Erinnern Sie sich noch, als im vergangenen Jahr durch einen Hacker-Angriff die Nacktfotos mancher Prominenter durchsickerten? Das hat nicht nur so manchen Fan erfreut, sondern wurde auch zu einem sehr lehrreichen Vorfall.
So verstanden viele Menschen auf einmal, dass der Name des Haustiers nicht gerade das sicherste Passwort ist und dass die Zwei-Faktoren-Authentifizierung nicht exklusiv für IT-Nerds da ist, sondern auch für jeden normalen iPhone-Nutzer.
Die Fotos, die das ganze Medienecho auslösten, wurden von Apples iCloud-Service gestohlen, wo Kopien von mit Apple-Geräten gemachten Fotos gespeichert werden. Die Hacker nutzten die einfachste Möglichkeit, dort einzubrechen: Eine Kombination aus Phishing und Brute-Force-Angriff. Um das wieder gut zu machen und seine Nutzer zu schützen, führte Apple eine Zwei-Faktoren-Authentifizierung (2FA) bei der iCloud ein und riet seinen Kunden, diese immer zu verwenden.
What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security
— Kaspersky (@kaspersky) June 9, 2014
Allerdings ist die 2FA bei der iCloud – genau wie bei Gmail, Facebook und vielen anderen Web-Diensten – optional. Die Mehrheit der Anwender verwendet sie nicht, da sie unpraktisch ist und die meisten Menschen dafür keine Zeit opfern wollen.
Gleichzeitig kann es schnell passieren, dass man die Kontrolle über seine E-Mail-Konten oder Profile bei Sozialen Netzwerken verliert, selbst wenn man nicht Kim Kardashian oder Kate Upton heißt. Die Konsequenzen können verheerend sein.
Zwei Schlösser sind besser
Die Mehrheit der Menschen glaubt, bei der Zwei-Faktoren-Authentifizierung würde immer ein Einmalpasswort als SMS verschickt werden. Das ist zwar die bekannteste Methode, aber bei weitem nicht die einzige.
Generell kann man die 2FA mit einer Tür mit zwei Vorhängeschlössern vergleichen. Eines davon nutzt die traditionelle Login/Passwort-Kombination, das zweite verwendet eine andere Technik. Und wenn zwei Schlösser nicht ausreichen, kann man so viele installieren, wie man möchte, aber das würde das Öffnen der Tür noch weiter verlangsamen, also ist es wohl besser erst einmal mit zumindest zwei Schlössern anzufangen.
Passwörter, die per SMS geschickt werden, sind eine leicht verständliche und relativ zuverlässige Möglichkeit der Authentifizierung, die aber nicht immer ganz praktisch ist. Denn jedes Mal, wenn Sie sich bei einem Service anmelden wollen, müssen Sie zunächst das Handy zur Hand nehmen, auf die SMS warten und dann das Passwort eingeben…
Und wenn Sie sich dabei vertippen oder den Code zu spät eingeben, muss das Ganze noch einmal wiederholt werden. Das kann auch passieren, wenn das Handynetzwerk gerade überlastet ist und die SMS dadurch zu spät bei Ihnen ankommt. Sehr ärgerlich.
Weak Link: How to lose everything having lost your #SIM-card https://t.co/wha5ECQP6A #security pic.twitter.com/ykU4j1mbvI
— Kaspersky (@kaspersky) November 18, 2014
Wenn Sie dann noch in einem Funkloch sind (was gerade unterwegs häufig vorkommen kann), bedeutet das, dass Sie das Passwort gar nicht erhalten können. Und wenn Sie im schlimmsten Fall Ihr Handy verlieren und keine anderen Kommunikationsmöglichkeiten haben, wird das schnell frustrierend.
Für solche Fälle bieten Seiten wie Facebook und Google aber andere Möglichkeiten, zum Beispiel eine Liste mit einmaligen Schlüsseln, die Sie präventiv erstellen, ausdrucken und an einem sicheren Ort verwahren können.
5 Tipps, wie Sie private Fotos mit Zwei-Faktoren-Authentifizierung schützen #Privatsphäre
Tweet
Außerdem kann es vorkommen, dass die Zwei-Faktoren-Authentifizierung mit SMS-Passwörtern nicht die ganze Zeit eingeschaltet ist, sondern nur, wenn sich jemand mit einem unbekannten Gerät einloggt. Sie entscheiden, wie diese Möglichkeit genutzt wird. Die Methode ist die gleiche für alle Apps, die mit Ihrem Konto verbunden sind, etwa bei E-Mail-Clients. Wenn Sie bei diesen ein speziell generiertes Passwort eingeben, sind sie für lange Zeit zufrieden. Wenn Sie sich also nicht gerade jeden Tag von einem neuen Gerät aus einloggen, ist die 2FA mit SMS-Passwörtern gar keine so große Sache. Einmal eingerichtet, funktioniert sie reibungslos.
ID auf einem Smartphone
Wenn Sie viel unterwegs sind und reisen, ist es wahrscheinlich besser, die 2FA über eine spezielle App zu nutzen. Anders als bei SMS-Passwörtern funktioniert diese Authentifizierungsmethode offline. Das einmalige Passwort wird nicht auf einem Server im Internet, sondern direkt auf dem Smartphone generiert (die erste Einrichtung der App benötigt allerdings eine Internetverbindung).
Es gibt zahlreiche Authentifizierungs-Apps, doch der Google Authenticator kann als Standard bezeichnet werden. Neben Gmail unterstützt diese App auch Dienste wieFacebook, Tumblr, Dropbox, vk.com, WordPress und viele mehr.
Add 2-step verification to keep the bad guys out of your Google account http://t.co/8txtgcY1yM #staysafe pic.twitter.com/NuKmVuEpqs
— Google (@Google) October 3, 2013
Falls Sie eine Alternative wünschen, sollten Sie Twilio Authy ausprobieren. Die App ist dem Google Authenticator ähnlich, bietet aber einige zusätzliche, praktische Funktionen.
So erlaubt sie, Shop-Zertifikate in der Cloud zu speichern und auf andere Geräte zu kopieren (Smartphones, PCs, Tablets und viele andere Plattformen, inklusive Apple Watch). Und selbst wenn Ihr Gerät gestohlen wird, haben Sie nach wie vor Kontrolle über Ihr Konto. Die App verlangt nämlich bei jedem Start eine PIN und der Schlüssel kann zurückgezogen werden, falls Ihr Gerät kompromittiert werden sollte. Zum anderen macht Twilio Authy Ihr Leben einfacher, wenn Sie ein neues Gerät nutzen möchten.
Ein Schlüssel, sie alle zu beherrschen
Die oben genannten Lösungen haben einen großen Fehler: Wenn man das gleiche Gerät verwendet, um sich einzuloggen und die SMS mit dem einmaligen Passwort zu empfangen, oder eine App darauf den 2FA-Schlüssel generiert, ist der Schutz nicht ganz so zuverlässig.
Ein höheres Schutzniveau bieten Hardware-Token. Diese gibt es in allen möglichen Formen – von USB-Token über Smartcards bis zu Offline-Token mit Display. Doch das Prinzip ist bei allen im Grunde das gleiche. Sie sind sozusagen kleine Computer, die auf Anforderung einmalige Schlüssel generieren. Diese Schlüssel werden dann manuell oder automatisch eingegeben, zum Beispiel über ein USB-Interface.
Just launched today! #YubiKey Edge and Edge-n for #U2F and OTP – http://t.co/gLPM8EUdff pic.twitter.com/LhSJhzdTHR
— Yubico | #YubiKey (@Yubico) April 16, 2015
Solche Hardware-Schlüssel sind vom Handynetz, Smartphones und allem anderen unabhängig; sie erledigen immer ihre Aufgabe, egal, was passiert. Aber man muss sie extra kaufen und manche Menschen verlieren diese kleinen Geräte leicht.
Normalerweise werden solche Token verwendet, um Online-Banking-Dienste, Firmensysteme und andere wichtige Dinge zu schützen. Aber genau so können Sie einen eleganten USB-Stick verwenden, um Ihr Google- oder WordPress-Konto zu schützen, vorausgesetzt, das Token unterstützt die Open-FIDO-U2F-Spezifikation (etwa die beliebten YubiKey-Token).
Zeigt her Eure Implantate!
Traditionelle Hardware-Schlüssel bieten ein hohes Maß an Sicherheit, sind aber ebenfalls nicht so praktisch. Es kann einen ganz schnell nerven, immer einen USB-Stick einstecken zu müssen, wenn man sich irgendwo einloggen möchte, und bei einem Smartphone ist das gar nicht möglich.
Einfacher wäre ein drahtloser Schlüssel, der per Bluetooth oder NFC kommt. Mit den in diesem Sommer neu vorgestellten FIDO-U2F-Spezifikationen ist das übrigens möglich.
Ein Anhänger oder Etikett, die einen legitimen Nutzer ausweisen können, kann so ziemlich überall angebracht werden: Im Schlüsselanhänger, einer Art Kreditkarte oder sogar als NFC-Chip, der unter die Haut implantiert wird. Jedes Smartphone könnte diesen Schlüssel auslesen und den Nutzer authentifizieren.
#BionicManDiary, entry 001: the story of how a chip was implanted into my body: https://t.co/tEawdUC2tj by @cheresh pic.twitter.com/dXwzYUdYSC
— Kaspersky (@kaspersky) February 26, 2015
Eins, zwei, viele
Aber das Zwei-Faktoren-Konzept ist einfach so von gestern. Große Dienste wie Google und Facebook nutzen (ganz leise) die Multi-Faktoren-Analyse, um den Zugriff zu schützen. Sie bewerten das Gerät und den Browser, mit dem sich jemand einloggt, sowie den Aufenthaltsort oder die Nutzungsmuster. Banken verwenden ähnliche Systeme, um betrügerische Aktivitäten zu entdecken.
In der Zukunft werden wir also immer mehr fortschrittliche Multi-Faktoren-Lösungen verwenden, die eine ideale Balance aus Bequemlichkeit und Sicherheit bieten. Eines der besten Beispiele dafür ist das Project Abacus, das auf der Google-I/O-Konferenz vorgestellt wurde.
4 new @Google projects from #IO15: #Soli, #Jacquard, #Vault and #Abacus https://t.co/W3syPCLuli pic.twitter.com/rRadOQmtng
— Kaspersky (@kaspersky) June 22, 2015
In der neuen Realität wird Ihre ID nicht nur über ein Passwort, sondern auch eine ganze Sammlung anderer Faktoren bestätigt werden: Ihren Aufenthaltsort, was Sie gerade machen, wie Sie sprechen, wie Sie atmen, Ihrem Herzschlag, ob Sie Cyber-Prothesen verwenden. Das Gerät wird all diese Faktoren erkennen und identifizieren – wahrscheinlich wird das über Ihr Smartphone passieren.
Hier ein Beispiel: Schweizer Forscher verwenden Umgebungsgeräusche als Authentifizierungs-Faktor. Das Konzept, das von den Forschern Sound-Proof genannt wird, ist recht einfach. Wenn man vom Computer aus auf einen bestimmten Service zugreift, schickt der Server eine Anfrage an eine App auf dem Smartphone. Dann nehmen sowohl der Computer als auch das Smartphone die Umgebungsgeräusche auf und wandeln diese in eine digitale Signatur um, verschlüsseln sie und schicken Sie an den Server zur Analyse. Wenn Sie zusammenpassen, ist das der Beweis, dass ein legitimer Nutzer auf sein Konto zugreifen will.
How ambient sound can keep your data safe http://t.co/USgEnnDM0p pic.twitter.com/11c32HeiIK
— Popular Mechanics (@PopMech) August 18, 2015
Dieser Ansatz ist natürlich nicht ganz ideal. Denn was ist, wenn der Übeltäter genau neben dem echten Nutzer in einem Restaurant sitzt? Dann sind die aufgenommenen Umgebungsgeräusche praktisch gleich. Es sollte also noch weitere Faktoren geben, die eine Kompromittierung des Kontos verhindern.
Alles in Allem, sind Sound-Proof und Abacus aber Sicherheitsmaßnahmen für Morgen. Bis sie einmal kommerziell erhältlich sind, werden sich auch die Bedrohungen und Herausforderungen der IT-Sicherheit weiterentwickelt haben. Heute bleibt Ihnen nichts anderes, als die Zwei-Faktoren-Authentifizierung einzuschalten.