Nevis Security: Passwortfrei authentifizieren

Mit automatisiertem Durchprobieren gestohlener Login-Daten kapern Cyberkriminelle jährlich Millionen Nutzer-Accounts. Passwortfreie Authentisierung schiebt dem einen Riegel vor. [...]

(c) bsi.bund.de

Während der Corona-Pandemie hat die Zahl der Cyber-Attacken weiter zugenommen. Zu diesem Ergebnis kommt der vom Bundesinnenministerium gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Bericht zur Lage der IT-Sicherheit in Deutschland 2020. Neben Schadsoftware, die für Ransomware-Angriffe auf Privatpersonen, Unternehmen, Behörden und andere Institutionen genutzt wird, spielt vor allem das sogenannte Credential Stuffing eine immer wichtigere Rolle in den Strategien der Kriminellen. Nevis Security gibt einen Überblick und nennt wirksame Gegenmaßnahmen.

Credential Stuffing, also das automatisierte „Durchprobieren“ von Benutzername-Passwort-Kombinationen bei verschiedenen Online-Diensten, hat seit 2019 einen starken Aufschwung erlebt: Ursache sind große Data Breaches etwa bei Marriott, Equifax oder LinkedIn, durch die eine Vielzahl an Login-Daten in die Hände von Kriminellen gelangten. Schwerer wiegt aber, dass rund 61 Prozent der User ihre Passwörter nicht nur einmal vergeben, sondern wiederverwenden. Ein einmal gestohlenes Passwort kann so als „Generalschlüssel“ zu verschiedensten Diensten fungieren.

Welche Goldgräberstimmung unter Cyberkriminellen herrscht, lässt sich auch mit einem Blick auf die Zahl der erfolgreichen Cyberattacken 2020 ermessen. Über 80 Prozent erfolgten mittels gestohlener Login-Daten oder Brute Force; bevorzugtes Angriffsziel waren mit mehr als 90 Prozent Web-Applikationen, so der Verizon Data Breach Investigations Report 2021. Tiefere Technik- oder Programmierkenntnisse müssen die Täter dabei nicht mitbringen: Geleakte Passwortlisten sind teils frei zugänglich oder lassen sich im Darknet käuflich erwerben. Ebenso einfach gestaltet sich der Zugang zu Tools fürs Credential Stuffing.

Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen mithilfe eines rotierenden Proxys, der Hunderttausende von Anmelde-Informationen über mehrere Dienste hinweg ansteuert. Der zeitliche Aufwand liegt selbst für eine groß angelegte Attacke bei nur wenigen Minuten, um mehrere tausend bis zehntausende Accounts zu knacken.

Zwei-Faktor-Authentisierung richtig anwenden

Als wirkungsvolle Gegenmaßnahme für Privatanwender empfiehlt der Bericht des BSI – neben allgemeiner Sorgfalt im Umgang mit den eigenen Daten – eine Zwei-Faktor-Authentisierung, wann immer ein Onlinedienst diese anbietet. Ist diese Sicherheitsmaßnahme aktiv, reicht es nicht mehr aus, nur das Passwort zu kennen; zusätzlich muss der Anwender durch ein Merkmal, über das nur er allein verfügt, seine Identität zweifelsfrei nachweisen. Nutzen lassen sich dafür beispielsweise das SMS-TAN-Verfahren, Hardware-Keys oder verschiedene Authenticator-Apps.

Alle diese Verfahren haben aber gemeinsam, dass sie entweder unsicher sind – so können SMS von Kriminellen mit entsprechenden Softwaretools ohne weiteres abgefangen werden; die Geduld des Nutzers beim Abtippen von Zahlenkolonnen strapazieren oder schlicht nicht zur Hand sind, wenn sie benötigt werden, weil etwa der Hardware-Key im USB-Slot vergessen wurde.

Abhilfe schafft ein Verfahren, das Passwörter vollständig durch eine biometrische Authentisierung ersetzt und sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessert: die sogenannte passwortfreie Authentisierung. Sie nutzt die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Identifizierung des Nutzers anhand seiner Gesichtszüge oder Fingerabdrücke ermöglichen, ohne dass sensible Daten jemals das Gerät verlassen. Da das Smartphone heute in fast jeder Lebenslage mit dabei ist, kann der Nutzer nahezu überall auf den sicheren Login per Authentisierungs-App zurückgreifen.

„Die passwortfreie Authentisierung dürfte damit entscheidend dazu beitragen, Sicherheitsprobleme wie das Credential Stuffing in den Griff zu bekommen“, so Stephan Schweizer, CEO von Nevis. „Gleichzeitig ist der Login per FaceID oder Fingerabdruck für Nutzer äußerst bequem. Unternehmen, die das Verfahren einsetzen, profitieren von der verbesserten User Experience und der daraus resultierenden stärkeren Kundenbindung.“

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*