Wie registrieren und loggen Sie sich derzeit für Internet- / Webdienste ein? Nutzen Sie ein Passwort, das mindestens die Komplexitätsvoraussetzungen erfüllt – Stichwort: die goldenen Passwortregeln. Oder nutzen Sie bereits FIDO-Key? FIDO bedeutet ausgeschrieben „Fast IDentity Online“. Zu Deutsch: „Schnelle Identität bei digitalen Verbindungen“. Und zwar für eine komplett passwortlose Registrierung auf Plattformen. Identitätsdiebstahl ist heutzutage ein großes Geschäft. Phishing sowie Datenlecks über gehackte oder schlecht administrierte Server sind leider mittlerweile sattsam bekannt. Dies zeigt auch sehr deutlich die aktuell veröffentlichte bitkom-Studie vom 6. November 2019 – Wirtschaftsschutz in der digitalen Welt.
Exkurs: Phishing
Phishing (steht für “fishing” = englisch für “Angeln”) ist der Versuch, über gefälschte E-Mails, Internetseiten oder Kurznachrichten an Daten wie zum Beispiel Log-ins oder Passwörter zu gelangen. Mit dieser Technik können Cyberkriminelle mit relativ wenig Aufwand an sensitive Informationen kommen bzw. Schadsoftware in die Unternehmen injizieren.
Die nichtkommerzielle FIDO-Allianz wurde im Juli 2012 ins Leben gerufen und im Februar 2013 offiziell gegründet, um zusammen mit vielen verschiedenen Unternehmen offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln. Unter diesem Dach arbeiten unter anderem Google, Microsoft, Facebook, Amazon, Paypal, Visa und Mastercard daran, einen WebStandard für sichere, passwortlose Logins zu etablieren.
Ein FIDO-Key ist immer ein Unikat somit nicht kopierbar. Denn das wäre ein Sicherheitsrisiko. Dies ist auch der Grundgedanke der FIDO-Alliance.
Der Charme an diesen Keys
Der Key kann entweder anstelle eines Passworts zum Einsatz kommen oder zusätzlich dazu, als zweiter Faktor. Das Einloggen ohne Passwort funktioniert bereits bei Microsoft.com und den daran angeschlossenen Diensten wie Outlook.com, Office 365 und OneDrive. Allerdings nur, sofern Edge im Einsatz ist. Bei Google, GitHub, Dropbox, Twitter und BoxCryptor kann das FIDO-Key als zweiter Faktor (Zwei-Faktor-Authentifizierung per Tastendruck) genutzt werden. Dann profitiert man von dem Schutz gegen Phishing & Co., muss jedoch weiterhin das Passwort eingeben. Ausprobieren kann man das sehr schön auf der Demo-Seite https://webauthn.io/
Konzeptionell bietet FIDO die Möglichkeit, Sicherheit beliebig weiter zu erhöhen – bis hin zu den Anforderungen in Hochsicherheitsumgebungen. Der Fingerabdruck oder die biometrischen Daten werden nur für die eigentliche Anmeldung bei einem Dienst benutzt. Diese Daten bleiben strikt lokal auf dem Sicherheitsschlüssel. Somit wird bewiesen, dass man tatsächlich der richtige Anwender ist (User Verification). Dieses Verfahren bringt konsequenterweise höhere Kosten gepaart mit reduziertem Komfort mit sich. Aber schon in der niedrigsten Sicherheitsstufe sind FIDO-Sicherheitsschlüssel um einiges komfortabler und sicherer als es normale Passwörter je sein können.
Spuren im Netz?
Nun kommt natürlich verständlicherweise die Frage auf, ob man den Nutzer durch den Einsatz des gleichen Sicherheitsschlüssels verfolgen kann. Zumindest dann, wenn er überall den gleichen Sicherheitsschlüssel verwendet? Es gibt zwar einen optionalen Mechanismus zum Wiedererkennen, bei dem der Server den Schlüssel bittet, zusätzlich seine Seriennummer zu übermitteln. Der Nutzer muss dieser Bitte jedoch in einem separaten Dialog zustimmen. Heimliches Tracking ist damit also nicht möglich. Der Sicherheitsschlüssel generiert für jeden Dienst ein eigenes Schlüsselpaar, basierend auf der Domain des Gegenübers.
Umgang beim Klau des FIDO-Keys
Wenn Sie den FIDO-Key verlieren sollten, gilt es, möglichst schnell den Zugang zu den damit verwendeten Accounts zu sperren. Auch wenn die eingebauten virtuellen Schlüssel in Windows und Android immer durch einen zweiten Faktor – also etwa einen Fingerabdruck oder eine PIN – geschützt sind, die eine Nutzung durch Fremde verhindern. Die Feinheit hierbei ist, dass Cyberkriminelle nicht mehr mit einem Trojaner oder durch Einbruch auf einem Server Millionen von Passwörtern ergattern können. Sondern es muss jemand direkt vor Ort den FIDO-Key klauen und dann auch missbrauchen. Dieser Akt ist jedoch für die Cybermafia unattraktiv, da es kein Milliardengeschäft mehr generiert, sondern auf Einzelfälle beschränkt sein müsste.
Womöglich ist es eine gute Gelegenheit, sich den Key auf die Weihnachtsgeschenkliste aufzunehmen und auszuprobieren.
Fortsetzung folgt. Dann mit Anwendungsbeispielen aus der Industrie.
Entscheidende Basic-Maßnahmen zur Sicherstellung der Unternehmensresilienz (1/2)
