Vor einigen Wochen wurde der Insta-Account der Grünen Schweiz gehakt, vor kurzem haben sie ihre Erfahrungen darüber geteilt. In ihrem Learning erwähnen sie, dass sie für Instagram keine "keine Zwei-Faktor-Authentisierung" aktiviert hatten, "auf Grund der fehlenden Möglichkeiten für den Mehruserbetrieb".
Das ist tatsächlich ein Problem, vor allem weil Instagram es nicht ermöglicht, den Zugriff auf einen Account über einen anderen Account weiterzugeben. Bei Facebook Pages ist das hingegen möglich.
Doch es gibt eine Möglichkeit, die 2-Faktor-Authentisierung für Instagram auf mehreren Geräten zu aktivieren. Dazu muss man bei der Einrichtung der Authentication App auf die manuelle Methode wechseln.
Dann wird ein Einrichtungscode angezeigt, mit dem man die 2-Faktor-Authentisierung einrichten kann. Dieser Code kann nun in mehreren Authentisierungs-Apps eingegeben werden.
Den Einrichtungscode kann man auch aufbewahren, um später ein neues Gerät einzurichten. Aber im Passwortmanager sollte er nicht gespeichert werden, sonst wird aus der zweifachen wieder eine einfache Authentisierung.
Für mehr Kontrolle über die Codes bietet sich ein Hardware-Key an, auf dem 2-Faktor-Authentisierungen eingerichtet werden können. Einer davon ist der YubiKey. Auf die gleiche Weise, wie oben beschrieben lassen sich mehrere solcher Keys anfertigen. Diese kann man dann an jene Personen abgeben, die einen Zugang brauchen.
Der Code ist dann auf dem Schlüssel hinterlegt. Laut Hersteller lässt er sich nicht mehr Auselsen lassen. Verlassen Personen die Organisation und sollen deshalb keinen Zugriff mehr auf den 2. Faktor haben, geben sie den Schlüssel einfach zurück.
Ein weiterer Vorteil eines Schlüssels ist die bessere Trennung des 1. und des 2. Faktors. Ist der Passwortmanager auf dem gleichen Gerät installiert, wie die App für die 2-Faktor-Authentisierung, hat man eigentlich nur noch einen Faktor, statt zwei. Viele Passwortmanager bieten heute auch an, die 2-Faktor-Authentisierung für Dienste zu speichern und Anmeldecodes zu generieren. Auf diese sollte man aus dem gleichen Grund verzichten.
Das Prinzip ist dieser 2-Faktor-Authentisierung ist bei vielen Diensten das selbe: Der Einrichtungscode wird mit der aktuellen Zeit kombiniert und daraus wird der Code berechnet. Das ganze nennt sich TOTP, eine selter verwendete Variante mit Zähler statt mit Zeit heisst HOTP. Deshalb funktioniert das einrichten für mehrere Benutzer*innen natürlich nicht nur bei Instagram, sondern bei allen Diensten mit einer 2-Faktor-Authentisierung, die auf solchen Apps basieren. Wird statt des Einrichtungscodes ein QR-Code angezeigt, lässt sich auch ein Screenshot davon speichern um mehrere Geräte einzurichten.