Two-factor authentication


Heute soll es mal um ein unbeliebtes Thema gehen: die Zwei Faktor Authentifizierung. Laut der letzten Statistik sind weniger als 5% der User bereit, dieses Feature für ihre Apple, Google oder sonstigen Accounts zu aktivieren. Trotz massiver Indoktrination durch die Konzerne. Auf der anderen Seite stehen eben diese Konzerne unter Erfolgsdruck, weil im Wochenrythmus Millionen an Zugangsdaten geklaut werden und dann die Nutzer aufgefordert werden, ihre Passwörter zu ändern, obwohl sie gar keine Schuld haben. Das Problem lässt sich einfach beschreiben: derzeit hat niemand einen Plan, wie man Sicherheit im Internet realisieren soll. Die Kombination aus login plus Passwort ist die älteste Methode, gleichzeitig wissen aber alle, dass sie nicht wirklich sicher ist. Vor allem taugt sie nichts wenn man Bankdaten und Geldüberweisungen sichern möchte. Das Problem bei diesen Anwendungen ist, dass die Motivation für den Angreifer vorhanden ist, eine Brute-Force Attacke zu fahren. Was also tun? Wie gesagt, selbst die Informatik-Experten tappen im Dunkeln. Was man derzeit beobachten kann ist, dass die Firmen mit allerhand Verfahren herumexperimentieren. Das bekannteste wird als Two-factor authentication bezeichnet und bezeichnet überlicherweise die Verwendung eines Handys um einen Account zu sichern.

Ein weiteres Verfahren ist der Fingerabdruckscannner der von Apple in die neuen iPhones verbaut wurde. Wiederum schon länger auf dem Markt ist die Smartcard und ganz neu der U2F USB Key. Letzterer ist meiner Meinung nach die Zukunft in Sachen Authentifizierung, ob sich das Konzept jedoch durchsetzt steht in den Sternen. Fakt ist folgendes: solange das Internet eine reine Hobby-Veranstaltung war, galt das Motto dass es egal ist ob die Daten sicher sind. In den 1980’er gab es sogar Hacker, welche die Erfindung des Passwortes als den falschen Weg ansahen, weil Informationen immer frei sein müssen. In den letzten Jahren hat jedoch eine zunehmende Kommerzielisierung stattgefunden, und wenn im Fall von Amazon oder Apple mit einem Account auch Umsätze in realen Währungen getätigt werden, würde der Verzicht auf Passwörter keine gute Idee sein.

Generell kann man sagen, dass es die Notwendigkeit gibt, über Sicherheit neu nachzudenken. Also neue Verfahren zu entwickeln und diese in den Markt zu pushen. Die Kombination aus Login plus eines Passwortes wie „geheim“ ist jedenfalls nicht zukunftsfähig.

Die wohl neueste Innovation in Sachen 2-Faktor Authentifizierung heißt „Ledger Nano S“. Wirklich unterstützt wird das derzeit noch von niemandem und Youtube-Erklärvideos gibt es auch keine. Aber in der Theorie geht es um folgendes: der Stick ist eine Mischung aus 2 Faktor Authentifizierung plus Bitcoin Wallet. Man kann sich damit bei einem Dienst einerseits einloggen ohne Passwörter nur mit dem Stick und man kann damit auch gleich bezahlen und zwar in Bitcoin. Es ist noch nicht ganz geklärt, ob das jetzt die Revolution in Sachen Sicherheit oder der Albtraum ist, weil Bitcoin ja keinen guten Ruf besitzt.

Fragt man einmal Youtube nach Beispielen wo so ein Stick Verwendung findet, so sehen die Leute die es demonstrieren nicht besonders vertrauenserweckend aus. Üblicherweise haben sie dunkle Sonnenbrillen auf und sehen aus wie Gauner. Und wenn man den Stick in Aktion sieht, fühlt man sich an die Szene aus Terminator II erinnert wo der Junge mit einem selbstgebastelten Gerät den Bankautomaten knackt.

Die Frage die sich stellt lautet: was hat Bitcoin mit 2-Factor-Authentifizierung zu tun? Die Antwort lautet, dass üblicherweise Account geknackt werden, die etwas mit Payment zu tun haben. Wo also echtes Geld im Spiel ist. Folglich haben die Anbieter ein Interesse solche Accounts besser zu sichern. Auf der anderen Seite ist Bitcoin als Internet-Währung dazu entwickelt worden, um im Internet zu bezahlen. Also liegt es eigentlich gar nicht mal so fern, beides miteinander zu mischen. Schauen wir uns einmal die Ist-Situation.

Der Ist-Stand ist leider, dass die meisten User in ihren Online Konten Bankdaten hinterlegen oder Kreditkartennummern und den Account mit einem schwachen Passwort sichern. Irgendein Hacker klaut den Account und geht damit dann einkaufen. Die nächst bessere Lösung ist es, wenn man die User zu starken Passwörtern erzieht. Also dass der User 14 und mehr Buchstaben Zahlen Kombinationen eingibt. Jetzt wird es für Hacker schwerer aber nicht unmöglich den Account zu hacken. Die nächste Steigerungsform im „Arms Race“ sind 2 Faktor Authentifzierungen. Dort muss der User neben dem Passwort noch über sein Smartphone bestätigen dass er wirklich der Eigentümer ist. Aber auch das wird gerne und viel gehackt.

Ein weitere Methode die in der Gegenwart angewendet wird um Hacker abzuschrecken ist, wenn man im Online-Account nicht die kompletten Bankdaten speichert sondern das Konto mit Gutscheinen auflädt. Das wird vor allem im Umfeld von Android Konten gemacht. Gutscheincodes kann man über Tankstellen und neuerdings auch Supermärkte erwerben. Auf dem Konto befinden sich so maximal 20 EUR und selbst wenn das Konto gehackt wird, ist der Schaden minimal. Der oben erwähnte „Ledger Nano S“ Stick verbindet jetzt zwei Dinge: einmal wird das Bitcoin Konto als Gutschein betrachtet, wo im Worstcase nur ein kleiner Geldbetrag weg ist, gleichzeitig wird das Konto über ein Hardware-Generiertes One-Time-Passwort über den USB Stick gesichert.

Soweit die Theorie. Ob das die Kunden haben wollen und ob das die Gegenseite technisch unterstützt muss sich noch zeigen.

BITID
Noch einen Schritt weiter als den „Ledger Nano S“ geht das Bitid Verfahren. Das ist ein Ersatz zum heute verbreiteten „Login with your Google Account“. Bei Bitid gibt es überhaupt keinen Usernamen mehr, sondern man loggt sich ein mit seinem Bitcoin-Konto.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s