E-Mail-Anbieter wie Gmail, GMX, Mailbox.org und Posteo bieten mittlerweile die sogenannte Zwei-Faktor-Authentifizierung an. Um an meine E-Mails zu gelangen, muss ich zwei Komponenten richtig eingeben: mein normales Passwort und einen einmaligen Zeichencode, das Einmal-Passwort.

Es gibt verschiedene Wege, wie ich an das zweite Passwort komme. GMX sendet es zum Beispiel per SMS an mein Smartphone. Das ist ein Anfang. Im Urlaub ist aber nicht sicher, dass ich unter dieser Nummer erreichbar bin. Mailbox.org bietet stattdessen einen vorkonfigurierten Yubikey als zweiten Faktor an. Das ist eine sehr sichere Variante. Ich entscheide mich aber dagegen. Denn einen kleinen Gegenstand wie den Yubikey verliere ich im Urlaub wahrscheinlich schneller als mein Smartphone.

FreeOTP generiert meine Einmal-Passwörter

Deshalb wähle ich vor meiner Reise den Berliner E-Mail-Dienst Posteo. Dort kann ich für die Zwei-Faktor-Authentifizierung genau wie bei Gmail mein Smartphone benutzen. Die Einrichtung ist schnell erledigt: Ich logge mich zu Hause in mein Posteo-Konto ein. Anschließend klicke ich auf das Feld "Einstellungen" und wähle in der linken Spalte "Passwort und Sicherheit" aus. In dem neuen Fenster scrolle ich etwas herunter, bis ich zu dem Feld "Zwei-Faktor-Authentifizierung" gelange. Dort gebe ich mein aktuelles Passwort in das entsprechende Feld ein. 

Dann ist ein zweiter Schritt notwendig. Denn die Zwei-Faktor-Authentifizierung funktioniert nur mit einer entsprechenden App auf meinem Smartphone. Diese App wird später das Einmal-Passwort liefern. Posteo fordert mich deshalb auf, eine entsprechende App zu installieren. Zu empfehlen sind die Apps Google Authenticator und FreeOTP. Letztere ist Open-Source-Software und somit von Experten auf Fehler oder Hintertüren überprüfbar, da der Code von allen einsehbar ist.

Alle 60 Sekunden ändert sich der zweite Faktor

Ich installiere daher FreeOTP auf meinem Smartphone. Die App gibt es für Android und für iOS. Anschließend kann ich auf der Posteo-Seite ein Häkchen setzen, mit dem ich die Installation bestätige. Auf einer neuen Seite zeigt mir Posteo dann einen QR-Code. Den muss ich nur noch mit der FreeOTP-App einscannen. Damit ist die Zwei-Faktor-Authentifizierung eingerichtet.

Hier eine Anleitung in Bildern (sichtbar nur in der Desktopansicht):

Wenn ich mich nun bei Posteo einloggen will, gebe ich meine E-Mail-Adresse und mein Passwort ein. Auf einer zweiten Seite verlangt Posteo dann nach einem Einmal-Passwort. Die Einmal-Passwörter aktualisieren sich bei FreeOTP alle 60 Sekunden, und zwar auch dann, wenn das Smartphone offline ist. Ich gebe einfach das aktuelle bei Posteo ein. Selbst wenn nun ein Keylogger alles mitgeschnitten hat, nützt das den Angreifern nicht viel. Denn das Einmal-Passwort ist beim nächsten Mal ein anderes. Meine Login-Daten sind also nicht verloren.

Facebook bietet in Kombination mit dem Google Authenticator eine ähnliche Lösung an. Sie ist im Facebook-Wirrwarr allerdings schwer zu finden und versteckt sich unter "Einstellungen", "Sicherheit", "Anmeldebestätigung". Dort muss  ich bestätigen, dass mir Facebook einen Code per SMS zusendet. Den Code gebe ich in einem speziellen Feld ein. Dann muss ich auf der gleichen Ebene erst "Codegenerator" und dann das blau unterlegte "installieren" wählen. Den anschließend erscheinenden QR-Code scanne ich mit dem Google Authenticator ein. Fertig.

Aber auch dieser Weg hat seine Schwächen. Zum Beispiel, wenn ich mein Smartphone verliere oder es gestohlen wird. Dann komme ich nicht mehr an meine Mails. Zwar kann ich FreeOTP auf einem zweiten Gerät installieren und mit Posteo verbinden, aber wer nimmt schon zwei Smartphones mit in den Urlaub? Bei vielen Diensten gibt es für solche Notfälle sogenannte Backup-Codes. Diese kann ich im Notfall eingeben und komme trotzdem an meine E-Mails. Posteo bietet diesen Service bislang jedoch nicht an.