Studie zur Zwei-Faktor-Authentifizierung – Payback, GMX und Zalando fallen durch

  • Nur 10 von 43 getesteten Webportalen bieten den Nutzern ausreichende Zwei-Faktor-Authentifizierung (2FA).
  • Payback, dm, GMX, WEB.DE, Notebooksbilliger.de, Otto und Zalando fallen mit null Punkten durch.
  • Posteo und Bitcoin.de bestehen als einzige deutsche Webseiten den Test.

 

Dashlane gibt die Ergebnisse seines »2FA Power Rankings« bekannt. Die Rankings, für die die Verfügbarkeit von 2FA-Angeboten unter 43 Top-Verbraucher-Websites in den USA und Deutschland untersucht wurden, zeigten, dass rund 77 Prozent der Websites den Nutzern keine vollständigen 2FA-Optionen anboten und damit nicht über die optimalen Sicherheitsstandards verfügten.

 

Mit stark zunehmenden Datenschutzverletzungen und Hacking-Angriffen sollte für Webshops- und E-Mail-Anbieter wie Zalando, Amazon und GMX der Schutz der Identität ihrer Kunden eigentlich oberste Priorität haben. Aber stimmt das auch? Dashlane überprüfte die Verfügbarkeit von 2FA-Optionen bei 43 beliebten und häufig genutzten internationalen und nationalen Webseiten.

Die 2FA bezeichnet den Identitätsnachweis eines Internetnutzers durch eine Kombination von zwei unterschiedlichen und voneinander unabhängigen Faktoren. Nach der Online-Anmeldung mit Username und Passwort verlangt der Dienst nach einem zweiten Identitätsnachweis, meist ein PIN, der via SMS oder E-Mail an den Nutzer geschickt wird. Dieses Verfahren ist besonders geläufig durch das E-Banking und das damit zusammenhängende TAN-System. Selbst wenn ein Hacker das Passwort und den Usernamen geknackt hat, kann dieser nicht an die Daten gelangen, wenn die 2FA eingeschaltet ist. Zwischen den genutzten Diensten der User und ihren sensiblen Daten steht meist nur das Passwort, die 2FA verschafft daher zusätzlichen Schutz.

Die Experten von Dashlane testeten jede Webseite nach drei 2FA-Kriterien und vergaben einen Punkt für die SMS- oder E-Mail-Authentifizierung, einen Punkt für Software-Token und drei Punkte für Hardware-Token wie YubiKey oder U2F-Authentifizierung, die Höchstpunktzahl sind fünf von fünf Punkte. Besonders auffallend: E-Mail-Anbieter, wie WEB.DE und GMX, die in Deutschland zu den zwei meist genutzten Anbietern gehören, stellen den Nutzern keine zusätzlichen Sicherheitsmaßnahmen im Sinne der 2FA zur Verfügung. Besonders E-Mails enthalten vertrauliche und wichtige persönliche Informationen, mit denen ein Hacker viel Schaden anrichten könnte. Allein der kostenpflichtige E-Mail-Dienst Posteo.de bietet seinen Nutzern alle Optionen der 2FA. Nur das deutsche Portal für Kryptowährungen, Bitcoin.de, konnte ebenfalls mit der Höchstpunktzahl überzeugen.

Von den 43 getesteten Webseiten erhielten nur zehn (rund 23 Prozent) die Bestnote: Bank of America, Bitcoin.de, Dropbox, E*TRADE, Facebook, Google, Posteo, Stripe, Twitter und Wells Fargo. Zehn der getesteten Webseiten, darunter Best Buy, dm, GMX, NextDoor, Notebooksbillger.de, Otto, Payback, TaskRabbit, WEB.DE, Zalando und ZocDoc bieten den Nutzern keinerlei 2FA-Option an und erhielten somit null Punkte.

»Im Laufe unserer Analyse haben wir festgestellt, dass Informationen über die Möglichkeit zur 2FA für die Nutzer oft nicht optimal dargestellt werden«, sagt Emmanuel Schalit, CEO von Dashlane. »Aufgrund dieser mangelnden Transparenz auf Seiten der Anbieter ist davon auszugehen, dass viele Verbraucher die ihnen zur Verfügung stehenden Sicherheitsmöglichkeiten zum Schutz ihrer Identität im Netz gar nicht voll ausschöpfen können.«

Zusätzliche Sicherheitsebene

2FA ist eine der besten Möglichkeiten jedem Konto eine zusätzliche Sicherheitsebene hinzuzufügen. Jeder der versucht auf ein Online-Konto zuzugreifen, benötigt eine zusätzliche Authentifizierungsmethode, wie beispielsweise einen Code, der an das Telefon gesendet wird. Zwar kann keine Methode der 2FA als vollkommen sicher betrachtet werden, doch unter den unterschiedlichen Varianten zählt die Hardware-Token-basierte 2FA bei weitem zu der sichersten Form. Es erfordert zusätzlich einen potenziellen Hacker, der sowohl auf das Passwort als auch auf den physikalischen Hardware-Schlüssel zugreifen müsste. Genau deshalb war Dashlane der erste Passwort-Manager, der mit U2F-Sicherheitsschlüsseln arbeitete, unterstützt durch den YubiKey, ein Hardware-Authentifizierungsgerät von der Firma Yubico, und der FIDO Alliance.

»Für Unternehmen kann es schwere Folgen haben, der wertvollen Kundendaten aufs Spiel zu setzen. Dies wird insbesondere nach den jüngsten Datenschutzverletzungen und Hacks von Facebook und Google deutlich«, erklärt Emmanuel Schalit, CEO von Dashlane. »Wir wollen die Öffentlichkeit über die Vorteile der Zwei-Faktor-Authentifikation informieren, damit Internetnutzer diese zusätzlichen Sicherheits-Ebenen von den Unternehmen und ihren Diensten verlangen.«

Ergebnisse:

Webportale für Verbraucher

  • 5/5 Punkten
    • Bank of America
    • Bitcoin.de
    • Dropbox
    • E*TRADE
    • Facebook
    • Google
    • Posteo
    • Stripe
    • Twitter
    • Wells Fargo

 

  • 2/5 Punkten
    • Amazon
    • Apple
    • Betterment
    • Capital One
    • Coinbase
    • Evernote
    • Gemini
    • GoDaddy
    • Instagram
    • Intuit
    • Slack
    • Square
    • WhatsApp

 

  • 1/5 Punkten
    • Airbnb
    • American Express
    • Chase
    • Citibank
    • Discover
    • LinkedIn
    • Mint
    • Venmo
    • Yahoo!

 

  • 0/5 Punkten
    • Best Buy
    • dm
    • GMX
    • NextDoor
    • Notebooksbillger.de
    • Otto
    • Payback
    • TaskRabbit
    • WEB.DE
    • Zalando
    • ZocDoc

 

Methodik:

Die Studie wurde von Dashlane zwischen dem 10. und 23. Oktober 2018 durchgeführt. Die Experten untersuchten drei wichtige Kriterien der 2FA auf 43 beliebten und häufig genutzten Webseiten für Verbraucher.

  1. SMS- und/oder E-Mail-basierte 2FA

Eine Website erhielt einen Punkt, wenn sie eine Form der SMS- oder E-Mail-Authentifizierung mit zweitem Faktor anbot.

 

  1. Software Token 2FA

Eine Website erhielt einen Punkt, wenn sie irgendeine Form von Software Token Zweitfaktor-Authentifizierung anbot. Die gängigsten Optionen waren app-basierte Authentifikatoren von Drittanbietern wie Authy oder Google Authenticator. Bot eine Webseite proprietäre softwarebasierte Authentifikatoren, erhielt diese ebenfalls einen Punkt.

 

  1. Hardware Token 2FA

Einer Webseite wurden drei Punkte verliehen, wenn sie eine Form der Authentifizierung mit dem zweiten Faktor des Hardware-Tokens anbot. Die beliebtesten Optionen waren YubiKey, Google Titan sowie andere physische U2F-Authentifizierungsschlüssel. Boten Websites ihr eigenes proprietäres Hardwaregerät an, wurde dies ebenfalls mit drei Punkten belohnt.

Jede erreichte Punktzahl unter fünf Punkten wurde als nicht bestanden angesehen, weil sie ihren Benutzern nicht die gesamte Bandbreite der 2FA-Optionen zur Verfügung stellten.

Dashlane bewertete die 2FA-Optionen, die die Webseiten nur für Anmeldungen auf Desktop-Browsern anbieten. Das Team verifizierte die 2FA-Optionen, indem es Anmeldungen in Chrome- und Safari-Browsern vornahm. Dashlane evaluierte keine 2FA-Optionen für die mobilen Anwendungen, mobilen Browser oder Desktop-Anwendungen. Eine Website erhielt nur dann Punkte, wenn 2FA zu Login-Zwecken angeboten wurde. Zudem wurden in dieser Untersuchung keine 2FA-Optionen für Aktionen getestet, die nach erfolgreicher Anmeldung eines Benutzers durchgeführt

 


 

MFA gegen die drei gefährlichsten Angriffsvektoren

Flug auf Sicht in der Cloud – Auf dem Weg zu einer umfassenden Cloud-Security-Strategie

Umfangreiche Maßnahmen bei Identitätsdiebstahl

Bürger erwarten umfangreiche und einfach zu nutzende Online-Services von Behörden

Die einzige zuverlässige Verteidigung gegen Ransomware-Angriffe ist die umfassende Sicherung der Daten

Was versteht man unter Multi-Faktor-Authentifizierung (MFA)?