"Das Zeitalter des Passworts ist vorbei"

18. November 2012, 14:47

Wired-Autor sieht klassische Sicherheitssysteme am Ende - Biometrische oder DNA-Checks als zusätzliche Faktoren?

Es war einer der am besten analysierten Hacks des letzten Jahres: Wired-Autor Mat Honan wurde im vergangenen Sommer Opfer einer ausgeklügelten und sehr gezielten Attacke: Innerhalb kürzester Zeit wurden seine Apple-, Twitter- und GMail-Accounts übernommen, und die Daten seines iPhones, iPads und Macbooks von außen gelöscht. Honan nahm in Folge Kontakt zu einem der Angreifer auf, und deckte dabei einige grundlegende Probleme in den Sicherheitschecks von Firmen wie Amazon oder Apple auf, die die Cracker verwendet hatten.

Konsequenzen

Ein Tag, der sein Leben verändert hat, wie Honan betont. Die ursprünglich verloren geglaubten Daten konnte er zwar später doch wieder herstellen, seine Gedanken kreisen aber seitdem um das Thema Online-Sicherheit. Einige Monate später kommt er nun in einem neuen Artikel auf Wired zu einem eindeutigen Verdikt: "Das Zeitalter des Passworts ist vorbei, wir haben es bisher noch nicht bemerkt".

Leicht gemacht

Der Ist-Zustand sei jedenfalls verheerend: Längst würden auch ausgeklügelte Passwörter nicht mehr vor Attacken schützen. In seinem Fall sei etwa kein einziges seiner Passwörter geknackt worden. Im Zeitalter von Facebook und Co. reiche meist schon eine einfache Internet-Recherche, um die Sicherheitsfragen zu einem Account zu beantworten. In anderen Fällen ging es sogar noch leichter. Beim Provider AOL zeigte sich im Test, dass es ausreicht, Namen und Geburtsort per Telefon anzugeben, um ein neues Passwort zu erhalten.

Unterschiede

Reicht dies einmal nicht mehr, findet sich meist eine Lücke, die sich durch die unterschiedlichen Sicherheitsvorschriften der Internet-Konzerne auftut. In seinem Fall habe es etwa bei Apple gereicht, die letzten vier Stellen seiner Kreditkartennummer anzugeben - und damit jenen Teil, den Amazon ohne zusätzliche Sicherheitschecks an die Angreifer weitergegeben hatte.

Fehler

Bei der breiten Masse wäre ein Hack noch wesentlich einfacher: Viele Passwörter ließen sich einfach erraten, wenn man die Person kennt. Ein weiterer klassischer Fehler: Viele würden die gleichen Passwörter bei vielen Services verwenden, wird einer davon geknackt, sind de fakto alle geknackt. Und hilft all dies nichts, gibt es noch immer die Möglichkeit gezielte Phishing-Attacken.

Authentifizierung

Die Zukunft sieht Honan, in dem was Google - und andere Hersteller - mit der "Zwei-Faktor-Authentifizierung" probieren: Das Passwort soll nur mehr zu einem Faktor in einer Kette von Sicherheitschecks werden. So könnten sich AngreiferInnen selbst dann nicht in einen solcherat geschützten Google-Account einloggen, wenn sie das Passwort besitzen. Zusätzlich brauchen sie noch einen regelmäßig wechselnden Code, der über eine spezielle Smartphone-App geliefert wird.

Faktoren

Für Honan geht dies aber noch nicht weit genug, der Wired-Autor ist überzeugt, dass wir für die Sicherheit einen Teil unserer Privatsphäre und (wahrgenommenen) Anonymität aufgeben müssen. Von Spracherkennung bis zu biometrischen Faktoren oder gar einem DNA-Check sei hier künftig viel denkbar. Honan gibt durchaus zu, dass dies für viele beängstigend klingen mag, die Alternative sei seiner Meinung nach allerdings "Chaos", bei dem Identitätsdiebstahl zum Alltag wird. (red, derStandard.at, 18.11.12)

Share if you care
Posting 1 bis 25 von 109
1 2 3
Es fehlt das I ..

das muss doch CrackerInnen heißen, AngreiferInnen alleine ist nicht konsequent, wenn schon denn schon.

jaja, die verpflichtenden "sicherheitsfragen"

frage: mädchenname meiner mutter
antwort: a%sdo 319u5rj klnw;Lv-602§aesarvghj 480230slkdmSADvf sv.,mwaerß9 u243oinm)uokj3k$MN:

problem gelöst.

Mja, das dachte ich auch immer.
Hatte dann jedoch eine fröhliche Episode:

Mein Account wurde gesperrt (aufgrund "verdächtiger" Zugriffsversuche auf meinen Account). Man konnte sich nicht mehr einloggen.
--> Bitte Passwort zurücksetzen.

Und nun raten Sie mal was ich dafür benötigt habe: Richtig meine Sicherheitsfrage :)
Da habe ich mich aber gefreut. Habe die nämlich ähnlich wie in Ihrem Beispiel beantwortet.

Seitdem notiere ich die Antworten (zufällige Zeichenfolge) zu den Fragen in guter alter Bleistift/Notizbuch-Manier... Schlimm schlimm.

manche menschen sind einfach zu dumm, um sichere systeme zu designen, da kann man gar nichts machen.

aber was will man tun wenn sie einem allen ernstes eine auswahl von 5 fragen anbieten, die jeder beantworten kann der mich kennt?

Wo liegt da das Problem? Geben Sie einfach falsche Antworten an, aber merken Sie sich die falschen Antworten.

Ich setze KeepassX seit Jahren ein, verschlüsselt abgelegt in meiner Wuala-Cloud. Mäßig bequem, aber besser als nix. Zugriff von iPad, Android-Handy, Linux und Windows aus möglich.

Eh, kann man machen. Bei mir ist dann aber schnell der Punkt erreicht wo ich überlege, ob ich jene vertrottelte Site wirklich brauche.

Oder auch nicht kennt.
In der Social-Network Zeit einfach ein Wahnsinn.

Aber die Frage fand ich toll:
"Mit wem hatten Sie Ihren 2ten Kuss?" (oder so ähnlich)

Ist ja schon ein wenig besser als die Mädchenname-Geschichte :D

Antwort: "Mit deiner Mutter du Anfänger" ;-)

@Biometrie

Einige hier schreiben wie toll weil sicher Biometrie ist und das ist sie auch allerdings nur in sehr teuren Systemen!

Totz allem arbeitet Biometrie mit Wahrscheinlichkeiten, da unsere biometrischen Merkmale nicht so eindeutig sind wie ein Hashwart eines Passwortes (einen Algorithmus mit möglichst großem Hashwert vorausgesetzt)

Probleme bei der Biometrie ist die Einstellung der notwendigen Ähnlichkeitsgrenze. Ist sie zu hoch hat man eine hohe false rejection rate also User die nicht zugelassen werden obwohl sie es sollten.
Zu nieder ist noch schlimmer da hat man die false acception rate. User die Zugriff bekommen obwohl sie es nicht sollten.

Beides wird es bei der Biometrie immer geben (das eine mehr dann das andere weniger und umgekehrt)

Zu nieder ist noch schlimmer da hat man die false acception rate. User die Zugriff bekommen obwohl sie es nicht sollten.

Ja, und genau das ist dann die Standard-Einstellung.
Grund: User, die sich z.B. trotz Scans der eigenen Iris nicht am System anmelden könne, werden sehr schnell sehr verärgert --> hohes Supportaufkommen.

Wenn aber die Hürde niedrig gehalten wird, regt sich nichemand auf, weils eh keiner merkt ... btw. auch nicht die Betrüger ;-)

Absolut korrekt.
Und man kann davon ausgehen, dass bei diesen Lösungen eher mal eine höhere "false acception rate" in Kauf genommen wird (wobei man das bei Mehrfaktor in Kauf nehmen kann).

Irisscan und Fingerprint wird sich wohl sowieso nicht durchsetzen, da die Benutzer-Akzeptanz gering ist.
Da sehe ich eher noch Chancen bei der Handvenenerkennung - da hat man bis dato noch keine so negative Assoziation, meiner Meinung nach.

Sehe ich genau so!

Wir dürfen ja nicht vergessen, wieso verwenden viele Firmen im Web diese Sicherheitsabfrage? Weil sie billig ist!
Viele User bedeuten auch oft Passworte zurücksetzen. Sowas automatisieren spart geld. Die FAR hochsetzen ebenso, denn durch eine FRR könnte man ja Kunden verlieren. Alles auf Kosten der Sicherheit.

Biometrische Messgeräte sind ja auch nicht billig! Für einen Irisscanner bezahlt man mindestens 600 USD. Das man da gute Qualität bekommt wage ich aber zu bezweifeln!
Au0erdem muss man den dann immer mitschleppen weil man ja auch wo anders mal sein Webservice nutzt.

In Summe unpraktisch und teuer. Wird sich beim Consumer nicht durchsetzen! Sowas leisten sich nur Unternehmen die Wert auf Sicherheit legen

Bekommen wir das neue System eigentlich...

... AUF'S AUG' GEDRÜCKT?!
(C:

Wie sieht es eigentlich mit Authenticatoren aus ala WOW? In Verbindung mit einem guten Passwort macht das Accounts schon ziemlich sicher oder?

„Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren.“

Biometrische Daten, DNA-Sequenzen, gehts noch? Wer das dann nutzen wird, ist auch schon klar.

Der sichere Zugang ist ein Hoax. Computer basieren auf dem binären Code, also 0 und 1. Was davor geschalten wird an Hokuspokus spielt überhaupt keine Rolle, denn alle Informationen werden als Nullen und Einsen gespeichert und sind als solche zu hacken und zu stehlen.

"Der sichere Zugang ist ein Hoax. Computer basieren auf dem binären Code, also 0 und 1. Was davor geschalten wird an Hokuspokus spielt überhaupt keine Rolle, denn alle Informationen werden als Nullen und Einsen gespeichert und sind als solche zu hacken und zu stehlen."

Was für ein Unsinn. Unglaublich.
Tipp: Lesen Sie zumindest mal den Artikel über Kryptographie auf Wikipedia, bevor Sie noch solche geistigen Höchstleistungen von sich geben.

Ich habe ihn so verstanden, dass

es 100% Sicherheit nicht gibt und alles hackbar ist.
Mit dieser Aussage hat er recht!

Der Unterschied zwischen guten und schlechten Systemen bzw. abgesicherter Information ist die Dauer die man benötigt zur Kompromittierung!

Richtig, und wenn die Dauer zur Kompromittierung ausreichend hoch ist (z.B. 100 Jahre), dann ist das Verfahren durchaus als (Hausnummer) 99,99999% sicher anzusehen. Im Falle einer Email-Adresse ausreichend.

Der Hack, auf den der Artikel sich bezieht, hat auch überhaupt nichts damit zu tun, dass der Zugang nicht sicher wäre, sondern, dass der Mensch (Help-Desk) versagt hat.

100% Sicherheit gibt es sowieso nie im Leben, das ist klar. Authentifizierungsprozesse als Hokuspokus zu bezeichnen und von 0en und 1sen zu schwafeln ist jedoch einfach Unsinn.

Also 100 Jahre ist ein extrem schlechter Wert, da ich meine Rechenressourcen ja nur verhundertfachen müsste um akzeptable Werte zu bekommen.

Nur so als Rendbemerkung, 100 Jahre aus heutiger Sicht sind keine 95 Jahre in 5 Jahren in bezug auf Sicherheit!

Warum Sie plötzlich auf den Artikel referenzieren ist mir schleierhaft, da das in der von Prometheus angefangenen Diskussion keine Relevanz hat. Er sagt Sicherheit ist eine Illusion (sofern ich ihn richtig verstehe) und sie antworten auch darauf ohne Bezug zum Honan Hack. Plötzlich kommen Sie damit.

Natürlich gehe ich mit Prometheus Ansicht nicht 100% konform (@Hokuspokus) trotzdem ist es schön, dass sie mir recht geben, es gibt keine 100% Sicherheit.

Teil2

Ich habe auf den Hack im Artikel verwiesen, da er schön zeigt, dass das Problem meist nicht die Technik, sondern der Faktor Mensch ist.
Das ist in den Kommentaren zu einem Artikel ja wohl erlaubt ;-)

Bzgl. 100% Sicherheit. Das ist ja wohl klar. Die gibt es aber sowieso nirgends. Genauso könnte man argumentieren: Sicherheitsgurt im Auto ist sowieso Unsinn. Sicherheit ist eine Illusion, wozu anschnallen?

Die IT-Sicherheit ist nunmal gar nicht dazu da 100% Sicherheit zu gewährleisten. Viel mehr geht es darum das Risiko für einen Einbruch zu minimieren.

Hoax würde ich das jedoch nicht nennen.

dass das Problem meist nicht die Technik, sondern der Faktor Mensch ist

Da kann ich nur 100% zustimmen!

Was ihre Aussage hinsichtlich Risiko betrifft, die ist so nicht richtig. IT Security reduziert nicht Risk, die reduziert Vulnerabilies!

Risk ist die Wahrscheinlichkeit das eine bestehende Vulnerability ausgenutzt wird UND der damit verbundene business impact. Mit Risk beschäftigt sich das Risk Management. Eine Möglichkeit ist Risk zu minimieren durch die Implementierung von Gegenmaßnahmen. Allerdings kann Risk oft auch transferiert werden z.B. Abschluss einer Versicherung!

Bezüglich Risk und IT-Security: Auch wenn ich darauf gar nicht hinaus wollte - da liegen Sie leider falsch.
https://www.unifr.ch/it-securi... definition

Es wäre ziemlicher Unsinn wahllos (und ohne Priorisierung) Schwachstellen ohne Bewertung des Schadenpotentials und der Eintrittswahrscheinlichkeit zu reduzieren.
Aber egal.

Btw: Ihre Erklärung bzgl. Risk Management ist natürlich richtig.

Erklären Sie doch mal inwiefern ich denn falsch liege!

Wenn Sie die in ihrem Link angesprochenen Quellen durchsehen würden ebenso wie z.B.
NIST, ENISA oder das österr. Sicherheitshandbuch würden Sie erkennen, dass meine Aussage richtig ist zumal Sie der sind, der in meine Aussage ein "ohne Bewertung" hineininterpretiert.
Zeigen Sie mir doch wo ich schreibe das man Vulnerabilities ohne eine Risikoanalyse angeht?

Ich kenne ihren Hintergrund nicht, gebe aber zu, dass Sie sich durchaus mit der Thematik beschäftigt haben. Mir zu sagen, dass ich mit meiner Aussage falsch liege, zeigt, dass Sie doch noch viele Punkte des Themas nicht verstanden haben. Vor allem mit dem Link den sie verwenden denn die Uni Freiburg ist bei dem Thema irrelevant den Link haben sie einfach im googel gefunden - stimmts :)

Mit der Aussage "IT Security reduziert nicht Risk, die reduziert Vulnerabilies!" natürlich.

Die ist nämlich quatsch. Da Sie ja bereits das Ö Sicherheitshandbuch erwähnt haben - ich rate Ihnen nicht nur die Überschrift zu lesen, sondern das Dokument zu verstehen.

Bzgl. ohne Bewertung: Da Sie behaupten, IT-Security behandle ausschließlich Schwachstellen. Eine Schwachstelle sagt eben noch nichts über den möglichen Schaden oder das Risiko aus (Dafür müssen nämlich auch die Bedrohungen mitberücksichtig werden).

Bzgl. der Quelle: Irrelevant, da es nur um eine Begriffdefinition ging. Genausogut hätte ich Wikipedia oder besser die ISO 17799 (die jedoch nicht frei zugänglich ist) zitieren können. Die sollten Sie btw auch mal lesen.

Teil1

Oje...
Die 100 Jahre waren natürlich nur ein Beispiel.
Z.B.: Ein Bruteforce-Angriff auf ein Passwort in einem Web-Portal (Gmail, o. ä. ).
Wobei man für die Berechnung die Anzahl der Möglichkeiten durch die Versuche pro Sekunde dividiert. Bei einem Webportal ist dieser Wert z.B. vollkommen unabhängig von der Rechenleistung, da üblicherweise ab einer gewissen Anzahl an Versuchen der Account für eine Zeitspanne z.B. 1 Minute gesperrt wird.
Somit ist die Anzahl pro Minute unabhängig von der Rechenleistung. Abhängig von der Passwortkomplexität ist die notwendige Zeit für eine Übereinstimmung natürlich höher (wobei auch hier - es handelt sich immer nur um Wahrscheinlichkeiten).

Posting 1 bis 25 von 109
1 2 3

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.