Passwörter sind nicht mehr zeitgemäß: Passwortlose Multi-Faktor-Authentifizierung macht es Hackern schwerer

Alles rund um Hardware
Antworten
Benutzeravatar
ww_michael
Verified
Site Admin
Beiträge: 2645
Registered for: 3 years
3
Wohnort: Winnen
Hat sich bedankt: 89 Mal
Danksagung erhalten: 1856 Mal
Geschlecht:
Alter: 59
Kontaktdaten:
Germany

Passwörter sind nicht mehr zeitgemäß: Passwortlose Multi-Faktor-Authentifizierung macht es Hackern schwerer

Beitrag: # 2213Beitrag ww_michael »

Passwort, hallo und schatz gehörten 2021 zu den beliebtesten und meistgenutzten Passwörtern der Deutschen. Mit solchen Passwörtern ist es um die Sicherheit allerdings nicht gut bestellt und Cyberkriminellen wird es unnötig einfach gemacht, Accounts zu sozialen Netzwerken, Online Shops oder anderen Diensten zu knacken.

„Tatsächlich ist der passwortgestützte Login noch immer die am häufigsten genutzte Methode der Authentifizierung. Doch das Einloggen per Passwort ist auch etwas antiquiert. Heutzutage gibt es Alternativen – oder zumindest Möglichkeiten, Logins zusätzlich abzusichern“, macht Patrycja Schrenk, Geschäftsführerin der PSW GROUP www.psw.group.de, aufmerksam.

Mit FIDO2 oder Zwei- und Multifaktor-Authentifizierung existieren heutzutage nämlich andere Methoden zur Authentifizierung: Modern und sehr zeitgemäß ist die passwortlose Anmeldung mit FIDO2. Mit diesem Verfahren, welches auf Mehr-Faktor-Authentifizierung setzt, gelingen verschlüsselte, anonyme und passwortfreie Log-ins. Auf Zwei- oder Mehr-Faktor-Authentifizierung setzend, werden Sicherheitsschlüssel sowie Hardware-Tokens für den Login-Vorgang verwendet. „Zwar fehlt derzeit noch eine breitgefächerte Unterstützung, allerdings wollen Konzerne wie Microsoft, Apple und Google zusammen mit der FIDO-Allianz Passwörter abschaffen. So möchte Google die FIDO-Technologie in den hauseigenen Produkten Chrome, ChromeOS sowie Android implementieren, Apple und Microsoft möchten ihre Plattformen ebenfalls FIDO-fit machen“, informiert Schrenk.

Dass Hacker Passwörter immer schneller knacken und das konventionelle Passwort-Login-Verfahren damit in Gefahr ist, zeigt eine Studie des US-Software-Anbieters Hive Systems: Dauerte es 2020 noch acht Stunden, bis ein komplexes achtstelliges Passwort geknackt war, schaffen Hacker das heute in unter einer Stunde. „Insgesamt muss für die Wahl des Login-Verfahrens und für die Generierung von Passwörtern umgedacht werden: Passwörter sind die erste Verteidigungslinie gegen Cyberkriminelle. Deshalb lohnt es sich, komplexe Passwörter zu nutzen. Idealerweise besteht ein Passwort aus wenigstens 16 Zeichen, wobei Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen wild kombiniert werden sollten. Wer zusätzlich weitere Faktoren, etwa Biometrie oder Hardware-Tokens hinzufügt, macht es Cyberkriminellen wirklich schwer“, so die IT-Sicherheitsexpertin.

Doch Vorsicht: Auf bei der Multifaktor-Authentifizierung gibt es bequemere Methoden, die jedoch unsicherer sind, und unbequemere Methoden, die dafür mit mehr Sicherheit aufwarten. Zu den bequemsten und beliebtesten Methoden gehört hier die SMS-Authentifizierung. „Sie bietet jedoch eine für Cyberkriminelle attraktive Angriffsfläche. Denn mittels SIM-Swap-Betrug können Angreifende das Telefon ihres Opfers imitieren. So gelingt der Zugriff auf eingehende Nachrichten und damit auch der Login ins Konto“, gibt Patrycja Schrenk zu bedenken. Beliebt bei Cyberkriminellen sind in diesem Zusammenhang auch Pass-the-Cookie-Angriffe: Viele Websites und Browser speichern Authentifizierungsinformationen in Cookies. Für Nutzende ist das praktisch, denn statt ihre Identität immer wieder zu bestätigen, können sie einfach eingeloggt bleiben. Für Cyberkriminelle ist dieses Vorgehen jedoch nicht weniger praktisch: Sie können die gespeicherten Informationen stehlen.

Es gibt auch die Möglichkeit, ganz auf das Passwort zu verzichten. Dazu zählt die passwortlose Multifaktor-Authentifizierung. „Normalerweise laufen beim Einloggen drei Prozesse ab: Beim Authentisieren wird die Identität nachgewiesen, beim Authentifizieren der Identitätsnachweis geprüft und beim Autorisieren werden bestimmte Rechte gewährt. Soll der Login-Prozess ohne Passwort stattfinden, liegt die große Herausforderung im Bereich der Identitätsfeststellung, also beim Authentisieren. Dafür existieren aber Lösungen. Biometrische Verfahren erfreuen sich beispielsweise großer Beliebtheit, ganz gleich ob als Face-ID oder Fingerprint“, so Patrycja Schrenk. Eine Alternative zu biometrischen Verfahren im passwortlosen Login sind Sicherheitstoken wie USB-Sticks oder TANs. Als „Huckepack-Verfahren“ wird das Vorgehen bezeichnet, wenn ein anderer Dienst, eine andere Anwendung oder ein Gerät Nutzende bereits authentifiziert hat.

„Wer nicht zum passwortlosen Login wechseln möchte, dem rate ich, auf ausreichende Komplexität bei der Wahl des Passworts zu achten, den Login zusätzlich mit Zwei- oder Multifaktor-Authentifizierung zu schützen und in regelmäßigen Intervallen die Sicherheit der Passwörter zu prüfen. Wichtig ist zudem, für jeden Dienst ein eigenes Passwort zu verwenden. Niemals sollte dasselbe Passwort zur Absicherung unterschiedlicher Zugänge verwendet werden. Wem das zu kompliziert oder zu unübersichtlich ist, dem rate ich zu einem Passwort-Manager. Mit einem Masterpasswort und idealerweise weiteren Mitteln effizient abgesichert, wird der Passwort-Manager zum digitalen Passwort-Hirn“, so Patrycja Schrenk.
Bild
Antworten