen sogenannte Man-in-the-Middle-Angriffe, bei denen z.B. ein Krimineller die Verbindung zwischen Browser und den mail.de Servern manipuliert. Das ist schwierig, aber in gewissen Umgebungen denkbar. Außerdem schützt U2F gegen Phishing. Sollten Sie von einem Angreifer auf eine Webseite gelockt werden, die exakt aussieht wie mail.de, aber z.B. unter https://nail.de erreichbar ist, dann fällt Ihnen dieser Trick mit der falschen Domain evtl. nicht auf und die falsche Webseite erhält im Zweifel Ihre bereitwillig eingegebenen Login-Daten. Mit U2F kann dieses nicht passieren, denn U2F überprüft auch die Korrektheit der Domain, sodass nur die Domain https://mail.de die U2F-Login-Daten für den Zugang zum mail.de-Postfach erhält.
Wichtige Hinweise zum U2F-Authenticator
Der U2F Authenticator ist ein kleines USB-Gerät, wie zum Beispiel ein USB-Stick. Wie bei allen technischen Geräten kann es mit der Zeit die Funktion einstellen oder es geht verloren. Deshalb empfehlen wir, zusätzlich zum U2F Authenticator auch den "Authenticator" zu konfigurieren, um ein Backup für den Login zu haben. Oder Sie unterhalten zwei U2F Geräte und verwahren eins von beiden Geräten sicher in einem abschließbaren Schrank auf und das zweite Gerät führen Sie zur regelmäßigen Nutzung beispielsweise am Schlüsselbund mit. Sollte das Gerät am Schlüsselbund kaputt gehen, können Sie auf den zweiten, sicher im Schrank verwahrten U2F-Key zurück greifen.
Die meisten U2F Authenticator werden per USB an den Computer angeschlossen. Möchte man sich an einem Computer anmelden, der keine zugänglichen USB-Buchse hat, kann das neue U2F-Verfahren nicht angewendet werden. Dies trifft auch auf Smartphones und Tablets zu. Es gibt heutzutage bereits U2F Geräte, die sich drahtlos per Bluetooth oder NFC (Near-Field-Communication) mit dem Computer/Smartphone verbinden können, allerdings sind diese U2F Authenticator kostenintensiver. Auch hier bietet es sich evtl. an, beide Authenticator-Verfahren zu nutzen und je nachdem, an welchem Computer man sich gerade einloggt, das eine oder das andere Verfahren zu verwenden. Zu bevorzugen ist jedoch das U2F Verfahren.
Aktuell unterstützt nur der Chrome (ab Version 41) das U2F Verfahren. Mozilla Firefox arbeitet bereits an der Implementation. Es gibt ein experimentelles U2F-Addon, das aber noch nicht einwandfrei funktioniert. Microsoft arbeitet für seinen Browser Edge aktuell auch an der Implementierung.
Beispiele U2F Geräte
Generell unterstützt unser Dienst jedes U2F-fähige Gerät. Nachstehend führen wir einige aktuelle Geräte auf, die es im freien Handel zu bestellen gibt (Stand 2016):
- Nahezu alle Yubikeys der Firma Yubico sind U2F-fähig (USB-A, USB-C, NFC)
- Happlink/Plug-up Security Key
- Neowave Keydo oder Neowave Winkeo-A FIDO2
- HyperFIDO Mini Pro
U2F Authenticator einrichten
Um dem E-Mail-Konto einen (weiteren) U2F Authenticator hinzuzufügen, klicken Sie im Einstellungsmodus auf "Konto/Kundendaten/U2F Authenticator. Dort klicken Sie auf den Knopf "U2F Authenticator registrieren". Im nächsten Schritt müssen Sie bitte Ihren U2F Authenticator in die USB-Buchse stecken und den Knopf darauf drücken, falls Sie einen U2F Authenticator mit Knopf benutzen. Das Gerät wird nun in die Liste der Geräte hinzugefügt und der U2F Authenticator ist fertig eingerichtet.
Beim nächsten Login in den Webmailer werden Sie nach der Eingabe des Benutzernamen und Passwort zusätzlich aufgefordert, den U2F Authenticator zu betätigen. Sie werden erst in das E-Mail-Konto erfolgreich eingeloggt, wenn alle 3 Informationen (Benutzername, Passwort und U2F Authenticator) korrekt vorliegen.
U2F auf einem Linux-Rechner
Unter Linux hat der Browser (Google Chrome) erst einmal keinen Zugriff auf USB-Geräte. Sollte der U2F-Registrierungsprozess bzw. Login nicht funktionieren, dann liegt es vermutlich an diesem Rechteproblem.
Folgende Vorgehendweise behebt das Problem:
- Es muss eine Datei /etc/udev/rules.d/70-u2f.rules angelegt werden mit dem Inhalt aus folgendem Link: https://github.com/Yubico/libu2f-host/blob/master/70-u2f.rules
- Nach dem Speichern das System neu starten.
Danach sollte Google Chrome das U2F-Gerät erkennen und Zugriff darauf haben.