Weil Handel und Banken es nicht rechtzeitig geschafft hätten, ihre Verfahren für Online-Einkäufe umzustellen, räumte die Finanzaufsicht Bafin eine Übergangsfrist ein, die bis 15. März verlängert wurde, dann sollen sämtliche Einkäufe im Internet mit der Zwei-Faktor-Authentifizierung abgesichert sein. Bereits ab 15. Januar sollen Zahlungen ab 250 Euro mit dem zweistufigen System abgewickelt werden und ab 15. Februar Online-Einkäufe ab 150 Euro.

Bei einem einfachen Verfahren ist die Sicherheit des Kunden meist nicht wirklich gewährleistet. Oft bestehe der Nutzername aus der persönlichen E-Mail-Adresse, die im Normalfall nicht geheim ist, erklärt Stiftung Warentest. Geheim bleibe nur das Passwort. Doch gerade unsichere Kennwörter seien für Hacker ein willkommenes Einfallstor, warnt das Hasso-Plattner-Institut.

Banken nutzen bereits seit Jahren eine zweifache Authentifizierung. Im Online-Banking werde in der Regel neben dem Benutzernamen, etwa der Kontonummer und einem Passwort bei jedem weiteren Vorgang eine Transaktionsnummer (TAN) eingegeben. Die wird per SMS verschickt oder durch Zusatzgeräte erzeugt. Nun soll diese Technik auch auf andere Online-Dienste ausgeweitet werden. So werden künftig Kunden vor einem Kauf aufgefordert, sich mit einem zweiten Verfahren zu identifizieren. In der Regel soll hierfür das Smartphone helfen. Bislang gibt es verschiedene Methoden.

Die Zwei-Faktor-Authentifizierung per SMS ist laut Stiftung Warentest ein weitverbreitetes Verfahren. Der Nutzer hinterlegt bei dieser Methode seine Mobilfunknummer bei einem Online-Anbieter. Wenn er sich dann im Internet mit seinem Nutzernamen und dem Passwort anmeldet, verschickt der Webseitenbetreiber eine SMS mit einem zusätzlichen Code. Dieser gelte in den meisten Fällen nur für wenige Minuten. Auf diese Weise erhöhe sich die Sicherheit für den Nutzer in gleich zweifacher Weise. Nicht nur durch den zusätzlichen Sicherheitsfaktor, sondern auch wegen des Verfallsdatums des Codes.

Ein weiteres Verfahren ist die Zwei-Faktor-Authentifizierung per Einmalkennwort. Hier wird dem Nutzer während der Registrierung in Internet ein sogenannter QR-Code auf der Webseite angezeigt. Dieser soll dann mit der Kamera des Smartphones abfotografiert werden. Spezielle Apps entschlüsseln ihn. Die Software zeigt dann eine Zeichenkombination, die der Nutzer in die Anmeldemaske eingeben müsse, so Stiftung Warentest. Auch dieser Code sei oft nur kurzzeitig nutzbar.

Als dritte Variante führt Stiftung Warentest die Zwei-Faktor-Authentifizierung über einen Anruf an. Hier erhalten Nutzer statt eines Codes per SMS einen Anruf. Eine Computerstimme teile dann die Zeichenfolge mit.

Ebenso gibt es die Authentifizierung per E-Mail. Der Schlüssel werde hier einfach per E-Mail zugesendet. Allerdings empfiehlt Stiftung Warentest, eine andere E-Mail-Adresse zu nutzen als die, die für den Login verwendet werde.

Als besonders sicheres Verfahren gelte die Zwei-Faktor-Authentifizierung per USB-Token, einem USB-Stick, auf dem ein digitaler Sicherheitsschlüssel einprogrammiert ist. Für die Einrichtung eines solchen Sicherheitsschlüssels muss der Nutzer seinen Anmeldenamen und ein Passwort eingeben und anschließend auf eine Taste drücken. Bei jedem weiteren Anmeldevorgang reiche es dann, den Stick in die USB-Buchse des Computers zu stecken oder ihn über den Nahfeldfunk (NFC) des Smartphones zu koppeln.

Neben diesen Zwei-Faktor-Authentifizierung-Methoden gibt es noch anbieterspezifische Anmeldeverfahren und sogenannte One-Click-Logins. Erstere seien vor allem bei den sozialen Netzwerken bekannt, so Stiftung Warentest. Letztere werden bei Anbietern wie dem Messenger-Dienst Whatsapp verwendet. Um sich auf der Computerversion von Whatsapp anzumelden, werden die Nutzer aufgefordert, einen QR-Code mit dem Smartphone abzufotografieren, erst danach öffne sich die Desktop-Version der App.

Grundsätzlich biete die zweite Sicherheitsstufe einen zusätzlichen Schutz vor Kriminellen, so Stiftung Warentest. Denn selbst wenn Nutzer auf die Machenschaften von Hackern hereinfallen und ihr Passwort offenbaren, können Fremde nicht so einfach auf die geschützten Onlinedienste zugreifen.