Lehre aus Collection #1: Passwörter allein haben ausgedient
24. Januar 2019Mehr als 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter sollen im Dark Web veröffentlicht und verfügbar gemacht worden sein. Damit handelt es sich bei Collection #1 um den derzeit größten Leak an Nutzerdaten. Doch welche Lehren lassen sich daraus ziehen?
Die Folgen eines solchen Verstoßes können drastisch sein. Wenn betroffene Benutzer ihre Zugangsdaten oder Passwörter nicht so schnell wie möglich ändern, können Social Media-Konten, Cloud-Speicher und andere Plattformen gehackt werden. Insbesondere bei Cloud-basierten Speicherdiensten, die wichtige Dokumente und Bilder enthalten können, kann der Schaden erheblich sein. Eine Datenschutzverletzung dieser Größenordnung sollte Unternehmen und private Nutzer dazu bringen, darüber nachzudenken, wie sie ihre Daten besser schützen können, auch wenn sie nicht direkt von Collection #1 betroffen sind.
Seit Jahrzehnten sind Passwörter die primäre Methode der Authentifizierung, um Daten und Konten vor unbefugtem Zugriff zu schützen. Allerdings haben sich Passwörter in vielerlei Hinsicht als problematisch erwiesen. Das Erinnern und regelmäßige Ändern komplexer Passwörter ist für viele Benutzer lästig, die daher oft viel zu einfache Passwörter verwenden oder Passwörter kontenübergreifend wiederverwenden. Für Unternehmen ist die Passwortverwaltung sowohl kostspielig, als auch zeitaufwendig. Darüber hinaus wird der IT-Support oft frequentiert, da Benutzer ihre Passwörter öfters vergessen und bei der Wiederherstellung Hilfe benötigen.
Sichere und zugleich einfache Anmeldung
Um dieses Problem zu lösen und die sichere Anmeldung einfach und für jeden zugänglich zu machen, wurde Yubico gegründet. In enger Zusammenarbeit haben u.a. Microsoft, Google und Yubico die Entwicklung der offenen Authentifizierungsstandards FIDO U2F, FIDO2 und WebAuthn sowie von Referenzdesigns für einfache und starke Zwei-Faktor-Authentifizierung und passwortlose Anmeldung angeführt. Die Standards basieren auf Yubicos One-Touch-Benutzerverifikation, bei der keine Treiber oder Client-Software benötigt werden. Zudem wird ein einziger Authentifikator für den Zugriff auf eine beliebige Anzahl von Diensten verwendet, ohne dass Benutzerinformationen zwischen den Diensten geteilt werden.
Das FIDO U2F-Protokoll wurde entwickelt, um als zweiter Faktor die bestehenden, auf Benutzernamen/Passwort basierenden Anmeldevorgänge zu stärken. In diesem Fall kann selbst bei einem Durchsickern der Zugangsdaten eines Benutzers nicht auf sein Konto zugegriffen werden, ohne physischen Zugriff auf das FIDO U2F-Authentifizierungsgerät (oder den Sicherheitsschlüssel) des Benutzers zu besitzen. Viele Dienste bieten ihren Nutzern heute diese Art der Zwei-Faktor-Authentifizierung an, darunter Google, Dropbox, Twitter, Facebook, diverse Passwortmanager und mehr.
Es ist jedoch klar, dass wenn wir in eine Zukunft mit zunehmendem Identitätsdiebstahl und Phishing-Betrug blicken, die Abschaffung des Passworts uns sicherer machen wird. FIDO2 bzw. WebAuthn ist der erste Standard, der die Kontosicherheit durch einen passwortfreien Login vereinfacht. Mit FIDO2/WebAuthn können Passwörter während des Anmeldevorgangs vollständig weggelassen und durch eine viel stärkere Form der Einzelfaktor-Authentifizierung wie z. B. einen FIDO2-fähigen Hardware-Authentifikator ersetzt werden.
Mit der Einführung der starken Authentifizierungsstandards FIDO und WebAuthn können einzelne Benutzer und Unternehmen ihre Daten nun effektiv vor Datenverstößen wie der Collection #1 schützen. Zu Beginn eines neuen Jahres empfiehlt es sich für Unternehmen und Einzelanwender, eine Zwei-Faktor-Authentifizierung einzuführen, da diese sich als die beste Verteidigung gegen Remote-Hacker und Phishing erwiesen hat. Der einfachste Weg für Verbraucher ist die Einrichtung eines Passwortmanagers mit starker Zwei-Faktor-Authentifizierung, um ihre Internet-Logins zu sichern und zu verwalten.
Stina Ehrensvärd, Gründerin und CEO von Yubico
Hier geht es zu Yubico