Werden Passwörter schon bald der Vergangenheit angehören?


140522_passwordsDatenmissbrauch passiert. Sehr oft.

Allein im vergangenen Monat gab es Vorfälle, die sehr große Ziele, wie die US Veterans of Foreign Wars, LaCie Hardware und kürzlich auch 30.000 Studenten und ehemalige Studenten der Iowa State University betrafen. Diese geschahen im Rahmen eines interessanten Angriffes, bei dem Sozialversicherungsnummern augelesen und die Schulserver zum Bitcoin-Mining missbraucht wurden.

Dann kam Heartbleed, die ultra-kritische Schwachstelle mit apokalypseähnlichem Ansatz, die möglicherweise bis zu zwei Jahre lang Millionen Benutzerdaten von 2/3 aller vorhandenen Websites stahl.

Wir haben über die Wichtigkeit der Verwendung sicherer Passwörter berichtet, aber selbst die sichersten Passwörter sind nutzlos, wenn sie im Klartext gestohlen werden. So bleibt die Frage: Bedeutet der ständige Ansturm von Datenschutzverletzungen, dass Passwörter und andere serverseitig gespeicherten Anmeldedaten ihren Wert verlieren und schon bald zu veralteten Tokens der Vergangenheit werden?

Zukünftige Alternativen zu Passwörtern

Starke Passwörter spielen immer noch eine Rolle. 53q)y&67cs#Me09x_oti ist immer noch weniger anfällig für einen Wörterbuchangriff als 123456. Das ist jedoch weitgehend irrelevant, wenn ein Angreifer einfach  Einblick in den Speicherort von 53q)y&67cs#Me09x_oti im Klartext hat, und ihn ganz bequem zusammen mit dem Benutzernamen und möglicherweise anderen persönlichen Daten, wie einer Kreditkartennummer oder einer Sozialversicherungsnummer, einsehen kann. Kompetente Service-Anbieter führen Sicherheitsmaßnahmen ein, aber keine davon ist für möglicherweise hoch organisierte und fortschrittliche Gruppen von Angreifern, die groß absahnen wollen, 100%-ig undurchdringlich. Wie Heartbleed uns gezeigt hat, sind komplexe Computer-Sicherheitssysteme immer anfällig für menschlicheNachlässigkeit. Als Reaktion darauf schlagen einige Entwickler Lösungen vor, welche die Authentifizierung per Passwort vollständig umgehen.

Gesichtserkennung

Die NEC Corporation in Japan kündigte vor kurzem die Einführung eines biometrischen Sicherheitsprogramms mit dem Namen NeoFace Monitor an, das die Gesichterkennungstechnologie nutzt, um PCs zu sperren und schützen. Berichte haben gezeigt, dass die Technologie Fehlerquoten von nur 0,3% hat, und sie wird bereits von NIST anerkannt. NeoFace nutzt Bildverarbeitungsalgorithmen, um die Gesichtszüge zu erkennen, wenn Benutzer in die Webcam Ihres PCs schauen. Wenn NeoFace eine Übereinstimmung feststellt, wird der PC entsperrt, wie es derzeit mit Ihrem typischen Passwort geschieht. NeoFace läuft momentan unter Windows 7 und 8, aber NEC hat angedeutet, dass derzeit an einer Ausweitung auf das Android-Betriebssystem gearbeitet wird, und in ausgewählten Geschäften, Banken und Hotels in Hong Kong werden bereits „Mobile Facial Recognition Appliances“ eingesetzt, um herauszufinden, wie die Gesichtserkennung Inhabern dabei helfen kann, die Sicherheit und den Kundenservice zu verbessern.

Theoretisch könnten NeoFace und andere Gesichterkennungstechnologien auch genutzt werden, um Benutzern Zugang zu sämtlichen Websites zu gewähren. Realistisch betrachtet wird dies für viele Unternehmen technisch oder finanziell jedoch nicht möglich sein, aber die Sicherheit könnte tatsächlich gesteigert werden, da es sehr viel schwieriger ist, ein Gesicht zu stehlen als ein Passwort.

Scannen von Fingerabdrücken

Eine andere biometrische Alternative zum Passwort, an der schon lange gearbeitet wird, ist das nicht ganz so futuristische Konzept des Fingerabdruck-Scans. Wie die Gesichtserkennung setzen auch Fingerabdruck-Scans auf eine biologische Komponente, die für jeden individuellen Benutzer einzigartig ist. Anders als bei der Gesichtserkennung zeigten Tests hingegen immer wieder, dass diese Sicherheitsmaßnahme relativ leicht zu umgehen ist. Das Video in diesem Artikel von Ars Technica zeigt, wie White-Hat-Hacker den Fingerabdruck-Sperrscanner auf einem Samsung Galaxy S5 mit einem gefälschten Fingerabdruck umgingen, der durch die Aufnahme eines Bildes eines echten Abdrucks erstellt wurde, den sie auf der glänzenden Oberfläche des Telefons gefunden haben. Die Hacker haben sich danach auf dem Smartphone eingeloggt, auf eine PayPal-App zugegriffen und Geld von einem Testkonto auf ein anderes übertragen, um zu simulieren, wie ein echter Angreifer vorgehen könnte. Eine solche Umgehung erfordert physischen Zugang zu den Fingerabdrücken, was bedeutet, dass es für den Login für Websites auf Servern, die auf der halben Welt verteilt sind, tatsächlich eine solide Lösung wäre.

Chromebook Easy Unlock

Kennen Sie jemanden, der schlüssellosen Zugang zu seinem Auto hat und sein Fahrzeug, ohne etwas aus der Tasche zu nehmen, öffnen und per Tastendruck starten kann?  Gerüchten zufolge entspricht dies genau dem, was Google für die zukünftige Sicherheit von Chromebook plant. Easy Unlock würde genau wie der schlüssellose Zugang zu einem Auto funktionieren, außer dass Chromebook anstatt über eine spezielle Fernbedienung, die ein Radiosignal ausgibt, durch die Präsenz eines passenden, registrierten Android-Geräts entsperrt würde. Google hat noch keine offizielle Erklärung darüber abgegeben, wann diese Art der Technologie verfügbar sein wird, aber es wurden offensichtlich bereits Marketingmaterialien und Benutzerhandbücher erstellt, und das ist nicht das erste Mal, dass sich das Unternehmen mit Passwortalternativen befasst.

Heutige Passwortlösungen

Es kann einige Zeit dauern, bis biometrische und andere passwortersetzenden Technologien die breite Masse erreichen. In der Zwischenzeit empfiehlt es sich, bei Ihrer Internetnutzung eine zusätzliche Sicherheitsebene einzbauen, indem Sie die Zwei-Faktor-Authentifizierung für Websites aktivieren, die diese anbieten. Bei der Zwei-Faktor-Authentifizierung müssen Sie einen zusätzlichen Schritt unternehmen, wann immer Sie sich über ein unbekanntes Gerät, wie beispielsweise den Computer eines Freundes, auf einer Website anmelden möchten. Dieser zusätzliche Schritt umfasst die Eingabe eines Sicherheitscodes, der an Ihr Mobilgerät geschickt wird, zusätzlich zur Eingabe Ihres Passworts. Durch die Zwei-Faktor-Authentifizierung kann sich eine Person, die Ihr Passwort gestohlen hat, nicht in Ihrem Konto anmelden, es sei denn, sie konnte irgendwie auch Ihren Computer stehlen. Wenn man bedenkt, dass die meisten Passwortdiebstähle durch entfernte Angreifer geschehen, ist dies – wo verfügbar – eine leistungsstarke und großartige Funktion für jedes Konto – besonders für E-Mails und Online-Banking.

Leider ist die Zwei-Faktor-Authentifizierung nicht vollständig immun gegen Malware. Angreifer haben tatsächlich Malware entwickelt, die mobile Geräte infiziert und echte Zwei-Faktor-Authentifizierungscodes von echten Service-Providern abfängt. Genau das geschah kürzlich mit der iBanking-Gaunerei, und aus genau diesem Grund haben wir keine Mühen gescheut und Emsisoft Mobile Security kreiert.

Neben der Zwei-Faktor-Authentifizierung ist es aktuell die beste Möglichkeit, starke, wenig einprägsame Passwörter und ein Passwort-Verwaltungssystem Ihrer Wahl zu verwenden – sei es ein kommerziell erhältliches oder manuelles. In fast allen Fällen speichern Service-Anbieter Ihr Passwort als kryptographischen Hash. Ist dieser Hash aber mit einem gewöhnlichen Passwort verbunden und wird dieser offengelegt, kann das Passwort an Hand eines Brute Force-Wörterbuchangriffs geknackt werden. Diese Methode kann auch von Malware genutzt werden, die direkt auf Ihren Computer abzielt. Aus diesem Grund entwickeln wir Anti-Malware mit minimaler Angriffsfläche und der PC-Umgebung im Hinterkopf.

Letzten Endes wollen Malware-Erzeuger Geld machen, und derzeit ist der Schlüssel zu Ihrem Safe, der Ihr digitales Guthaben schützt, Ihr Passwort. In einer perfekten Welt wäre dieser Schlüssel zusätzlich geschützt durch Netzhaut-Scanner, Lasersensoren und möglicherweise einen tollwütigen Rottweiler mit Maschinengewehr – aber für die Verbraucher ist die Technologie einfach noch nicht so weit. Vielleicht werden wir eines Tages alle mit implantierten Chips und Barcodes herumlaufen, welche unsere DNS nutzen, aber in der Zwischenzeit empfiehlt es sich, das zu verwenden, was momentan verfügbar ist, um eine mehrschichtige, digitale Festung zu schaffen. In anderen Worten: Erzeugen Sie lebende Kryptographie.

Wir wünschen einen schönen (passwortgeschützten) Tag!

 

 

 

 

Senan Conrad

Weitere Artikel