Ihr Telefon könnte bald viele Ihrer Passwörter ersetzen – Krebs on Security

Apfel, Google und Microsoft kündigte diese Woche an, dass sie bald einen Authentifizierungsansatz unterstützen werden, der Passwörter vollständig vermeidet und stattdessen erfordert, dass Benutzer ihre Smartphones einfach entsperren, um sich bei Websites oder Onlinediensten anzumelden. Experten sagen, dass die Änderungen dazu beitragen sollten, viele Arten von Phishing-Angriffen abzuwehren und die allgemeine Passwortbelastung für Internetnutzer zu verringern, warnen jedoch davor, dass eine echte passwortfreie Zukunft noch Jahre dauern kann, bis sie fertiggestellt ist.

Bild: blog.google

Die Technologiegiganten sind Teil einer branchengeführten Anstrengung, Passwörter zu ersetzen, die leicht vergessen, häufig von Malware und Phishing-Programmen gestohlen oder nach Sicherheitsverletzungen durchgesickert und online verkauft werden.

Apple, Google und Microsoft gehören zu den aktivsten Mitwirkenden an einem passwortlosen Login-Standard, der von der FIDO Alliance („Fast Identity Online“) und der entwickelt wurde World Wide Web Konsortium (W3C), Gruppen, die in den letzten zehn Jahren mit Hunderten von Technologieunternehmen zusammengearbeitet haben, um einen neuen Anmeldestandard zu entwickeln, der für mehrere Browser und Betriebssysteme gleich funktioniert.

Laut der FIDO Alliance können sich Benutzer bei Websites mit der gleichen Aktion anmelden, die sie mehrmals täglich zum Entsperren ihrer Geräte ausführen, einschließlich einer Geräte-PIN oder biometrischen Daten wie einem Fingerabdruck oder einem Gesichtsscan.

„Dieser neue Ansatz schützt vor Phishing und die Anmeldung wird radikal sicherer im Vergleich zu Passwörtern und älteren Multi-Faktor-Technologien wie Einmalpasswörtern, die per SMS gesendet werden“, schrieb die Allianz am 5. Mai.

Sampath SrinivasDirector of Security Authentication bei Google und Präsident der FIDO Alliance, sagte, dass Ihr Telefon unter dem neuen System eine FIDO-ID namens „Passkey“ speichert, die zum Entsperren Ihres Online-Kontos verwendet wird.

„Das Passwort macht das Einloggen viel sicherer, da es auf Public-Key-Kryptographie basiert und nur in Ihrem Online-Konto angezeigt wird, wenn Sie Ihr Telefon entsperren“, schrieb Srinivas. „Um sich auf Ihrem Computer bei einer Website anzumelden, brauchen Sie nur Ihr Telefon in der Nähe und Sie werden nur aufgefordert, es zu entsperren, um darauf zuzugreifen. Sobald Sie das getan haben, brauchen Sie Ihr Telefon nicht mehr. und Sie können sich anmelden, indem Sie einfach Ihren Computer entsperren.

Wie ZDNet Bemerkungen, Apple, Google und Microsoft unterstützen bereits diese passwortlosen Standards (z. B. „Mit Google anmelden“), aber Benutzer müssen sich auf jeder Website anmelden, um die passwortlose Funktion zu verwenden. Mit diesem neuen System können Benutzer automatisch auf ihr Passwort über mehrere ihrer Geräte zugreifen – ohne jedes Konto neu registrieren zu müssen – und sich mit ihrem mobilen Gerät bei einer App oder Website auf einem Gerät anmelden.

Johannes UlrichForschungsdekan für die SANS Institut für Technologienannte die Ankündigung „bei weitem die vielversprechendste Anstrengung, um die Authentifizierungsherausforderung zu lösen“.

„Der wichtigste Teil dieses Standards ist, dass Benutzer kein neues Gerät kaufen müssen, sondern dass sie Geräte verwenden können, die sie bereits besitzen und wissen, wie man sie als Authentifikatoren verwendet“, sagte Ullrich.

Steve BelowinProfessor für Informatik an der Columbia University und einer der ersten Internetnutzer Forscher und Pioniernannte die passwortlosen Bemühungen einen „großen Fortschritt“ bei der Authentifizierung, sagte aber, dass es lange dauern wird, bis viele Websites aufholen.

Bellovin und andere sagen, dass ein potenziell kniffliges Szenario in diesem neuen passwortlosen Authentifizierungsschema darin besteht, was passiert, wenn jemand sein Mobilgerät verliert oder sein Telefon kaputt geht und er sich nicht an Ihr iCloud-Passwort erinnern kann.

„Ich mache mir Sorgen um Menschen, die sich kein zusätzliches Gerät leisten oder ein kaputtes oder gestohlenes Gerät nicht einfach ersetzen können“, sagte Bellovin. „Ich mache mir Sorgen um die Wiederherstellung vergessener Passwörter für Cloud-Konten.“

Google genannt dass, selbst wenn Sie Ihr Telefon verlieren, „Ihre Passkeys aus der Cloud-Sicherung sicher mit Ihrem neuen Telefon synchronisiert werden, sodass Sie dort weitermachen können, wo Ihr altes Gerät aufgehört hat.“

Apple und Microsoft haben auch Cloud-Backup-Lösungen, mit denen Kunden, die diese Plattformen verwenden, ein verlorenes Mobilgerät wiederherstellen können. Aber Bellovin sagte, dass viel von der Sicherheit abhängt, mit der diese Cloud-Systeme verwaltet werden.

„Ist es einfach, ohne Erlaubnis den öffentlichen Schlüssel eines anderen Geräts zu einem Konto hinzuzufügen?“ fragte sich Bellovin. „Ich denke, ihre Protokolle machen das unmöglich, aber andere sind anderer Meinung.“

Nikolaus TisserandDozent im Fachbereich Informatik der Universität von Kalifornien, Berkeleybesagte Websites müssen immer noch einen Wiederherstellungsmechanismus für das Szenario „Sie haben Ihr Telefon und Ihr Passwort verloren“ haben, das er als „ein wirklich schwieriges Problem, das sicher zu beheben ist, und bereits als eine der größten Schwächen unseres derzeitigen Systems“ beschrieb.

„Wenn Sie den Passcode vergessen und Ihr Telefon verlieren und es zurückbekommen können, ist das jetzt ein großes Ziel für Angreifer“, sagte Weaver in einer E-Mail. „Wenn Sie das Passwort vergessen und Ihr Telefon verlieren und Sie NICHT KÖNNEN, dann haben Sie jetzt Ihr Autorisierungstoken verloren, das zum Anmelden verwendet wurde. Es muss letzteres sein. Apple hat die Infrastruktur, um es zu unterstützen (iCloud Keychain) , aber unklar, ob Google dies tut.

Trotzdem sei der ganzheitliche Ansatz von FIDO ein großartiges Werkzeug, um sowohl die Sicherheit als auch die Benutzerfreundlichkeit zu verbessern.

„Es ist ein wirklich, wirklich guter Schritt nach vorne, und ich freue mich darauf, das zu sehen“, sagte Weaver. „Die Nutzung einer starken Authentifizierung des Telefonbesitzers (wenn Sie ein anständiges Passwort haben) ist ziemlich nett. Und zumindest für das iPhone können Sie das robust machen, sogar um das Telefon zu kompromittieren, denn das ist die sichere Enklave, die dies handhaben würde, und die sichere Enklave tut es dem Host-Betriebssystem nicht vertrauen.

Die Technologiegiganten sagten, dass die neuen passwortlosen Funktionen „im kommenden Jahr“ auf den Plattformen von Apple, Google und Microsoft aktiviert werden. Experten sagten jedoch, dass es wahrscheinlich noch einige Jahre dauern wird, bis kleinere Web-Sites die Technologie annehmen und Passwörter ganz aufgeben.

Jüngste Untersuchungen zeigen, dass viel zu viele Menschen Passwörter immer noch wiederverwenden oder recyceln (indem sie dasselbe Passwort geringfügig ändern), was das Risiko einer Kontoübernahme birgt, wenn diese Anmeldeinformationen letztendlich während eines Hackings offengelegt werden. EIN Prüfbericht im März des Cybersicherheitsunternehmens SpyCloud fanden heraus, dass 64 % der Benutzer Passwörter für mehrere Konten wiederverwenden und 70 % der Anmeldeinformationen, die bei früheren Sicherheitsverletzungen kompromittiert wurden, immer noch verwendet werden.

Ein Whitepaper vom März 2022 zum FIDO-Ansatz ist verfügbar hier (PDF). Eine FAQ dazu ist hier.