Die Zwei-Faktor-Authentifizierung ist praktisch anerkannt, um die Identität eines Nutzers zweifelsfrei nachzuweisen. Trotzdem gibt es Fragen. So ist zum Beispiel die wichtige Frage, die sich da stellt, ob denn der Email-Dienst GMX wirklich eine Zwei-Faktor-Authentifizierung anbietet. Hier wurde ich jetzt darauf angesprochen, weil es sich bei GMX gar nicht um so etwas handeln soll. Also schauen wir mal.
Ja, im Oktober 2014 zitierte ich eine Email von GMX, in der es hieß, dass der Anbieter dazu rät, „im Falle des Falles“ mit einer hinterlegten Telefonnummer ein neues Passwort zu erstellen. Ja, das klang schon sehr danach, dass es sich ausschließlich um eine Möglichkeit der Passwort-vergessen-Funktion handeln würde, wie sie eigentlich von allen möglichen Anbietern gegeben ist. Natürlich kann man bei einer solchen Email nicht in jedem Fall davon ausgehen, dass hier mehr dahinter steckt. Aber dem ist so.
Beim GMX muss man eine Mobilfunk-Nummer angeben, über die man einen Code erhält, mit dem sich dann ein neues Passwort vergeben lässt. Das wäre mir vor einigen Wochen gelegen gekommen, als ich für jemanden auf dem neuen Computer das Email-Konto einrichten wollte und das Passwort nicht bekannt war. Leider war keine Mobilfunk-Nummer hinterlegt, weshalb dann die Möglichkeit bestanden hätte, über eine 0900-Telefonnummer ein neues Passwort zu vergeben. Die Entscheidung hieß dann aber, dass man sich eher ein neues Email-Konto zulegt.
Wie auch immer – bei GMX kann man sich selbstverständlich mit einem Einmal-Code, der per SMS versandt wird, doppelt authentifizieren. Hier ist zum Beispiel die Rede vom Urlaub und einem Internetcafé. Das läuft so ab, dass der Nutzer neben seiner Email-Adresse und seinem eigentlichen Passwort auch den Code aus der SMS einträgt. Nehmen wir aber das Beispiel Urlaub, dann ist ja nicht zweifelsfrei sichergestellt, dass man auch über seine Mobilfunk-Nummer erreichbar ist. Da machen es andere besser.
Was soll ich sagen, GMX ist nach wie vor nicht mein bevorzugter Email-Anbieter. Aber wenigstens bieten sie die Möglichkeit an. Hierzu meldet sich der Nutzer einfach bei GMX auf der Seite an. Und auf der linken Seite in der Menüleiste findet man dann den Punkt „SicherheitsNr“ vor. Dort kann man dann die Mobilfunk-Nummer eintragen. Und dann funktioniert das auch mit der Zwei-Faktor-Authentifizierung.
In Sachen Zwei-Faktor-Authentifizierung gibt es für die Anbieter einiges zu beachten. Sicherlich kann man das besser lösen. GMX hat das Ding mit den dynamischen Passwörtern eingeführt, andere machen das anders. Trotzdem bleibt es unterm Strich, was es ist: Eine Zwei-Faktor-Authentifizierung zur zweifelsfreien Ausweisung des richtigen Nutzers und zur Wiederherstellung des Email-Passworts. Nicht mehr und nicht weniger. Oder sieht das irgendwer anders?
Hallo,
also ich sehe bei GMX nach wie vor keine Zwei-Faktor-Aut.
Die Handynummer ist doch nur dazu da, um sich eine neuen Zugangspasswort zuschicken zu lassen.
Ich kann mih auf jedem fremden PC einfach mit Emailadresse und PW einloggen. Nirgends ist ein extra Code per SMS nötig.
Hallo Henning,
Du hast jetzt zwei mal in epischer Breite über die Zwei-Faktor-Authentifizierung bei GMX geschrieben. Dabei ist die Information, die Du hier verbreitest schlichtweg falsch.
Bei GMX gibt es bis jetzt keine Zwei-Faktor-Authentifizierung. Punkt.
Fehlt wohl der Hinweis „Unterstützt durch die 1&1 Mail & Media GmbH“. Erbärmlich dieser Blog.
Ich kann nirgendwo bei GMX eine Zwei Faktor Authentifizierung erkennen. Es gibt auf keine Dokumentation bei GMX dazu. Eintragen der Mobilfunknummer hat keinen Effekt.
Im Vergleich zu Amazon, Apple, Microsoft und Google sehr schlecht. Alle unterstützen TOTP als Standard (ausser Apple :-).
Die „fake-news“ in diesem Blog und in dem referenzierten Zeit Artikel ist sehr verwirrend.
Ich habe jetzt meine wichtigen Accounts umgestellt.
Ja, sehe ich durchaus anders. Ich glaube Sie haben 2-Faktor-Authentifikation grundlegend falsch verstanden. Bei dieser geht es nicht darum die Eingabe des Passworts zu umgehen oder sein Passwort zurückzusetzen, sondern darum Zugriff auf den Account gegenüber denjenigen zu verwehren, die Zugriff auf das Passwort haben, aber nicht der echte Besitzer des Accounts sind.
Wenn ich ein Mobiltelefon als 2-Faktor-Authentifikator benutze, bedeutet das, dass ich für einen Login nicht nur meinen Accountnamen und das zugehörige Passwort brauche, sondern auch mein Mobiltelefon, mit dem ich entweder einen Code per SMS empfange oder durch eine App einen algorithmisch generierten Sicherheitscode angezeigt bekomme, den ich abtippen muss. Erst dann erhalte ich Zugriff auf den Account. Der Vorteil hierbei ist, dass ein Hack-Versuch meines Accounts scheitert, selbst wenn der Hacker mein Passwort kennt, weil er auch mein Mobiltelefon bräuchte um nicht bei der Code-Abfrage stecken zu bleiben.