Tauschen Sie Ihr Passwort für Ihr Handy

Die Verwendung von Passwörtern als Möglichkeit, Ihre Identität online nachzuweisen, ist zwar allgegenwärtig, hat jedoch mehrere Nachteile. Zum einen vergessen die Leute Passwörter. Und wenn Passwörter nicht stark genug sind, können sie von Kriminellen erraten werden.

Selbst dann haben sich Versuche im Laufe der Jahre, von Passwörtern wegzukommen, nur schwer durchgesetzt.

Letzte Woche, Apple, Google und Microsoft kündigten Pläne zur Zusammenarbeit an auf einem „passwortlosen“ Authentifizierungssystem für ihre verschiedenen Browser, Dienste und Geräte. Die plattformübergreifende Zusammenarbeit soll im Laufe des nächsten Jahres eingeführt werden.

Die Unternehmen sagen, dass sie Fast Identity Online (FIDO)-Protokolle für ihre am häufigsten verwendeten Produkte unterstützen werden. Ich bat Kim Zetter, Journalistin und Autorin für Cybersicherheit, zu erklären, wie diese spezielle Art der Authentifizierung funktioniert.

Das Folgende ist eine bearbeitete Abschrift unseres Gesprächs.

Kim Zetter: Die Art und Weise, wie es funktionieren würde, ist, dass es im Wesentlichen Ihr Passwort durch Ihr Telefon ersetzen würde. Anstatt also ein Passwort in ein Website-Formular oder ein Antragsformular eingeben zu müssen, würden Sie sich mit einem sogenannten „Passkey“ in Ihrem Telefon authentifizieren, der sicher in Ihrem Telefon gespeichert ist.

Kimberly Adams: Nun, einige Leute machen bereits eine Version davon, richtig?

Zetter: Ja. Also bietet Microsoft es seinen Benutzern an, denke ich, seit etwa 2018. Und dort gibt es Millionen von Menschen, die sich bereits damit bei Microsoft-Diensten anmelden. Google bot es, glaube ich, ab an um 2020, um in Ihr Google Mail und solche Dinge zu gelangen. Es gibt also Leute, die sich damit bereits auskennen. Die neue Innovation hier ist, dass Sie ein einziges Gerät für alles und plattformübergreifend verwenden können. Sie könnten also Ihre Apple Watch verwenden, um sich auf Ihrem Microsoft Windows-Laptop bei einem Google Chrome-Browser anzumelden.

Adams: Ah, die mystischen Interoperabilitätsstandards.

Zetter: [laughs] Ja, ich meine, es hängt alles davon ab, wie alles implementiert wird. Und es bleibt abzuwarten, wie nahtlos das alles sein wird. Wir werden es sehen, wenn diese Unternehmen es im nächsten Jahr einführen. Es ist an dieser Stelle sehr theoretisch, aber es ist vielversprechend.

Adams: Was ist hier der entscheidende Schritt, der als das dient, was wir heute als Passwort betrachten, als Identifizierungsfaktor, der wirklich beweist, dass Sie es sind und nicht jemand anderes?

Zetter: Der Unterschied besteht hier darin, dass Sie beim Einrichten eines Kontos kein Passwort verwenden, sondern Ihr Gerät, Ihr Telefon. Es kommuniziert mit der Website und generiert einen sogenannten privaten Schlüssel und einen öffentlichen Schlüssel. Der öffentliche Schlüssel wird an diese Website verteilt, und die Website behält diesen öffentlichen Schlüssel. Wenn Sie sich dann bei Ihrem Konto anmelden möchten, erreicht der öffentliche Schlüssel auf dieser Website den privaten Schlüssel auf dem Telefon, und der private Schlüssel antwortet, dass Sie es sind, und führt dann die Authentifizierung durch und protokolliert du gleich rein. Alles, was Sie als Benutzer zu diesem Zeitpunkt tun müssten, ist, wenn Sie sich bei diesem Webkonto oder bei einer Anwendung anmelden möchten, sich einfach bei Ihrem Telefon selbst zu authentifizieren. Sie authentifizieren sich also lokal, nicht direkt bei der Website. Indem Sie einfach die PIN eingeben, um Ihr Gerät zu entsperren, oder Gesichtserkennung oder Fingerabdruck verwenden, wie auch immer Sie Ihr Telefon normalerweise entsperren, das ist alles, was Sie zu diesem Zeitpunkt tun müssen.

Adams: Dies scheint zu erfordern [a user to rely] ziemlich stark auf einem Smartphone. Was passiert, wenn Sie keine haben?

Zetter: Passwörter werden aus diesem Grund nicht verschwinden – denn nicht jeder hat ein Handy. Dies wird eine Alternative sein, zu der hoffentlich Menschen mit Mobiltelefonen migrieren werden. Aber für Leute, die diese Geräte nicht haben, können sie immer noch Passwörter verwenden. Die Pflicht hier liegt bei den Website-Entwicklern und Anwendungsentwicklern, die passwortlose Lösung in ihren Systemen zu implementieren, damit Benutzer, die das passwortlose Schema verwenden möchten, dies tun können.

Adams: Es fühlt sich an, als könnte dies eine Art von zwei Versionen der Online-Sicherheit schaffen: die Leute, die Smartphones haben und Zugriff auf diese Art von höhergradigen sicheren Passwörtern oder passwortlosen Interaktionen haben, und dann alle anderen.

Zetter: So könnte man es sehen. Sie können es aber auch so betrachten, wie es den potenziellen Bedrohungsvektor oder die Bedrohungslandschaft tatsächlich drastisch reduziert. Momentan etwa 80 % der Hacks passieren entweder durch schwache Passwörter oder leicht zu erratende Passwörter oder gestohlene Passwörter. Und wenn Sie das also auf sogar, sagen wir, 40 % oder 30 % reduzieren können, werden Sie die Anzahl der Hacking-Versuche, die wir haben, reduzieren. Ich meine, Phishing-Versuche sind einer der Hauptwege, auf dem Hacker eindringen, nicht nur in Ihr Bankkonto, sondern auch in Regierungssysteme, in Unternehmenssysteme. Es wird also wirklich versucht, das, was jetzt ein riesiges Sicherheitsproblem ist, zu reduzieren. Und es wird es nicht vollständig beseitigen. Aber das Ziel hier ist es, diese Landschaft wirklich drastisch zu reduzieren.

Verwandte Links: Weitere Einblicke von Kimberly Adams

Das formelle Ankündigung der FIDO AllianceMicrosoft, Apple und Google haben viele weitere Details darüber, wie dieses neue System funktionieren wird, einschließlich ein weißes Papier und ein Erklärvideo. Der Rand hat mehr Berichterstattung über die Ankündigungdie letzte Woche am World Password Day stattfand.

Es ist irgendwie ironisch, wenn man bedenkt, dass es darum geht, Passwörter zu eliminieren.

Wir verlinken auch ein Verge-Artikel aus dem Jahr 2014 über andere fehlgeschlagene Versuche, das Passwort zu töten.

Aber es gibt einen Grund, warum die Technologiebranche es immer wieder versucht. Die Nachrichtenseite IT Pro Today berichtete über den SpyCloud 2022 Identity Exposure-Bericht, die herausfanden, dass 70 % der gebrochenen Passwörter noch in Gebrauch sind.

Das bedeutet, dass viele von uns immer noch eine schreckliche Passworthygiene haben.

Leave a Comment