Passwort Diebstahl wie den durch russische Hacker durch moderne Zwei-Faktor-Authentifizierung vermeiden

12.08.2014 / 0 Comments

Wäre der Angriff durch russische Hacker vermeidbar gewesen?

Das Internet ist nach dem kürzlich veröffentlichten New York Times report in heller Aufregung. Darin wurde berichtet, dass es russischen Hackern gelungen ist, über 1,2 Milliarden Benutzernamen und Passwortkombinationen zusammen mit mehr als 500 Millionen E-Mail-Adressen zu stehlen.

password_theft

Laut Hold Security, dem IT-Sicherheitsunternehmen, das das niederschmetternde Ausmaß des Hackerangriffs aufgedeckt hat, haben es die Angreifer geschafft, über 4,5 Milliarden Datensätze, die zumeist Zugangsdaten enthielten, zu erbeuten. 1,2 Milliarden dieser Daten scheinen einzelne Kombinationen von E-Mails und Passwörtern gewesen zu sein.

Dieser Verbrecherring kompromittierte über 420.000 Web- und FTP-Seiten jeder Größenordnung. Die Hacker unterschieden nicht zwischen großen und kleine Webseiten und konzentrierten sich somit nicht nur auf die größten Unternehmen. Stattdessen erhielten sie Daten von Botnet-Netzwerken bestehend aus infizierten Computern, um die SQL-Schwächen auf Webseiten auszumachen, die die Opfer besuchten. Diese Schwächen nutzten die Hacker dann aus, um in die Datenbanken der Webseiten einzudringen und diese gewaltige Anzahl von vertraulichen Nutzerdaten zu stehlen.

Passwort Diebstahl durch SQL-Injections

Verschiedene Mediaoutlets und Experten für Internetsicherheit haben den Nutzern geraten, ihre Passwörter zu ändern, einen Passwortverwaltungsservice zu nutzen und eine Zwei-Faktor-Authentifizierung zu verwenden. Ebenfalls empfehlen sie, dass Unternehmen und Webseitenbetreiber Prüfungen durchführen, um festzustellen, ob ihre Webseiten verwundbar gegenüber SQL-Injections sind.

Dies sind in der Tat alles vernünftige und hilfreiche Vorschläge, aber sie kommen für die Personen und Unternehmen, die zum Opfer geworden sind, leider zu spät und bedeuten in erster Linie eher eine Schadensbegrenzung als Prävention.

Passwörter überflüssig machen

Traurig aber wahr: Das alles hätte tatsächlich verhindert werden können, und zwar mithilfe einer einfachen, aber starken Sicherheit, die auf das eigentliche Problem abzielt. Und das sind die Passwörter.

Unternehmen, Webseitenentwickler sowie Endnutzer, die weiterhin Passwörter verwenden, sind automatisch Ziele von Hacker- und Phishingangriffen sowie Schadprogrammen. Der Gebrauch von passwortbasierten Anmeldungen und unsicherer Authentifizierungstechnologie ist genau das, was Hacker anlockt und ihnen ermöglicht, auf einzelne Nutzerkonten zuzugreifen und sich in Server und Datenbanken zu hacken, um Unmengen sensibler Daten zu stehlen.

Die folgerichtige Lösung des Ganzen heißt also, Passwörter zu beseitigen und sie mit einer Authentifizierungsmethode zu ersetzen, die von Grund auf dafür entworfen wurde, um die höchstmögliche Sicherheit zum Schutz von Nutzerkonten zu gewähren und es rein technisch gesehen unmöglich macht, dass die Zugangsdaten der Nutzern kompromittiert oder gestohlen werden können.

Die SecSign ID ist eine mobile Zwei-Faktor Authentifizierungslösung, die mit genau dieser Absicht entworfen wurde. Sie benutzt Public Key Infrastructure (PKI) sowie ein 2048-Bit langes, kodiertes Schlüsselpaar, um Unternehmen und Entwicklern von Webseiten sicheren Zugang für die Nutzerkonten zu bieten, und zwar ohne die Verwendung von Passwörtern oder die Übertragung und Speicherung sensibler Nutzerdaten. Eine Authentifizierung mit der SecSign ID nimmt zudem nicht mehr als 10 Sekunden Ihrer Zeit in Anspruch.

Mit der Verwendung einfacher Plugins, die in jede Webseite oder Anwendung integriert werden können, sind Entwickler in der Lage, ein einfaches Login für ihre User anzubieten, zusammen mit einer mobilen Authentifzierung, die 2048-Bit Schlüsselpaare verwendet.

Stärken Sie das Ansehen Ihres Unternehmens durch die Verwendung einer Zwei-Faktor Authentifizierung

Diese Authentifizierungsmethode bedeutet ebenfalls, dass es schlicht und ergreifend keine vertraulichen Zugangsdaten mehr gibt, die durch SQL-Injections gestohlen werden könnten. Server, die diese Technologie verwenden, stellen also für Hacker keinen Anreiz mehr dar, sie ins Visier zu nehmen. Dieses Sicherheitsniveau verhindert nicht nur Datenpannen, die dem Ruf eines Unternehmens oder einer Marke Schaden zufügen können, sondern verstärkt sogar noch das Ansehen, indem es zeigt, dass ein Unternehmen oder eine Webseite die stärksten Sicherheitsmaßnahmen verwendet, die zur Zeit auf dem Markt sind, um Nutzer, Kunden und Unternehmensdaten zu schützen.

Die meisten Unternehmen und Webseitenentwickler sind i.d.R. nicht dafür ausgestattet, eigene komplexe IT-Sicherheitsmechanismen einzubauen. Die Möglichkeit, eine einfache Lösung wie diese, die von Experten auf dem Gebiet der Kryptographie entwickelt wurde, einzusetzen, schont ihre Ressourcen und erspart ihnen nicht zuletzt viele Sorgen.

Die SecSign ID basiert auf kryptographischen Verfahren die nach Stand der Technik nicht brechbar sind. Das System der mobilen Authentifizierung beruht auf dem Konzept einer Kombination von Nutzerwissen oder Biometrie mit einem realen Besitz (hier eines kodierten privaten Schlüssels auf dem Mobilgerät). Diese Kombination von Wissen und Besitz wird von führenden IT-Sicherheitsexperten als bester Ansatz zur Absicherung von Nutzerkonten erachtet.

Um einen Anmeldeprozess für einen Dienst, der durch die SecSign ID geschützt ist, zu beginnen, gibt der Nutzer einen einfachen, nicht vertraulichen und in der App selbstgewählten Benutzernamen über die gesicherte Webseite oder Anwendung ein. Auf dem Mobilgerät des Nutzers erscheint augenblicklich eine Benachrichtigung durch die mobile SecSign ID-App. Über diese Benachrichtigung kann der Nutzer umgehend die App öffnen und muss nur noch den entsprechenden Benutzernamen antippen und eine einfache vierstellige PIN bzw. einen vierstelligen Passcode eingeben. Damit wird der Besitz des privaten Schlüssels, der sicher auf dem Mobilgerät gespeichert ist, bestätigt. (Wichtige Anmerkung: Diese PIN bzw. der Passcode werden niemals übertragen. Mehr Informationen über den genauen Ablauf finden Sie hier)

Mit der in wenigen Wochen anstehenden Veröffentlichung von Apples iOS 8 können die Nutzer den Besitz ihres privaten Schlüssels ebenfalls mithilfe ihres im iPhone hinterlegten Fingerabdrucks bestätigen (ein kurzes Vorabvideo der Beta-Version gibt es hier zu sehen).

Sobald der Besitz des privaten Schlüssels bestätigt ist, zeigt die App vier Symbole an. Der Nutzer tippt auf das Symbol, das mit dem, welches in der Anmeldemaske der Webseite oder Anwendung angezeigt wird, übereinstimmt. Dies stellt die letzte Überprüfung der Identität dar. Die App sendet daraufhin dem Authentifizierungsserver das Ergebnis, und der Zugriff auf das Konto des Nutzers wird gewährt.

Der Nutzer kann die Authentifizierung innerhalb von Sekunden abschließen (siehe oben erwähntes Video). Dabei werden keinerlei vertrauliche Daten eingegeben, zwischen Servern und Geräten übertragen oder auf einem Server gespeichert.

Das bedeutet, dass für Kriminelle praktisch nichts existiert, das sie stehlen könnten, um unerlaubten Zugriff auf Konten oder Daten zu erlangen. Keine noch so große Hacking- oder Phishing-Attacke und kein ausgefeiltes Schadprogramm wird sie in den Besitz von Zugangsdaten gelangen lassen, die sie dann für den Zugriff auf ein Nutzerkonto verwenden könnten, um dort weiteren Schaden anzurichten.

Hätten die Webseiten, die von den russischen Hackern angegriffen wurden, die SecSign ID zum Schutz der Nutzerkonten verwendet, wären die Nutzerkonten durch den Datendiebstahl nicht in Gefahr geraten. Anders gesagt: Es hätte überhaupt keine sensiblen Daten gegeben, die gestohlen hätten werden können.

Um mehr über die SecSign ID zu erfahren, laden Sie sich bitte die kostenlose App herunter und probieren Sie eine Testanmeldung aus. Alles Nötige finden Sie unter https://www.secsign.com/de/unternehmen/zwei-faktor-authentifizierung/.

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

21.09.2017

Read More
Do NOT follow this link or you will be banned from the site!