Was passiert mit Ihren 2FA-Backup-Codes, wenn Sie nicht mehr da sind?

Zwei-Faktor-Authentifizierung ist eine der besten Maßnahmen für Ihre Kontosicherheit. Sie schafft aber auch ein stilles Problem, das fast niemand bedenkt: Wenn Sie irgendwann nicht mehr da sind, um eine Anmeldung zu bestätigen, können genau dieselben Codes die Menschen aussperren, die Zugang brauchen.

Warum es Backup-Codes überhaupt gibt

Wenn Sie die Zwei-Faktor-Authentifizierung für E-Mail, Online-Banking oder einen Passwort-Manager aktivieren, erhalten Sie meist eine Reihe von einmaligen Backup-Codes. Sie sind für genau eine Situation gedacht: Sie verlieren Ihr Telefon, oder die Authenticator-App funktioniert nicht mehr, und Sie müssen trotzdem wieder hineinkommen. Die meisten Menschen erstellen sie einmal, werfen einen Blick auf die Liste und vergessen danach, dass es sie überhaupt gibt.

Das Sicherheitsnetz funktioniert meist nur für Sie

Ein Passwort allein reicht nicht, um in ein 2FA-geschütztes Konto zu kommen. Wer hinein muss, braucht auch den zweiten Faktor, und wenn Sie ihn eingerichtet haben, sind Sie meist die einzige Person, die weiß, wo er liegt. Das ist kein Problem, solange Sie da sind, um ihn weiterzugeben. Es wird zu einem echten Problem in dem Moment, in dem Sie es nicht mehr sind.

• Auf Papier ausgedruckt. Wird abgelegt und vergessen, oder liegt in einer Schublade in einer Wohnung, in die sonst noch niemand hineinkommt.
• Als Screenshot auf dem Telefon gespeichert. Geschützt durch genau den Sperrbildschirm, der jetzt Teil des Problems ist.
• Im Passwort-Manager gespeichert. Der selbst einen zweiten Faktor zum Öffnen braucht. Ein Kreislauf-Schloss.
• Nirgendwo gespeichert. „Ich nehme einfach mein Telefon" funktioniert genau bis zu dem Moment, in dem das Telefon nicht verfügbar ist.

Zwei verschiedene Probleme, zwei verschiedene Lösungen

Es lohnt sich, beide zu trennen, denn sie brauchen unterschiedliche Werkzeuge.

Sich selbst auszusperren ist das ursprüngliche Problem, das 2FA-Backup-Codes lösen sollen. Dafür wollen Sie die Codes dauerhaft und verschlüsselt an einem Ort speichern, den nur Sie öffnen können, und sonst niemand, jemals. Genau dafür gibt es einen Zero-Knowledge-Tresor.

Ihre Familie auszusperren ist ein anderes Problem mit einer anderen Anforderung: Jemand, dem Sie vertrauen, muss hineinkommen können, falls Sie irgendwann nicht mehr selbst dafür sorgen können. Ein Zero-Knowledge-Tresor ist hier bewusst das falsche Werkzeug, denn der ganze Sinn besteht darin, dass außer Ihnen niemand ihn je öffnen kann. Was Sie tatsächlich brauchen, ist Kontozugang, der automatisch die richtige Person erreicht, wenn es darauf ankommt.

Wie Sie wirklich vorsorgen

1. Wenn Sie 2FA für ein Konto aktivieren, speichern Sie die Backup-Codes sofort dauerhaft. Nicht „später".
2. Speichern Sie Backup-Codes niemals nur auf genau dem Gerät, vor dessen Verlust sie Sie schützen sollen.
3. Entscheiden Sie, welche Konten Ihre Familie tatsächlich braucht (E-Mail, Banking, Passwort-Manager) und welche wirklich nur Ihre eigenen bleiben.
4. Die erste Art gehört an einen Ort, der automatisch eine vertraute Person erreicht, falls Sie irgendwann nicht mehr da sind. Die zweite Art gehört an einen Ort, den nur Sie je öffnen können.

Wie Notenz beide Fälle abdeckt

Der Guardian-Plan von Notenz enthält einen Sealed Vault, einen Zero-Knowledge-Bereich mit einer fertigen Vorlage „2FA & Recovery Codes". Er ist mit einem Schlüssel verschlüsselt, den Notenz nie besitzt. Das macht ihn wirklich privat, bedeutet aber auch, dass er niemals an irgendjemanden ausgeliefert wird, auch nicht an Ihre Empfänger. Nutzen Sie ihn für Ihr eigenes Sicherheitsnetz, für die Codes, die niemanden außer Sie etwas angehen.

Für die Konten, die Ihre Familie tatsächlich braucht, speichern Sie diese stattdessen als normalen Notenz-Tresoreintrag. Normale Tresoreinträge sind verschlüsselt, aber Notenz besitzt den Schlüssel, der für die Auslieferung nötig ist, und genau das ist der Sinn: Wenn Sie aufhören, sich einzuchecken, erhalten Ihre ausgewählten Empfänger automatisch Zugang. Gleiche Verschlüsselungsdisziplin, entgegengesetztes Auslieferungsverhalten, passend zu dem, wofür jede Art von Code eigentlich gedacht ist.