Aber die Zwei-Faktor-Authentifizierung ist kein Allheilmittel, das Hacker aufhalten kann. Es ist eine nützliche Gegenmaßnahme, die Sie zu Ihrer Verteidigung hinzufügen sollten, aber letztendlich ist es kein Ersatz für fundierte Kenntnisse über die größten Bedrohungen, denen wir online ausgesetzt sind.
Empfohlene Videos
Aktivieren Sie die Zwei-Faktor-Authentifizierung überall dort, wo sich die Möglichkeit bietet – aber machen Sie nicht den Fehler, sich auf ihren Schutz zu verlassen, wenn Sie nicht verstehen, wogegen sie sich schützen kann und was nicht. Wie das Jahr 2016 gezeigt hat, ist die Datensicherheit komplex und übermäßiges Selbstvertrauen kann Sie anfällig für Angriffe machen.
Verwandt
- Passwörter sind schwierig und die Leute sind faul, wie ein neuer Bericht zeigt
- Twitter benötigt für die Zwei-Faktor-Authentifizierung keine Telefonnummern mehr
- Google bietet seinen eigenen „Titan“-USB-Sicherheitsschlüssel für passwortfreie Anmeldungen an
Bist du der, für den du dich ausgibst?
Im Kern geht es bei der Zwei-Faktor-Authentifizierung um die Überprüfung von Anmeldeinformationen. Auf diese Weise kann sichergestellt werden, dass jemand der ist, für den er sich ausgibt, indem zwei unterschiedliche Arten von Beweisen überprüft werden. Ein solches System gibt es schon seit Jahren.
Wenn Sie die Grundlagen der Computersicherheit nicht verstehen, sollten Sie keine Bankgeschäfte im Internet tätigen dürfen.
Chip-and-PIN-Kreditkartenzahlungen sind vielleicht das allgegenwärtigste Beispiel; Sie verlassen sich darauf, dass der Benutzer eine physische Karte besitzt und seine PIN kennt. Während ein Dieb durchaus eine Karte stehlen könnte Und Wenn Sie die PIN lernen, ist es nicht einfach, beides zu verwalten.
Vor nicht allzu langer Zeit waren Finanztransaktionen der einzige Grund, warum Menschen ihre Identität regelmäßig authentifizieren mussten. Heutzutage verfügt jeder, der das Internet nutzt, aus verschiedenen Gründen über eine Reihe von Konten, auf die nicht jeder Zugriff haben soll.
Der Finanzindustrie gelang es sehr einfach, die Zwei-Faktor-Authentifizierung zu implementieren, da die einzige Hardware, die verteilt werden musste, eine Bankkarte war. Die Verbreitung eines ähnlichen Systems für alltägliche Websites ist nahezu unmöglich, daher wird die Zwei-Faktor-Funktion auf andere Weise ermöglicht. Und diese Methoden haben ihre eigenen Mängel.
Benutzererfahrung
„Ich habe es wirklich satt, dass all die praktischen Dinge im Leben plötzlich zu umständlich werden, um sie zu benutzen“, heißt es in einem Kommentar aus dem Jahr 2005 SlashDot Artikel über den bevorstehenden Aufstieg der Zwei-Faktor-Authentifizierung im Zusammenhang mit Online-Banking. „Ich würde es wirklich, wirklich hassen, einen harten Token mit mir herumzutragen.“
„Politiker haben keine Ahnung, welche Auswirkungen das auf die reale Welt hat“, stimmte ein zweiter zu und beklagte die Gefahr, dass Benutzer gezwungen werden, zusätzliche Hardware zu kaufen. „Wenn Sie die Grundlagen der Computersicherheit nicht verstehen, sollte es Ihnen nicht gestattet sein, im Internet Bankgeschäfte zu tätigen“, fügte ein anderer Kommentator hinzu.
Heutzutage scheinen Beschwerden wie diese geradezu dumm zu sein, doch im Jahr 2005 machten sich die Nutzer mehr Gedanken über die Kosten und den Ärger, der mit dem Mitführen irgendeiner Form von Zwei-Faktor-Token einhergeht. Die Reaktion der Benutzer kann sogar noch negativer ausfallen, wenn etwas weniger Wichtiges als das Banking geschützt wird. Im Jahr 2012 wurde nach dem Unternehmen eine Sammelklage gegen den Spieleentwickler Blizzard Entertainment eingereicht führte ein Authentifizierungs-Peripheriegerät ein, das die Battle.net-Konten der Benutzer schützen soll, heißt es in einem Bericht des BBC.
LastPass
Bemühungen zur Implementierung dieser Art der Zwei-Faktor-Authentifizierung gab es bereits seit den 1980er Jahren, als Security Dynamics Technologies patentierte eine „Methode und Vorrichtung zur eindeutigen Identifizierung einer Person“. In den 2000er Jahren waren die Infrastruktur und die Fertigungskapazitäten bereits ausgeschöpft Für Organisationen, von Finanzinstituten bis hin zu Videospiel-Herausgebern, besteht die Möglichkeit, ihre eigenen Zwei-Faktor-Methoden durchzusetzen Authentifizierung.
Leider entschieden sich die Benutzer, nicht zu kooperieren. Ob der zweite Authentifizierungsfaktor so einfach war wie ein LCD-Bildschirm, der einen eindeutigen Code lieferte, oder so komplex wie ein Fingerabdruckscanner, die Idee von Es war für das Unternehmen unattraktiv, noch ein weiteres Stück physische Hardware zu haben – und möglicherweise eines für jeden einzelnen Dienst, der eine eindeutige Anmeldung erforderte Massen.
Man kann sich eine alternative Geschichte vorstellen, in der sich der Zwei-Faktor aufgrund dieses Problems nie durchgesetzt hat. Zum Glück für uns hat Apple das iPhone eingeführt, und Google hat es eingeführt Android. Smartphones geben Milliarden von Menschen auf der ganzen Welt ein Gerät in die Hand, das zur Zwei-Faktor-Authentifizierung fähig ist, und lösen damit das Komfortproblem, über das sich Benutzer im Jahr 2005 beschwert haben.
Smartphones sind praktisch, bergen aber ihre eigenen Risiken
Die allgegenwärtige Natur von Smartphones hat es Websites und Diensten ermöglicht, den Zwei-Faktor-Authentifizierungsprozess zu vereinfachen. „Diejenigen, die Ihr Mobiltelefon nutzen, sind in der Regel sehr einfach zu bedienen und haben nur geringe Auswirkungen“, sagte der Sicherheitsexperte und Harvard-Stipendiat Bruce Schneier Anfang dieses Monats im Gespräch mit Digital Trends. „Weil es etwas ist, das du bereits hast. Es ist nichts Neues, das man mit sich herumtragen muss.“
Man kann sich eine alternative Geschichte vorstellen, in der sich der Zwei-Faktor nie durchgesetzt hat.
In bestimmten Szenarien kann dieser Ansatz eindeutige Vorteile bieten. Wenn Sie sich beispielsweise von einem neuen Computer aus bei einem Dienst anmelden, werden Sie möglicherweise aufgefordert, einen an ein vertrauenswürdiges Gerät gesendeten Code sowie Ihr Standardkennwort einzugeben. Dies ist ein gutes Beispiel für die Verwendung der Zwei-Faktor-Authentifizierung. Jemand anderes könnte Ihr Passwort gestohlen und versucht haben, sich von seinem System aus bei dem zugehörigen Konto anzumelden – aber solange er Ihr Telefon nicht bereits gestohlen hat, wird er keinen Zugriff erhalten.
Es gibt jedoch Bedrohungen, denen diese Art von Schutz einfach nicht gewachsen ist. Im Jahr 2005 schrieb Schneier in einem Artikel, dass „die Zwei-Faktor-Authentifizierung nicht unsere Rettung ist“. Blogeintrag sich mit seinen Schwächen auseinanderzusetzen.
Er beschrieb weiter, wie ein Man-in-the-Middle-Angriff den Benutzer dazu verleiten könnte, zu glauben, dass er es sei auf einer legitimen Website und überzeugen Sie sie, beide Formen der Authentifizierung neben einem gefälschten Login anzubieten Bildschirm. Er weist außerdem darauf hin, dass ein Trojaner verwendet werden könnte, um eine legitime Anmeldung, die über zwei Formen der Authentifizierung durchgeführt wurde, abzuwehren. Außerdem besteht das Problem, die Sicherheit auf einem einzigen Gerät zu zentralisieren. Die meisten Menschen nutzen einen Smartphone-fähigen Zwei-Faktor für mehrere Websites. Wenn dieses Telefon gestohlen und kompromittiert wird, sind alle diese Websites gefährdet.
Wissen ist Macht
„Wenn Sie sich in Ihr Konto einloggen, ist die Zwei-Faktor-Funktion großartig“, sagte Schneier. „Meine Universität, Harvard, nutzt es, mein Unternehmen nutzt es. Viele Leute haben es übernommen und es ist sehr nützlich. Aber worüber ich damals schrieb, das Problem war, dass man es als Allheilmittel ansah, es würde alles lösen. Natürlich wissen wir, dass dies nicht der Fall ist.“
Finanzielle Gewinne werden böswillige Hacker immer dazu motivieren, neue Techniken für den Zugriff auf die Konten anderer Personen zu entwickeln. Solange es von Vorteil ist, über die Anmeldeinformationen einer anderen Person zu verfügen, wird sich das Hacking kontinuierlich weiterentwickeln.
„Es gibt viele verschiedene Bedrohungen und viele verschiedene Sicherheitsmechanismen“, erklärte Schneier. „Es gibt nicht nur eine Bedrohung, nicht nur einen Mechanismus, es gibt viele Bedrohungen und viele Mechanismen.“
Die beste Verteidigung ist ein kontinuierlicher Strom neuer und verbesserter Gegenmaßnahmen. Wenn wir die Methoden, mit denen wir unsere Konten schützen, weiterhin ändern und aktualisieren, erschweren wir es jedem, der versucht, sich ohne Erlaubnis Zugang zu verschaffen.
Leider haben die Angreifer die Initiative. Es dauerte Jahre, bis die Zwei-Faktor-Authentifizierung von der breiten Masse akzeptiert wurde. Wenn neue Formen des Schutzes verfügbar werden, müssen wir uns als Benutzer verpflichten, diese zu nutzen. Und das bringt uns direkt zurück in die Slashdot-Foren, etwa im Jahr 2005. Wir alle werden wieder zu Benutzern, die sich über die Bequemlichkeit beschweren, anstatt sich um die Sicherheit zu sorgen.
Es ist schwer zu ignorieren, wie alltäglich groß angelegte Hackerangriffe geworden sind, und es gibt keine Anzeichen dafür, dass diese Form der Kriminalität aussterben wird. Es gibt keine Verteidigung, die jeden Angriff zu 100 Prozent abwehren kann; Kriminelle werden immer einen Weg finden, selbst die kleinste Schwachstelle auszunutzen. Auch wenn es nicht einfach ist, besteht der beste Weg, online sicher zu bleiben, darin, sich der Bedrohungen bewusst zu sein und zu wissen, was getan werden kann, um sich vor diesen Bedrohungen zu schützen.
Online-Sicherheit ist wie das Bezahlen einer Versicherung oder ein Gang zum Zahnarzt. Es scheint nicht so wichtig zu sein, bis es so weit ist. Es reicht nicht aus, sich einfach für die Schutzformen zu entscheiden, die uns von verschiedenen Websites und Diensten angeboten werden. Nur wenn Sie wissen, vor welchen Angriffen uns diese Schutzmaßnahmen schützen – und vor welchen nicht –, können Sie die Verantwortung für Ihre eigene Sicherheit übernehmen.
Empfehlungen der Redaktion
- Bei der SMS-Zwei-Faktor-Authentifizierung von Twitter gibt es Probleme. So wechseln Sie die Methode
- Aus diesem Grund sagen die Leute, dass die Zwei-Faktor-Authentifizierung nicht perfekt ist
- Hacker finden einen Weg, die Zwei-Faktor-Authentifizierung von Gmail zu umgehen
