Der Sicherheitsvorfall um Lastpass zu Beginn des Jahres spült einmal mehr die grundsätzliche Auseinandersetzung mit dem Thema Multi-Faktor-Authentifizierungen und die Abwägung von Bequemlichkeit und Sicherheit nach oben. Gründe dagegen werden vielfach ins Feld geworfen. Aspekte wie Kosten oder vorherrschende Standards sind potenzielle Hindernisse für den Einsatz universeller Multi-Faktor-Authentifizierungen. Ein genauerer Blick zeigt warum das so ist und warum dennoch kein Weg um eine effektive Zweitabsicherung herumführt.
Kosten und Benutzerfreundlichkeit
Wäre ein Token eine geeignete Passwort-Alternative? Sollte jeder einzelne Nutzer damit ausgestattet werden, sind sie recht kostspielig. Zudem kann und will sich nicht jeder ein Smartphone leisten und viele der Systeme, die auf Telefon oder Bildschirme angewiesen sind, sind für Menschen mit Behinderungen nicht nutzbar. Weiteres Problem: die meisten App-Lösungen sind durch Proxy-Angriffe „phishbar“, was zu ihrer zukünftigen Ineffektivität führt, da Kriminelle sich anpassen und immer raffiniertere Phishing-Techniken verwenden. Ein Gegenmittel wäre U2F (Universeller Zweiter Faktor). Microsoft, Google und Apple versuchen erste Schritte mit Passkeys, aber diese Lösung ist in der Tat sehr verbraucherorientiert und es ist noch völlig unklar, ob Normalsterbliche diese verstehen oder annehmen werden.
Standards für mehr Einheitlichkeit
Wir haben den Industriestandard UF2, aber was wir nicht haben, sind Standards zu Authentifizierung und -praktiken (die außerhalb der nationalen Regierungen durchgesetzt werden). Webseiten haben unterschiedlichste Anforderungen an die Passworterstellung – die Kombinationsmöglichkeiten von Zahlen, Sonderzeichen oder der Länge für Passwörter sind schier unendlich. Wir müssen jeden einzelnen Web-Entwickler davon überzeugen, Unterstützung für den U2F-Authentifizierungscode, Passkeys oder andere Standards zu implementieren.
Die Ansätze von Google, Apple, Facebook, Microsoft & Co. sind bereits sehr vielversprechend, aber das ist nur der Anfang. Wir brauchen Websites, die nicht nur Unterstützung bieten, sondern diese idealerweise auch auf eine einheitliche Weise kommunizieren.
Akzeptanz der Anwender
Bequemlichkeit ist Verbrauchern wichtig. So antwortete der CISO eines großen Unternehmens in Kanada auf die Frage, warum sie keine MFA anbieten würden: „Wenn es optional ist, werden sich nur etwa zwei Prozent der Kunden dafür entscheiden. Wenn es nicht optional ist und die Kunden die Unannehmlichkeiten nicht mögen, werden sie zu einer anderen Bank wechseln. Ich mache mir keine Sorgen um die zwei Prozent, die sich anmelden würden, da sie ihr Online-Leben wahrscheinlich bereits sehr gut schützen. Ich mache mir Sorgen um die 98 Prozent und kann es mir nicht leisten, diese Kunden zu verprellen.“ Online-Dienste würden lieber Konten kompromittieren, als Kunden zu verlieren.
Freie Märkte
Wenn Märkte wie das Bankwesen nicht so reguliert sind, dass sie MFA zwingend umsetzen müssen, werden sie es nicht tun. Wenn Konkurrenten eine reibungslosere Nutzung bieten, dann wird niemand seinen Kunden die sicherere Sache aufzwingen. Die Banken wollen zufriedene Kunden. Und Kunden, die ihren Token in ihrer Ferienwohnung in Fort Lauderdale vergessen haben, sind ein sehr teures Problem.
„Verbraucher sollten Passwörter als Geheimnisse betrachten und sich vor Augen halten, wie gut Menschen darin sind, Geheimnisse zu bewahren“, so Chet Wisniewski, Cybersecurity-Experte bei Sophos. „Dieser Gedankengang führt unweigerlich zu einem Gespräch über Multi-Faktor-Authentifizierung, denn wenn ein Passwort nur ein Geheimnis ist, dann kann es gestohlen, belauscht oder sogar erraten werden. Im Gegensatz dazu kann etwas, das schwerer zu stehlen ist, z.B. ein Token oder eine 2FA- App, das digitale Leben mit einer im Verhältnis sehr kleinen ‚Unannehmlichkeit‘ viel sicherer machen. Mein grundlegender Rat ist deshalb: die Verwendung eines zweiten Authentifzierungsfaktors lohnt sich immer, da sie die Immunität gegen Angriffe auf fast 98 Prozent erhöht. Wer das zu unbequem findet, sollte 2FA zumindest für Dienste implementieren, bei denen die eigene Identität sehr ausgeprägt ausgestellt wird, wie E-Mail, Social Media oder Online-Banking. Die Menschen müssen begreifen, dass ihre Online- und Offline-Identitäten nicht länger zwei verschiedene Dinge sind. Die Kompromittierung eines einzigen E-Mail-Kontos könnte schließlich das gesamte Berufs- und Privatleben durcheinanderwirbeln.“
Abschließend noch eine Rangfolge der sichersten bis zu den unsichersten Optionen zur Authentifizierung:
- USB/ Bluetooth-Token (U2F)
- Biometrisch (Fingerabdruck/FaceID/etc.)
- Authentifizierungs-Smartphone-App (Microsoft, Google, Deo, etc.)
- SMS
- Nur ein Passwort
#Sophos