Hunderte Millionen Menschen verwenden täglich Passwörter – sie entsperren unsere Geräte, E-Mails, sozialen Netzwerke und sogar Bankkonten. Passwörter sind jedoch ein immer schwächer So schützen wir uns: Es vergeht kaum eine Woche, ohne dass ein großer Sicherheitsfehler in den Nachrichten auftaucht. Diese Woche ist es soweit Cisco – Hersteller eines Großteils der Hardware, die im Wesentlichen das Internet antreibt.
Im Moment möchte fast jeder über Passwörter hinausgehen Multifaktor-Authentifizierung: „etwas, das du hast“ oder „etwas, das du bist“ zusätzlich zu etwas, das du weißt. Biometrische Technologien, die Augen, Fingerabdrücke, Gesichter und/oder Stimmen messen, sind dies praktischer werden, scheitern aber bei manchen Menschen häufig und sind schwer für Hunderte Millionen Benutzer zugänglich.
Empfohlene Videos
Übersehen wir nicht das Offensichtliche? Ist die Lösung für Multifaktor-Sicherheit nicht bereits in unserer Tasche?
Verwandt
- Die 15 wichtigsten Smartphones, die die Welt für immer verändert haben
- SMS 2FA ist unsicher und schlecht – verwenden Sie stattdessen diese 5 großartigen Authentifizierungs-Apps
- Die Ermüdung durch App-Abonnements ruiniert schnell mein Smartphone
Online-Banking
Ob Sie es glauben oder nicht, Amerikaner verwenden seit Jahren beim Online-Banking die Multi-Faktor-Authentifizierung – oder zumindest abgeschwächte Versionen davon. Im Jahr 2001 forderte der Federal Financial Institutions Examination Council (FFIEC), dass Online-Banking-Dienste in den USA bis 2006 eine echte Multifaktor-Authentifizierung einführen müssen.
Wir schreiben das Jahr 2013 und loggen uns immer noch mit Passwörtern ins Online-Banking ein. Was ist passiert?
„Im Grunde haben die Banken Lobbyarbeit betrieben“, sagte Rich Mogull, CEO und Analyst bei Securose. „Biometrie und Sicherheitstoken können isoliert gut funktionieren, aber es ist sehr schwierig, sie auch nur auf Bankgeschäfte zu übertragen. Verbraucher möchten sich nicht mit mehreren solchen Dingen auseinandersetzen. Die meisten Leute geben nicht einmal Passcodes in ihre Telefone ein.“
Also wehrten sich die Banken. Bis 2005 wurde das FFIEC aktualisierte Richtlinien herausgegeben Dies ermöglichte es Banken, sich per Passwort und „Geräteidentifikation“ zu authentifizieren – im Wesentlichen durch Profilierung der Benutzersysteme. Wenn sich ein Kunde von einem bekannten Gerät aus anmeldet, benötigt er lediglich ein Passwort; andernfalls muss der Kunde noch mehr Hürden überwinden – in der Regel Herausforderungsfragen. Die Idee ist, dass Profiling-Geräte darauf hinauslaufen, etwas von Benutzern zu überprüfen haben (einen Computer, ein Smartphone oder ein Tablet) zusammen mit dem Passwort, das sie haben wissen.
Banken sind bei der Identifizierung von Geräten immer ausgefeilter geworden noch neuere Bundesrichtlinien verlangen, dass Banken mehr als nur ein einfach zu kopierendes Browser-Cookie verwenden. Aber das System ist immer noch schwach. Alles geschieht über einen einzigen Kanal. Wenn also ein Angreifer die Verbindung eines Benutzers anzapfen kann (vielleicht durch Diebstahl, Hacks oder Malware), ist alles vorbei. Darüber hinaus wird jeder wie ein Kunde behandelt, der ein neues Gerät nutzt – und als New York Times Kolumnist David Pogue kann das bestätigen, wahrheitsgemäß beantwortete Sicherheitsfragen bieten manchmal kaum Schutz.
Die eingeschränkte Form der Multifaktor-Sicherheit beim Online-Banking hat jedoch zugenommen groß Vorteile für die Verbraucher. Für die meisten Benutzer ist die Geräteprofilerstellung die meiste Zeit unsichtbar und funktioniert wie ein Passwort – das fast jeder versteht.
Google Authenticator
Digitale Token, Sicherheitskarten und andere Geräte werden seit Jahrzehnten für die Multifaktor-Authentifizierung verwendet. Allerdings hat sich bisher nichts wie die Biometrie für Millionen von Alltagsmenschen als praktikabel erwiesen. Es gibt auch keine allgemeingültigen Standards, sodass die Leute möglicherweise ein Dutzend verschiedene Anhänger, Token, USB-Sticks und Karten benötigen, um auf ihre Lieblingsdienste zuzugreifen. Das wird niemand tun.
Was ist also mit den Telefonen in unseren Taschen? Vor fast einem Jahr fanden Forscher heraus Fast 90 Prozent der amerikanischen Erwachsenen besaßen Mobiltelefone — Fast die Hälfte hatte ein Smartphone. Die Zahlen müssen jetzt höher sein: Sicherlich werden sie für die Multifaktor-Authentifizierung verwendet?
Das ist die Idee dahinter Die zweistufige Verifizierung von Google, das bei der Anmeldung bei Google-Diensten einen einmaligen PIN-Code per SMS oder Sprache an ein Telefon sendet. Benutzer geben sowohl ihr Passwort als auch den Code ein, um sich anzumelden. Natürlich können Telefone verloren gehen oder gestohlen werden, und wenn der Akku leer ist oder kein Mobilfunkdienst verfügbar ist, werden Benutzer ausgesperrt. Aber der Dienst funktioniert auch mit Feature-Phones und ist sicherlich sicherer – wenn auch weniger praktisch – als ein Passwort allein.
Die zweistufige Verifizierung von Google wird mit interessanter Google Authenticator, verfügbar für Android, iOS und BlackBerry. Google Authenticator verwendet zeitbasierte Einmalpasswörter (TOTP), einen Standard, der von unterstützt wird Initiative für offene Authentifizierung. Grundsätzlich enthält die App ein verschlüsseltes Geheimnis und generiert alle 30 Sekunden einen neuen sechsstelligen Code. Benutzer geben diesen Code zusammen mit ihrem Passwort ein, um zu beweisen, dass sie über das richtige Gerät verfügen. Solange die Uhr des Telefons korrekt ist, funktioniert Google Authenticator ohne Telefondienst; Darüber hinaus funktionieren die 30-Sekunden-Codes andere Dienste, die TOTP unterstützen: Im Moment gilt das auch Dropbox, LastPass, Und Amazon Web Services. Ebenso können andere Apps, die TOTP unterstützen, mit Google zusammenarbeiten.
Aber es gibt Probleme. Benutzer übermitteln Verifizierungscodes über denselben Kanal wie Passwörter und sind daher denselben Abhörszenarien ausgesetzt wie beim Online-Banking. Da TOTP-Apps ein Geheimnis enthalten, könnte jeder (überall auf der Welt) legitime Codes generieren, wenn die App oder das Geheimnis geknackt wird. Und kein System ist perfekt: Letzten Monat hat Google ein Problem behoben, das dies ermöglichen könnte Gesamtzahl der Kontoübernahmen über App-spezifische Passwörter. Spaß.
Was machen wir jetzt?
Das größte Problem bei Systemen wie der zweistufigen Verifizierung von Google ist einfach, dass sie nervig sind. Möchten Sie mit Ihrem Telefon und Ihren Codes herumspielen? jedes Mal Melden Sie sich bei einem Dienst an? Tun Ihre Eltern, Großeltern, Freunde oder Kinder? Die meisten Leute tun das nicht. Selbst Technikbegeisterte, die den coolen Faktor (und die Sicherheit) lieben, werden den Prozess wahrscheinlich in nur wenigen Wochen als umständlich empfinden.
Zahlen deuten darauf hin, dass der Schmerz real ist. Im Januar lieferte Google Kabelgebunden Robert MacMillan ein Diagramm der zweistufigen Einführung, inklusive Spitze begleitend zu Mat Honans „Episches Hacken” Artikel letzten August. Ist Ihnen aufgefallen, welche Achse keine Beschriftung hat? Google-Vertreter wollten nicht sagen, wie viele Menschen die Zwei-Faktor-Authentifizierung nutzen, aber Eric Grosse, Vizepräsident für Google-Sicherheit, teilte MacMillan mit, dass sich nach Honans Artikel eine Viertelmillion Nutzer angemeldet hätten. Basierend auf dieser Kennzahl gehe ich davon aus, dass sich bislang etwa 20 Millionen Menschen angemeldet haben – kaum ein Rückgang gegenüber den mehr als 500 Millionen Menschen, die Google nutzen Ansprüche über Google+-Konten verfügen. Diese Zahl erschien einer Google-Mitarbeiterin, die nicht namentlich genannt werden wollte, ungefähr richtig: Sie schätzte, dass sich weniger als zehn Prozent der „aktiven“ Google+-Nutzer angemeldet hatten. „Und nicht alle bleiben dabei“, bemerkte sie.
„Wenn Sie ein ungezügeltes Publikum haben, können Sie kein über die Grundlagen hinausgehendes Verhalten annehmen – insbesondere, wenn Sie diesem Publikum keinen Grund dafür gegeben haben wollen dieses Verhalten“, sagte Christian Hessler, CEO des Unternehmens für mobile Authentifizierung LiveEnsure. „Man wird auf keinen Fall einer Milliarde Menschen beibringen, etwas zu tun, was sie nicht tun wollen.“
LiveEnsure ist darauf angewiesen, dass Benutzer die Out-of-Band-Verifizierung mit ihrem Mobilgerät (oder sogar per E-Mail) durchführen. Geben Sie einfach einen Benutzernamen ein (oder verwenden Sie einen Single-Sign-In-Dienst wie Twitter oder Facebook), und LiveEnsure nutzt den breiteren Kontext des Benutzers zur Authentifizierung: kein Passwort erforderlich. Derzeit nutzt LiveEnsure „Line-of-Sight“ – Benutzer scannen mit ihrem Telefon einen QR-Code auf dem Bildschirm, um ihre Anmeldung zu bestätigen – andere Verifizierungsmethoden folgen jedoch bald. LiveEnsure umgeht das Abfangen, indem es eine separate Verbindung zur Verifizierung verwendet, verlässt sich aber auch nicht auf gemeinsame Geheimnisse in Browsern, Geräten oder sogar seinem Dienst. Wenn das System geknackt wird, sind die einzelnen Teile laut LiveEnsure für einen Angreifer wertlos.
„Was sich in unserer Datenbank befindet, könnte als Weihnachtsgeschenk auf CDs verschickt werden, und es wäre nutzlos“, sagte Hessler. „Keine Geheimnisse gehen über die Leitung, die einzige Transaktion ist ein einfaches Ja oder Nein.“
Der Ansatz von LiveEnsure ist einfacher als die Eingabe von PINs, erfordert jedoch immer noch, dass Benutzer mit Mobilgeräten und Apps herumspielen, um sich anzumelden. Andere zielen darauf ab, den Prozess transparenter zu gestalten.
Toopher nutzt die Standorterkennung mobiler Geräte über GPS oder WLAN, um Benutzer transparent zu authentifizieren – zumindest von vorab genehmigten Standorten aus.
„Toopher bringt mehr Kontext in die Authentifizierungsentscheidung ein, um sie unsichtbar zu machen“, sagte Gründer und CTO Evan Grimm. „Wenn ein Benutzer normalerweise zu Hause Online-Banking betreibt, kann er dies automatisieren, um die Entscheidung unsichtbar zu machen.“
Eine Automatisierung ist nicht erforderlich: Benutzer können jederzeit auf ihrem Mobilgerät bestätigen, wenn sie möchten. Aber wenn Benutzer Toopher sagen, was normal ist, müssen sie nur ihr Telefon in der Tasche haben und die Authentifizierung erfolgt transparent. Benutzer geben einfach ein Passwort ein und alles andere ist unsichtbar. Befindet sich das Gerät an einem unbekannten Standort, müssen Benutzer dies auf ihrem Telefon bestätigen – und wenn nicht, müssen sie dies bestätigen Bei der Konnektivität greift Toopher auf eine zeitbasierte PIN zurück und verwendet dieselbe Technologie wie Google Authentifikator.
„Toopher versucht nicht, das Benutzererlebnis grundlegend zu verändern“, sagte Grimm. „Das Problem bei anderen Multifaktor-Lösungen bestand nicht darin, dass sie keinen zusätzlichen Schutz boten, sondern darin, dass sie das Benutzererlebnis veränderten und daher Hindernisse bei der Einführung aufwiesen.“
Du musst im Spiel sein
Passwörter werden nicht verschwinden, aber sie werden durch Standorte, Einmal-PINs, Sicht- und Tonlinienlösungen, Biometrie oder sogar Informationen über Bluetooth- und Wi-Fi-Geräte in der Nähe ergänzt. Smartphones und mobile Geräte scheinen die wahrscheinlichste Möglichkeit zu sein, der Authentifizierung mehr Kontext hinzuzufügen.
Natürlich muss man im Spiel sein, wenn man spielen möchte. Nicht jeder besitzt ein Smartphone, und neue Authentifizierungstechnologien könnten Benutzer ohne aktuelle Technologie ausschließen, wodurch der Rest der Welt anfälliger für Hacks und Identitätsdiebstahl wird. Digitale Sicherheit könnte leicht zu etwas werden, das Besitzende von Besitzlosen unterscheidet.
Und bisher ist nicht abzusehen, welche Lösungen sich durchsetzen werden. Toopher und LiveEnsure sind nur zwei von vielen Akteuren, und sie alle stehen vor einem Henne-Ei-Problem: Ohne Akzeptanz durch Benutzer und Dienste helfen sie niemandem. Toopher hat sich kürzlich eine Startfinanzierung in Höhe von 2 Millionen US-Dollar gesichert; LiveEnsure spricht mit einigen großen Namen und hofft, bald aus dem Stealth-Modus herauszukommen. Aber es ist noch zu früh, um zu sagen, wo jemand landen wird.
Wenn ein Dienst, auf den Sie sich verlassen, in der Zwischenzeit eine Form der Multifaktor-Authentifizierung anbietet – sei es per SMS, einer Smartphone-App oder sogar einem Telefonanruf – sollten Sie dies ernsthaft in Betracht ziehen. Es ist mit ziemlicher Sicherheit ein besserer Schutz als ein Passwort allein … auch wenn es mit ziemlicher Sicherheit auch eine Nervensäge ist.
Bild über Shutterstock / Adam Radosavljevic
[Aktualisiert am 24. März 2013, um Details zu FFIEC und LiveEnsure zu klären und einen Produktionsfehler zu korrigieren.]
Empfehlungen der Redaktion
- So finden Sie heruntergeladene Dateien auf Ihrem iPhone oder Android-Smartphone
- Ihr Google One-Plan hat gerade zwei große Sicherheitsupdates erhalten, um Ihre Sicherheit im Internet zu gewährleisten
- Wie Ihr Smartphone im Jahr 2023 eine professionelle Kamera ersetzen könnte
- Googles Pixel 6 ist ein gutes Smartphone, aber wird es ausreichen, um Käufer zu überzeugen?
- Google-Chef sagt, er sei „enttäuscht“ von Apples neuem iPhone-Sicherheitsprogramm
