Diese Webseite verwendet Cookies. Mehr Infos
info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
Sophos Technology GmbH |

Das passwortlose Internet - Hype oder Realität?

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


Die passwortlose Authentifizierung ersetzt Benutzernamen und Passwörter beispielsweise durch Biometrie. Trotz hoher Sicherheit zögern die User noch


Am 20. November 2018 meldete Microsoft, dass sich 800 Millionen Microsoft Kontoinhaber ab sofort ohne Passwort bei Diensten wie Outlook, Office, Skype und Xbox Live anmelden können. Diese Ankündigung ist ein weiterer Schritt hin zu einem passwortlosen...

Wiesbaden, 27.11.2018 (PresseBox) - Am 20. November 2018 meldete Microsoft, dass sich 800 Millionen Microsoft Kontoinhaber ab sofort ohne Passwort bei Diensten wie Outlook, Office, Skype und Xbox Live anmelden können. Diese Ankündigung ist ein weiterer Schritt hin zu einem passwortlosen Web – genau zum richtigen Zeitpunkt, denn auch Mozilla Firefox, Google Chrome und Microsoft Edge unterstützen nun auch WebAuthn, eine der dafür benötigten Technologien. Die passwortlose Authentifizierung ersetzt Benutzernamen und Passwörter durch Biometrie, etwa Fingerabdrücke oder Gesichtserkennung.

„In Bezug auf die Sicherheit ist dies eine gute Nachricht. Allerdings ist nicht garantiert, dass Internetnutzer diese Technologie zügig annehmen, nur weil sie sicherer ist. Wenn man die zögerliche Akzeptanz der Zwei-Faktor-Authentifizierung als Vergleich heranzieht, kann es harter Kampf werden, bis Nutzer die passwortlose Authentifizierung adaptieren“, erklärt Michael Veit, Sicherheitsexperte bei Sophos.

Einer der Gründe, warum sich die passwortgestützte Identifizierung so lange hält ist, dass sie sehr leicht zu verstehen ist. Zudem kommt es leicht zu Missverständnissen: Benutzer die mit einer Passwortauthentifizierung arbeiten fragen sich, ob die Verwendung beispielsweise ihrer Fingerabdrücke bedeutet, dass sie diese an Dritte weitergeben (was nicht der Fall ist). Zudem sind viele der Meinung, dass man ein Passwort im Gegensatz zu einem Fingerabdruck bei einen Zwischenfall ändern kann.

Anmeldung ohne Passwort: komplex aber sicher

Bei der passwortgestützten Authentifizierung teilt man einer Web-Seite mit, wer man ist und welches Passwort man verwendet. Sobald man das Passwort eingegeben hat, besteht keine Kontrolle mehr darüber, was auf der Web-Seite damit passiert. Man vertraut darauf, dass es sicher gespeichert ist. Und genau in dieser Annahme liegt der Fehler. Allein die Anzahl der Datenschutzverletzungen zeigt, dass Passwörter nicht sicher gespeichert sind.

Mit der passwortlosen Authentifizierung muss man der Website kein Passwort oder andere geheime Informationen anvertrauen. Die dahinterstehende Technologie verwendet einen öffentlichen Schlüssel, der mit einem Paar kryptographischer Schlüssel authentifiziert wird: einem privaten, geheimen und einem öffentlichen Schlüssel.

Bei einer Anmeldung behält der Nutzer den geheimen, privaten Schlüssel und gibt den öffentlichen Schlüssel an die Website weiter. Da der öffentliche Schlüssel kein Geheimnis ist, besteht auch keine Sorge darüber, ob die Website diesen sicher aufbewahrt.

Bei einer passwortlosen Authentifizierung nutzt man den privaten Schlüssel für die Verschlüsselung einer „Challenge“ (eine sehr große Zufallszahl), die von der Website gesendet wird. Die Web-Seite nutzt dann den öffentlichen Schlüssel, um diese zu entschlüsseln. Sofern die Verschlüsselungs-/Entschlüsselungssequenz funktioniert und der Webserver seine „Challange“ zurück erhält, ist bewiesen, dass man der Besitzer des privaten Schlüssels ist.

Schutz von Fingerabdruck-, Gesichts- oder Irisdaten ist gefragt

Soweit zur Theorie. Damit dies in der Praxis funktioniert, benötigen man einen Authentifikator, der Schlüssel erstellen und speichern kann. Darüber hinaus ist eine Reihe von Regeln nötig, die einem Computer, einem Browser und den besuchten Websites die Zusammenarbeit ermöglichen. WebAuthn beispielsweise ist ein solches Regelwerk, beziehungsweise ein API (Application Programming Interface), mit der Websites und Webbrowser die Authentifizierung via Public-Key-Kryptographie anstelle von Passwörtern ermöglicht.

Damit die passwortlose Authentifizierung funktioniert, müssen Website-Besitzer den Code entsprechend ändern. Anstatt einem Anmeldeformular für Benutzernamen und Passwort, authentifizieren sich Benutzer mithilfe von JavaScript-Code, der in der Webseite eingebettet ist. Dieser Code verwendet die WebAuthn-API, um den Browser aufzufordern, die Anmeldeinformationen zu erstellen.

Obwohl der JavaScript-Code mit der Webseite heruntergeladen und auf dem Computer des Nutzers ausgeführt wird, wird dieser im Browser nach wie vor als Teil der Website betrachtet. Damit ist sichergestellt, dass er keinen Zugriff auf private Schlüssel oder andere geheime Informationen Zugriff hat. Stattdessen fungiert es nur als Vermittler zwischen Browser und Webserver.

Per Design weiß eine Website nicht, wie private Schlüssel generiert werden. Man ist also frei, dies auf jede erdenkliche Art und Weise zu tun. Dies kann im Betriebssystem integriert erfolgen, wie beispielsweise die Gesichtserkennung Windows Hello von Microsoft oder per Remote-Authentifikator wie ein Mobiltelefon. Um die Vielzahl von Remote-Authentifikatoren effizient zu unterstützen, müssen sich die wichtigsten Akteure auf eine Reihe von Regeln einigen, wie Webbrowser und Authentifikatoren miteinander kommunizieren.

Diese Regeln werden CTAP genannt, das Client to Authenticator Protocol. Sie definieren, wie ein Client, etwa ein Webbrowser, mit einem Remote-Authentifikator über USB, Bluetooth oder NFC (Near Field Communication) kommuniziert.

Der Authentifikator stellt das kryptografische Know-how für die gesamte Transaktion zur Verfügung, generiert und speichert Schlüssel und verschlüsselt die WebAuthn-„Challenge“ der Website quasi im Auftrag des Browsers. Und genau hier kommen die verschiedenen Formen der Authentifizierung ins Spiel, und warum beispielsweise Fingerabdrücke beim Anmelden auf einer Website, nicht mit dieser geteilt werden. Fingerabdruck-, Gesichts- oder Irisdaten sowie private Schlüssel werden immer nur mit dem Authentifikator auf einem Gerät geteilt, das sich im Besitz des Nutzers befindet.

„Obwohl sich die passwortlose Authentifizierung aus technischer Sicht etwas komplexer gestaltet, hat sie für Nutzer eindeutige Vorteile. Erstens identifiziert sich der Nutzer in nur einen einfachen Schritt. Zweitens braucht sich der Nutzer weder um gute Passwörter kümmern, noch einen geeigneten Schutz für Passwörter einrichten. Drittens sind biometrische Daten sicherer als Passwörter“, resümiert Michael Veit.


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 780 Wörter, 6254 Zeichen. Pressemitteilung reklamieren


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von Sophos Technology GmbH lesen:

Sophos Technology GmbH | 22.11.2018

iPhone-Fotos unwiderruflich gelöscht? Die Gewinner der "Hacker-Olympiade" könnten's richten...

Wiesbaden, 22.11.2018 (PresseBox) - Ob Hacken nun ein angemessenes Hobby zum Zeitvertreib ist – darüber lässt sich streiten. Öffentliche Beachtung findet diese Beschäftigung in jedem Fall zwei Mal pro Jahr, wenn es bei dem internationalen Wettb...
Sophos Technology GmbH | 14.11.2018

SophosLabs Threat Report 2019: Uns erwarten weniger, aber dafür intelligentere Gegner

Wiesbaden, 14.11.2018 (PresseBox) - Sophos veröffentlicht heute seinen Threat Report für 2019. Der Report bietet Einblicke in neue und sich entwickelnde Trends im Bereich Cybersecurity. Die Forscher der SophosLabs haben hierfür Veränderungen in d...
Sophos Technology GmbH | 06.11.2018

Wenn sensible Daten in Geiselhaft geraten

Wiesbaden, 06.11.2018 (PresseBox) - Ransomware ist nach wie vor ein beliebtes Mittel der Cyberkriminalität. Wem drohen rechtliche Konsequenzen aus dem entstandenen Schaden? Sophos klärt auf.Verschlüsselung von Daten ist für die Sicherheit von sen...