InternetIntelligenz 2.0

kostenlos Pressemitteilungen einstellen | veröffentlichen | verteilen

Pressemitteilungen

 

Das passwortlose Internet - Hype oder Realität-

ID: 1674654

Die passwortlose Authentifizierung ersetzt Benutzernamen und Passwörter beispielsweise durch Biometrie. Trotz hoher Sicherheit zögern die User noch


(PresseBox) - Am 20. November 2018 meldete Microsoft, dass sich 800 Millionen Microsoft Kontoinhaber ab sofort ohne Passwort bei Diensten wie Outlook, Office, Skype und Xbox Live anmelden können. Diese Ankündigung ist ein weiterer Schritt hin zu einem passwortlosen Web ? genau zum richtigen Zeitpunkt, denn auch Mozilla Firefox, Google Chrome und Microsoft Edge unterstützen nun auch WebAuthn, eine der dafür benötigten Technologien. Die passwortlose Authentifizierung ersetzt Benutzernamen und Passwörter durch Biometrie, etwa Fingerabdrücke oder Gesichtserkennung.

?In Bezug auf die Sicherheit ist dies eine gute Nachricht. Allerdings ist nicht garantiert, dass Internetnutzer diese Technologie zügig annehmen, nur weil sie sicherer ist. Wenn man die zögerliche Akzeptanz der Zwei-Faktor-Authentifizierung als Vergleich heranzieht, kann es harter Kampf werden, bis Nutzer die passwortlose Authentifizierung adaptieren?, erklärt Michael Veit, Sicherheitsexperte bei Sophos.

Einer der Gründe, warum sich die passwortgestützte Identifizierung so lange hält ist, dass sie sehr leicht zu verstehen ist. Zudem kommt es leicht zu Missverständnissen: Benutzer die mit einer Passwortauthentifizierung arbeiten fragen sich, ob die Verwendung beispielsweise ihrer Fingerabdrücke bedeutet, dass sie diese an Dritte weitergeben (was nicht der Fall ist). Zudem sind viele der Meinung, dass man ein Passwort im Gegensatz zu einem Fingerabdruck bei einen Zwischenfall ändern kann.

Anmeldung ohne Passwort: komplex aber sicher

Bei der passwortgestützten Authentifizierung teilt man einer Web-Seite mit, wer man ist und welches Passwort man verwendet. Sobald man das Passwort eingegeben hat, besteht keine Kontrolle mehr darüber, was auf der Web-Seite damit passiert. Man vertraut darauf, dass es sicher gespeichert ist. Und genau in dieser Annahme liegt der Fehler. Allein die Anzahl der Datenschutzverletzungen zeigt, dass Passwörter nicht sicher gespeichert sind.





Mit der passwortlosen Authentifizierung muss man der Website kein Passwort oder andere geheime Informationen anvertrauen. Die dahinterstehende Technologie verwendet einen öffentlichen Schlüssel, der mit einem Paar kryptographischer Schlüssel authentifiziert wird: einem privaten, geheimen und einem öffentlichen Schlüssel.

Bei einer Anmeldung behält der Nutzer den geheimen, privaten Schlüssel und gibt den öffentlichen Schlüssel an die Website weiter. Da der öffentliche Schlüssel kein Geheimnis ist, besteht auch keine Sorge darüber, ob die Website diesen sicher aufbewahrt.

Bei einer passwortlosen Authentifizierung nutzt man den privaten Schlüssel für die Verschlüsselung einer ?Challenge? (eine sehr große Zufallszahl), die von der Website gesendet wird. Die Web-Seite nutzt dann den öffentlichen Schlüssel, um diese zu entschlüsseln. Sofern die Verschlüsselungs-/Entschlüsselungssequenz funktioniert und der Webserver seine ?Challange? zurück erhält, ist bewiesen, dass man der Besitzer des privaten Schlüssels ist.

Schutz von Fingerabdruck-, Gesichts- oder Irisdaten ist gefragt

Soweit zur Theorie. Damit dies in der Praxis funktioniert, benötigen man einen Authentifikator, der Schlüssel erstellen und speichern kann. Darüber hinaus ist eine Reihe von Regeln nötig, die einem Computer, einem Browser und den besuchten Websites die Zusammenarbeit ermöglichen. WebAuthn beispielsweise ist ein solches Regelwerk, beziehungsweise ein API (Application Programming Interface), mit der Websites und Webbrowser die Authentifizierung via Public-Key-Kryptographie anstelle von Passwörtern ermöglicht.

Damit die passwortlose Authentifizierung funktioniert, müssen Website-Besitzer den Code entsprechend ändern. Anstatt einem Anmeldeformular für Benutzernamen und Passwort, authentifizieren sich Benutzer mithilfe von JavaScript-Code, der in der Webseite eingebettet ist. Dieser Code verwendet die WebAuthn-API, um den Browser aufzufordern, die Anmeldeinformationen zu erstellen.

Obwohl der JavaScript-Code mit der Webseite heruntergeladen und auf dem Computer des Nutzers ausgeführt wird, wird dieser im Browser nach wie vor als Teil der Website betrachtet. Damit ist sichergestellt, dass er keinen Zugriff auf private Schlüssel oder andere geheime Informationen Zugriff hat. Stattdessen fungiert es nur als Vermittler zwischen Browser und Webserver.

Per Design weiß eine Website nicht, wie private Schlüssel generiert werden. Man ist also frei, dies auf jede erdenkliche Art und Weise zu tun. Dies kann im Betriebssystem integriert erfolgen, wie beispielsweise die Gesichtserkennung Windows Hello von Microsoft oder per Remote-Authentifikator wie ein Mobiltelefon. Um die Vielzahl von Remote-Authentifikatoren effizient zu unterstützen, müssen sich die wichtigsten Akteure auf eine Reihe von Regeln einigen, wie Webbrowser und Authentifikatoren miteinander kommunizieren.

Diese Regeln werden CTAP genannt, das Client to Authenticator Protocol. Sie definieren, wie ein Client, etwa ein Webbrowser, mit einem Remote-Authentifikator über USB, Bluetooth oder NFC (Near Field Communication) kommuniziert.

Der Authentifikator stellt das kryptografische Know-how für die gesamte Transaktion zur Verfügung, generiert und speichert Schlüssel und verschlüsselt die WebAuthn-?Challenge? der Website quasi im Auftrag des Browsers. Und genau hier kommen die verschiedenen Formen der Authentifizierung ins Spiel, und warum beispielsweise Fingerabdrücke beim Anmelden auf einer Website, nicht mit dieser geteilt werden. Fingerabdruck-, Gesichts- oder Irisdaten sowie private Schlüssel werden immer nur mit dem Authentifikator auf einem Gerät geteilt, das sich im Besitz des Nutzers befindet.

?Obwohl sich die passwortlose Authentifizierung aus technischer Sicht etwas komplexer gestaltet, hat sie für Nutzer eindeutige Vorteile. Erstens identifiziert sich der Nutzer in nur einen einfachen Schritt. Zweitens braucht sich der Nutzer weder um gute Passwörter kümmern, noch einen geeigneten Schutz für Passwörter einrichten. Drittens sind biometrische Daten sicherer als Passwörter?, resümiert Michael Veit.


Themen in diesem Fachartikel:


Unternehmensinformation / Kurzprofil:



Leseranfragen:



PresseKontakt / Agentur:



drucken  als PDF  an Freund senden  Echtzeit-Datenspeicherung in PCAPng
Westcon und Plantronics starten vorweihnachtliches Incentive für den UCC-Channel
Bereitgestellt von Benutzer: PresseBox
Datum: 27.11.2018 - 14:23 Uhr
Sprache: Deutsch
News-ID 1674654
Anzahl Zeichen: 0

Kontakt-Informationen:
Ansprechpartner:
Stadt:

Wiesbaden


Telefon:

Kategorie:

IT, New Media & Software


Anmerkungen:


Dieser Fachartikel wurde bisher 52 mal aufgerufen.


Der Fachartikel mit dem Titel:
"Das passwortlose Internet - Hype oder Realität-
"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Sophos ernennt Torjus Gylstorff zum Chief Revenue Officer ...

Sophos hat mit Torjus Gylstorff den globalen Posten des Chief Revenue Officers (CRO) neu besetzt. Im Fokus der erfahrenen Führungskraft stehen der Vertrieb der Sophos Cybersicherheits-Services und Lösungen, inklusive Managed Detection and Respons ...

Alle Meldungen von Sophos Technology GmbH



 

Wer ist Online

Alle Mitglieder: 50.252
Registriert Heute: 0
Registriert Gestern: 0
Mitglied(er) online: 0
Gäste Online: 448


Bitte registrieren Sie sich hier. Als angemeldeter Benutzer nutzen Sie den vollen Funktionsumfang dieser Seite.