Zurück

Sicherheit ist für Feiglinge – 2-FA wird bei Amazon für Seller Pflicht

Max am

Zum 30.06.2017 macht Amazon für den Zugang zum Seller Central die Zwei-Faktor-Authentifizierung oder 2-FA verpflichtend. Ein Login ohne dieses Feature wird dann nicht mehr möglich sein. Ich persönlich begrüße diesen Schritt sehr und nutze die Funktion bei allen Diensten, die diese anbieten – geschäftlich wie privat – schon lange. Wie funktioniert 2-FA und was bringt sie?

Status Quo

Aktuell besteht der Login für viele Online-Lösungen leider immer noch nur aus einer Benutzername-/E-Mail- und Passwort-Kombination. Diese beiden Elemente zusammen reichen aus, um Vollzugriff auf teils unternehmensrelevante Informationen, Funktionen und Bezahldaten (oder sogar Geldmittel oder Kreditkarten) zu erhalten. So ist das z.B. auch bei Amazon und dem Seller Central. Amazon bietet 2-FA zwar schon lange an, die Nutzung ist allerdings bis dato optional.

Phishing und die Folgen

Wie schon oft festgestellt – und auf hunderten Websites beschrieben – führen v.a. Phishing-Attacken dazu, dass der Nutzer seine Login-Daten an Betrüger „verliert“. Oft erhält der Nutzer eine Mail mit der Aufforderung einem Link zu folgen und sich dort z.B. im Seller Central einzuloggen um eine Einstellung vorzunehmen. Diese Login-Seite sieht dann dazu meistens der „echten“ Seite täuschend ähnlich, allerdings liegt diese nicht auf den Servern von Amazon, sondern z.B. auf https://seller-central.phishing-amazon.com (ACHTUNG: das ist eine ausgedachte Fake-URL).

Wenn der Nutzer dort seine Daten eingibt sind E-Mail und Passwort dem Besitzer des Servers hinter phishing-amazon.com (ACHTUNG: Wieder die selbe ausgedachte Fake-URL) bekannt. Um erst gar keinen Verdacht aufkommen zu lassen werden die Logindaten dann im Hintergrund an die Echte Loginseite weitergegeben und so der Nutzer auf die echte Seller Central Seite geleitet. Damit merkt er oft nicht einmal, dass er seine Daten auf einer falschen Seite eingegeben hat.

Was ist Zwei-Faktor-Authentifizierung

Mit der 2-FA fügt der Nutzer dem Login-Prozess ein weiteres Element – in den meisten Fällen ein kurzzeitig gültiges Einmalpasswort – hinzu. Dieses Passwort wird durch den Login mit Benutzernamen und Passwort generiert und dann auf ein Zusatz-Gerät des Nutzers gesandt. SMS-Token auf das Handy des Nutzers oder per Sprachnachricht an eine Telefonnummer sind hier beliebte Optionen. Genauso gut lässt sich aber auch eine Authentifizierungs-App nutzen, die den Token anzeigt. Diesen gibt man dann im Login der Applikation ein. Nur wenn der Token mit dem übereinstimmt, den die Applikation an das zweite Endgerät des Nutzers übermittelt hat erhält der Nutzer Zugang. Damit ist zwar das Problem nicht gelöst, dass Phishing dazu genutzt wird, Benutzernamen und Passwörter zu erhalten, aber zumindest kann sich damit im Nachgang kein Zutritt zu z.B. dem Seller Central verschafft werden. Eine wirkungsvolle Vorbeugung gegen Phishing werde ich in einem gesonderten Blog-Beitrag behandeln (es gibt übrigens bereits hunderte sinnvoller Beträge zu diesem Thema und der Prävention im Netz, soviel vorab: „NIEMALS auf Links in E-Mails klicken“ ist die oberste Regel zur Vermeidung von Phishing).

Wieso hilft 2-FA die Sicherheit zu erhöhen?

Ein Betrüger, der sich unrechtmäßig Zugang zu Benutzernamen und Passwort verschafft braucht zum Login in z.B. das Sellercentral zusätzlich den Einmal-Token. Da dieser nicht im Browser angezeigt wird, sondern z.B. auf dem Mobiltelefon und da dieser serverseitig (in diesem Fall seitens Amazon) generiert wird, müsste der Nutzer, der sich unrechtmäßig Zugang verschaffen will zusätzlich Zugang zu dem weiteren Endgerät haben und gleichzeitig mit Hilfe von Benutzernamen und Passwort die Token-Generierung seitens Amazon anstoßen.

Schlussfolgerung

2-FA ist eine recht komfortable und schnelle Sicherheitslösung, die betrügerischen Zugang zu unternehmenskritischen Onlinedaten stark reduzieren kann. Natürlich muss man diese Option dafür auch einschalten. Amazon macht dies ab dem 30.06.2017 verpflichtend; wir raten schon lange allen Kunden dazu diese zu aktivieren. Diese Option gibt es übrigens auch für den Käufer-Bereich von Amazon – auch hier rate ich dringend dazu, diesen zu aktivieren. Auch eine Bestellung über ein paar hundert Euro über den privaten Amazon-Account wäre sehr ärgerlich.