Wie Apple, Google und Microsoft Passwörter und Phishing auf einen Schlag zerstören können

Getty Images

Seit mehr als einem Jahrzehnt wird uns versichert, dass die passwortfreie Welt in der Ecke steht, und doch kann diese Sicherheitsnacktheit Jahr für Jahr nicht erreicht werden. Jetzt wird der Öffentlichkeit erstmals eine funktionale Form der passwortfreien Authentifizierung in einem von Apple, Google und Microsoft akzeptierten Standardformat zur Verfügung gestellt, das standort- und dienstübergreifende Passwörter ermöglicht.

Pläne, Passwörter zu töten, sind in der Vergangenheit auf viele Probleme gestoßen. Wenn jemand die Kontrolle über Telefonnummern oder mit dem Konto verbundene physische Token und Telefone verliert, ist das Fehlen eines potenziellen Wiederherstellungsmechanismus ein großer Nachteil. Eine weitere Einschränkung besteht darin, dass die meisten Lösungen letztendlich nicht passwortfrei sind. Stattdessen gaben sie den Benutzern die Möglichkeit, sich mit einem Gesichtsscan oder Fingerabdruck anzumelden, aber diese Systeme fielen schließlich in die Kategorie Phishing, Wiederverwendung von Passwörtern und vergessene Passwörter – die Gründe, warum wir anfangen, Passwörter zu hassen. Geh nicht.

Ein neuer Ansatz

Was diesmal anders ist, ist, dass Apple, Google und Microsoft alle dieselbe klar definierte Lösung haben. Darüber hinaus ist die Lösung für Benutzer einfacher als je zuvor und es kostet weniger, großartige Dienste wie Github und Facebook zu starten. Es wurde sorgfältig entworfen und von Experten für Anerkennung und Schutz begutachtet.

Ein Modell, wie die passwortfreie Authentifizierung aussieht.
Hineinzoomen / Ein Modell, wie die passwortfreie Authentifizierung aussieht.

FIDO-Allianz

Aktuelle Multifaktor-Akkreditierungssysteme (MFA) haben sich in den letzten fünf Jahren erheblich verbessert. Beispielsweise erlaubt mir Google, die iOS- oder Android-App herunterzuladen, die ich als zweiten Faktor verwende, wenn ich mich von einem neuen Gerät aus bei meinem Google-Konto anmelde. Basierend auf CTAP Client-First-Authentifizierungsprotokoll– Dieses System verwendet Bluetooth, um zu bestätigen, dass sich das Telefon in der Nähe des neuen Geräts befindet und dass das neue Gerät tatsächlich mit Google und nicht mit einer getarnten Website wie Google verbunden ist. Das heißt, es ist unmöglich zu fischen. Der Standard stellt sicher, dass das auf dem Telefon gespeicherte kryptografische Geheimnis nicht extrahiert werden kann.

Siehe auch  Krieger vs.. Grizzlys: Dreammond wurde aus Green Game 1 ausgeschlossen, nachdem Flogrant 2 Brandon Clark gefoult hatte.

Google bietet auch Erweiterter Sicherheitsplan Physische Schlüssel in Form von personalisierten Dongles oder Endbenutzertelefonen sind erforderlich, um Anmeldungen von neuen Geräten zu authentifizieren.

Die große Einschränkung besteht jetzt darin, dass MFA und passwortfreie Authentifizierung von jedem Dienstanbieter unterschiedlich ausgestellt werden. Einige Anbieter, wie die meisten Banken und Finanzdienstleister, versenden Passwörter immer noch per SMS oder E-Mail. In der Erkenntnis, dass sicherheitssensible Informationen keine sicheren Mittel zum Übertragen von Geheimnissen sind, haben viele Dienste auf ein System namens TOTP umgestellt. Ein zeitbasiertes Einmalkennwort– Ermöglicht das Hinzufügen eines zweiten Faktors, der das Passwort effektiv um den „Ich habe einen“-Faktor erweitert.

Physische Sicherheitsschlüssel, TOTPs und minimale Zwei-Faktor-Authentifizierung per SMS und E-Mail stellen einen wichtigen Schritt nach vorne dar, aber es gibt drei wesentliche Einschränkungen. Erstens werden TOTPs von Authentifizierungsanwendungen generiert und per SMS oder E-Mail gesendet Fischig, Normale Passwörter sind auf die gleiche Weise. Zweitens hat jeder Dienst sein eigenes geschlossenes MFA-Betriebssystem. Das bedeutet, dass selbst bei Verwendung der Nicht-Phishing-Formulare von MFA – private physische Schlüssel oder telefonbasierte Schlüssel – ein Benutzer einen separaten Schlüssel für Google, Microsoft und alle anderen Internet-Assets benötigt. Erschwerend kommt hinzu, dass jedes Betriebssystem unterschiedliche Algorithmen zur Implementierung von MFA hat.

Diese Probleme führen zu einem dritten: der Unfähigkeit, sie für die meisten Endbenutzer zu verwenden, und den unbedeutenden Kosten und der Komplexität, mit denen jeder Dienst konfrontiert ist, wenn er versucht, MFA bereitzustellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.