Die Wahrheit über Passwortalternativen

<p>Da verwundert es nicht, dass Benutzer und Sicherheitsexperten neue Wege zur Absicherung von Konten und Geräten beschreiten. Im Folgenden finden Sie eine Übersicht über die neuesten Alternativen zu herkömmlichen Passwörtern und ihren Sicherheitsmängeln.</p>rn<p><strong>Biometrie – ein eindeutiges biometrisches Merkmal als Sicherheitsausweis</strong></p>rn<p><strong><img alt=”” src=”http://www.hotforsecurity.com/wp-content/uploads/2015/04/iStock_000041623310_Double.jpg” style=”width: 600px; height: 800px;” /></strong></p>rn<p>Die <strong>Fingerabdruckerkennung</strong> ist bei der Entsperrung von Apple-Geräten und der Authentifizierung bestimmter Einkäufe bereits sehr weit verbreitet. Sie gilt als eine der bequemsten und sichersten Methoden, da durchdachte Systeme mit biometrischer Erkennung keine digitale Kopie des biometrischen Merkmals (z. B. des Fingerabdrucks) erstellen. Sie speichern lediglich den so genannten Hash, aus dem sich die eigentliche Kennung nicht ableiten lässt. Aber auch dieses Verfahren ist nicht unfehlbar. Auf der letzten <a href=”http://betanews.com/2015/04/24/samsung-galaxy-s5-could-be-leaking-your-fingerprints/” target=”_blank”>RSA-Konferenz</a> demonstrierten Sicherheitsforscher, wie sich Hacker noch vor deren Verschlüsselung im Gerät Zugriff auf die Fingerabdruckdaten auf Samsung-Geräten verschaffen können.</p>rn<p>Ein weiteres Problem ist, dass es dabei kein Zurück gibt. Unsere Fingerabdrücke finden sich überall, auf Kaffeebechern oder Laptoptastaturen, und es ist ein Leichtes, sie zu kopieren und gegen uns zu verwenden. Und wurde Ihr Fingerabdruck erst einmal gehackt, wird es schwer für Sie, sich einen neuen Finger zuzulegen.</p>rn<p>Ebenfalls in diesem Bereich des Sicherheitsspektrums findet sich das <strong>Entsperren per Gesichtserkennung</strong>, eine Methode, die wohl nur unzureichende Gerätesicherheit bietet. Selbst <a href=”https://support.google.com/nexus/answer/2781894?hl=en&ref_topic=3415467″ target=”_blank”>Google</a> weiß: „Zwar ist Face Unlock nicht besonders sicher, aber es ist praktisch und macht Spaß.“</p>rn<p>Als die Funktion mit Android 4.0 (Ice Cream Sandwich) erstmals vorgestellt wurde, machten sich Benutzer schnell darüber lustig, dass die Software sich mit einer Fotografie des Gesichts überlisten ließ. Hinzu kommen eine Reihe weiterer technischer Einschränkungen, so hängt die Genauigkeit von Faktoren wie Lichtverhältnissen und Gesichtsmerkmalen ab. Erfreulicherweise wird das Verfahren zunehmend zuverlässiger, da Unternehmen in die Verbesserung des Gesichtsabgleichs investieren. Mit Android Jelly Bean wurde mit dem „Liveness Check“ eine Funktion eingeführt, die verhindern soll, dass System mit einem simplen Foto des Nutzers zu umgehen.</p>rn<p>Andere biometrische Authentifizierungsmethoden finden nur selten kommerzielle Anwendung, sind unter Sicherheitsaspekten jedoch sehr viel versprechend – so zum Beispiel die Iris- und Pulserkennung durch so genannte Wearables, also am Körper getragene Geräte.</p>rn<p><strong>Token</strong></p>rn<p>Die Authentifizierung über Token hat sich als äußerst effizient beim elektronischen Nachweis der Identität erwiesen. Sicherheits-Token können dabei physischer oder virtueller Natur sein und werden in Kombination mit einem Passwort verwendet. Einer ihrer größten Vorteile liegt darin, dass die Benutzerinformationen nicht auf einem Server oder in einer Sitzung gespeichert werden.</p>rn<p>Aber gibt es auch hier Schwachstellen? Kryptographische Angriffe sind zwar selten, wurden aber in der Vergangenheit bereits beobachtet. Dabei war es Angreifern gelungen, den Zufallszahlengenerator zu manipulieren, über den die Benutzer die eindeutige Nummer für ihre Anmeldung erhalten. In den letzten Monaten ist es zudem einer <a href=”http://www.hotforsecurity.com/blog/banking-trojan-lurking-inside-innocent-fax-messages-bitdefender-warns-11368.html”>komplexen Finanz-Malware gelungen, Verfahren zur Zwei-Faktor-Authentifizierung zu umgehen</a>. Dabei wurde trotz aller zur Verfügung stehenden Sicherheitsmechanismen Schadcode in den Browser des Benutzers eingeschleust, nachdem dieser sich beim Online-Banking angemeldet hatte.</p>rn<p><strong>Wie können Sie Ihre Online-Identität also am sichersten schützen?</strong></p>rn<p>Smart Cards scheinen unter allen Alternativen die wohl meiste Sicherheit zu bieten. Sie werden üblicherweise mit PIN-Codes oder Passwörtern kombiniert, um eine Zwei-Faktor-Authentifizierung zu ermöglichen. Dabei kann eine einzige Karte gleichzeitig als Ausweisdokument, Kreditkarte, Guthabenkarte und Speicher für personenbezogene Daten wie Telefonnummern oder Patientendaten dienen.</p>rn<p>Bei der Verwendung dieser Karten kommen die neuesten Verschlüsselungs- und Authentifizierungstechnologien zum Einsatz. Sie können darüber hinaus als elektronische Schlüsselanhänger dienen, die ihrem Träger auch ohne Internetverbindung Zugriff auf Informationen oder Zugang zu physischen Einrichtungen gewähren können.</p>rn<p>Zudem können sie auch als Verschlüsselungsgeräte eingesetzt werden, damit Benutzer Informationen verschlüsseln und entschlüsseln können, ohne sich dabei auf unbekannte und damit möglicherweise nicht vertrauenswürdige Geräte wie zum Beispiel Geldautomaten verlassen zu müssen. Die Zugangsdaten des Benutzers werden außerdem in einem nichtflüchtigen Speicher verwahrt, wodurch diese nicht verloren gehen. Glücklicherweise ist es nahezu unmöglich, eine Smart Card zu klonen, was in bestimmten Branchen eine lückenlose Identifizierung ermöglicht.</p>rn<p>Es wurden jedoch auch schon Fälle dokumentiert, in denen Smart-Card-Geräte auf dem lokalen Computer von Malware manipuliert und dann über die vom Hersteller bereitgestellte API (Application Programming Interface) verwendet wurden.</p>rn<p><em><strong>Was glauben Sie, wie lässt sich Ihre Online-Identität am einfachsten und wirksamsten schützen?</strong></em></p>rn