Passwörter sind schnell geknackt. Trotzdem sind sie oftmals die einzige Hürde, die ein Hacker zu überwinden hat, um sich Zugang zu Email-Konten, Social-Media-Profilen oder Online-Speicherplätzen zu verschaffen. Wenn die unerwünschten Mitleser Fotos löschen, beleidigende Posts verbreiten oder gar erpressen, ist der Ärger groß. Dabei wäre eine technische Lösung, die vor solchen Eingriffen schützt, oft nur ein paar Mausklicks entfernt – denn die meisten Online-Dienste bieten inzwischen die sogenannte Zwei-Faktor-Authentifizierung an. Der britische Youtuber und Webentwickler Tom Scott erklärt, was es damit auf sich hat.

Zur Identifizierung des legitimierten Nutzers werden zwei unabhängige Erkennungsmerkmale, sogenannte Faktoren, eingesetzt. Dabei unterscheidet man drei Kategorien: Etwas, das man weiß (wie ein Passwort), etwas, das man hat (wie das eigene Mobiltelefon oder die Bankkarte) und etwas, das man ist (wie bei der Gesichtserkennung oder dem Fingerabdruck). Google, Facebook und Co bieten zusätzlich zum Passwort oft die Hinterlegung der Mobilfunknummer als zweiten Faktor an. Für den Nutzer ist das recht bequem: Beim Einloggen wird ein zusätzliches »Token« als Einmal-Passwort abgefragt, das zuvor automatisch auf das Mobilgerät gesendet wurde. Ein potentieller Angreifer müsste also nicht nur das Passwort kennen, sondern auch im Besitz des Handys sein. Seit 2019 ist der Einsatz der Zwei-Faktor-Authentifizierung für Online-Händler sogar verpflichtend.

Doch nicht erst seit dem Online-Zeitalter ist die Zwei-Faktor-Authentifizierung relevant. Scott kennt ein historisches Beispiel: Bei einem Schusswaffenangriff auf Ronald Reagan 1981 verschwanden die Codes, die der damalige US-Präsident zur Anordnung eines Nuklearangriffs bei sich trug. Sie tauchten nach wenigen Tagen wieder auf. Aber die Tatsache, dass ihr Besitz alleine für einen Angriff nicht ausgereicht hätte, dürfte dennoch beruhigen. Bei solch höchstsensiblen Daten, oder vielleicht auch nur beim eigenen Bankkonto, mag man dennoch fragen: Geht noch mehr in Punkto Sicherheit? Optimal wäre doch, wenn kein einziger Angriffsversuch unerkannt bliebe. Technisch möglich machen könnte das der Einsatz von Quantentechnologie. Wer versucht, ein Quantensystem auszulesen, erhält nur einen Teil der Information, und der legitimierte Empfänger merkt, dass jemand anderes mithört. Eine quantensichere Bankkarte könnte mit einer Lichtquelle ausgestattet sein, die einzelne Lichtteilchen, sogenannte Photonen, erzeugen. Photonen oszillieren mit einer gewissen räumlicher Orientierung, ihrer Polarisation. Die Polarisation der Lichtteilchen kann zur Verschlüsselung von Information genutzt werden, ähnlich wie der Binärcode aus Nullen und Einsen, der zur Kodierung in Computern eingesetzt wird. Das Besondere: Nachdem die Photonen den Gesetzmäßigkeiten der Quantenmechanik unterliegen, verändert jede Messung der Polarisation genau diese Eigenschaft. Damit wüsste der Sender, dass jemand versucht hat, die Information abzugreifen – kein Betrugsversuch bliebe mehr unerkannt.

In der Zwischenzeit überzeugt Scott mit seinem Plädoyer für die Zwei-Faktor-Authentifizierung. Unter der Option »Kontoeinstellungen« ist die Aktivierung bei den meisten Email-Konten oder Social-Media Plattformen schnell gefunden. Untersuchungen von Google haben gezeigt: Durch das einfache Hinzufügen einer Wiederherstellungs-Telefonnummer konnten im Testzeitraum im Jahr 2019 bis zu 100 Prozent der automatisierten Bots, 99 Prozent der Massen-Phishing-Angriffe und immerhin 66 Prozent der gezielten Angriffe blockiert werden. Problematisch ist es nur, wenn das Sicherheitsfeature selbst den Datenschutz bedroht: Facebook soll die Telefonnummern seiner Nutzer zeitweise für Werbezwecke missbraucht haben. Auch, wenn die Zwei-Faktor-Authentifizierung zweifelsohne sinnvoll ist, lohnt also ein zweiter Blick!