Schritt für Schritt: Zwei Faktor Authentifizierung auf Facebook

Weil es einfach wichtig ist, erklären wir bebildert, wie man auf Facebook (in diesem Fall über die App) die Zwei Faktor Authentisierung einrichtet.

Bei der Zwei-Stufen-Authentifizierung (auch Bestätigung in zwei Schritten oder Zwei-Faktor-Authentifizierung genannt) handelt es sich um eine zusätzliche Sicherheitsmaßnahmezum Schutz eines Benutzerkontos. Das bedeutet, man muss zusätzlich zum klassischen Passwort, dem in diesem Fall sog. „Wissen„, im Besitz einer weiteren Login-Komponente sein. Nur wer beide Komponenten hat, also das Wissen und den Besitz hat, kann sich in das betreffende Konto einloggen.

Facebook bietet auch eine Anmeldung in zwei Schritten an. Wir zeigen, wie man diese Einrichtet, erklären aber auch, wo darin ein Problem liegt!

Die Einrichtung

Da die Mehrzahl der Facebooknutzer über das Smartphone online ist, zeigen wir die Einrichtung anhand Screenshots der App auf Android.

Zunächst tippt man die drei Striche oben rechts an.

Danach scrollt man nach ganz unten, bis das Feld „Einstellungen und Privatsphäre“ auftaucht. Dieses kurz antippen. Weitere Auswahlfelder erscheinen daraufhin unter diesem Feld. An dieser Stelle nun „Enstellungen“ auswählen.

Nun ist man in den entsprechenden Einstellungen angekommen. Hier ruft man nun den Punkt „Sicherheit und Login“ auf, der sich logischerweise bei den Sicherheitseinstellungen befindet.

Ab nun wird es selbsterklärend, da wir endlich im passenden Menüpunkt angekommen sind. Facebook empfiehlt uns an dieser Stelle, die zweistufige Authentifizierung einzurichten.

Nun soll man wählen, welche zweite Komponente zur Anmeldung in Zukunft gewählt werden soll.

Zur Auswahl stehen ein Code per SMS oder eine App, welche den zweiten Faktor darstellt.

Wenn man die Auswahl getätigt hat, ist die Anmeldung in zwei Schritten eingerichtet. Ab sofort muss man bei jeder neuen Anmeldung immer auch den zweiten Faktor zur Hand haben, ansonsten kann man sich nicht einloggen.

Kritik: Wissen und Besitz nicht getrennt

Gerade dann, wenn man die App auf demselben Gerät installiert hat, auf welchem man die SMS oder die Sicherheitsapp ebenso verwendet, handelt es sich in diesem Fall um keine echte Zwei Faktor Authentisierung.

Der Sinn dieser ganzen Geschichte liegt ja darin, dass man nach Möglichkeit in Besitz zwei verschiedener Dinge sein sollte. Beispielsweise dem „Wissen“ um das Passwort als Komponente 1 und dem Besitz eines Geräts, auf dem man den SMS-Code erhält als Komponente 2. Wenn nun das Smartphone, so wie in diesem Fall, das Passwort in der App gespeichert hat, haben wir streng genommen nur eine Komponente vorliegen, nämlich das Smartphone selbst.

Wer also in Besitz des Smartpones ist und die App darauf sich automatisch anmeldet, kann also die Zwei Faktor Authentisierung somit neutralisieren.

Ähnliches gilt auch für die automatische Speicherung von Passwörtern im Browser: Bei automatischen Speicherungen wird die Komponente „Wissen“ außer Kraft gesetzt. Somit benötigt man nur noch den Besitz der zweiten Komponente.