Thursday, July 26, 2018

Ein digitaler Schlüssel, der Phishing verhindert


Ein kleiner USB- Stick, der aussieht wie ein Schlüssel, sorgt dafür, dass Phishing als Bedrohung nicht mehr so brandgefährlich ist. Das Gerät funktioniert als Identifikationsmittel, und sorgt zusammen mit einem Passwort für Zwei-Faktor-Authentifizierung für Nutzerkonten - wie sie zum Beispiel beim Internetbanking schon lange üblich ist.

Ein digitaler Schlüssel am Bund, um erfolgreiche Phishing-Attacken zu ver-
meiden.                                                                          Screengrab amazon.de
Phishing kann sehr weitreichende Folgen haben - das zeigte sich zum Beispiel im letzten Amerikanischen Präsidentschaftswahlkampf. Hätte Hillary Clintons Wahlkampfmanager John Podesta damals einen YubiKey benutzt, um sein Google-Nutzerkonto zu schützen, hätten die Hacker sein E-Mailpasswort nicht mit einer einfachen Phishing-Nachricht in Erfahrung bringen können, viele unschöne  E-Mails  wären geheim geblieben, und die Weltgeschichte hätte vielleicht einen anderen, weniger spektakulären Verlauf genommen.
YubiKey funktioniert ganz einfach, wie dieWelt erklärt:
“Die Idee hinter dem Schlüssel ist simpel: Nutzer müssen zur Anmeldung an einem neuen Computer oder Smartphone den Schlüssel in einen USB-Anschluss ihres Geräts einstecken und können sich erst dann anmelden. Ein Hacker, der ein Passwort per Phishing erobert hat, kommt ohne den physischen Schlüssel seinem Ziel keinen Schritt näher. Umgekehrt funktioniert der Schlüssel nicht ohne das Passwort. Ein gewöhnlicher Dieb, der den Schlüsselbund samt Yubikey klaut, kann damit nichts anfangen. Auch kopieren lässt sich ein Yubikey nicht. Der Standard hinter dem Yubikey heißt U2F. Die Abkürzung steht für „universelles Zwei-Faktor-Verfahren“. Diese Verfahren zum Log-in bei Webseiten, Mailkonten oder Unternehmens-Servern nutzen neben dem Passwort immer eine weitere Sicherung, etwa über ein zweites Gerät oder einen Gegenstand, den der Nutzer bei sich trägt.“
Eine fast todsicher Schutz also - was auch von verschiedenen grossen Firmen bestätigt wird. Zum Beispiel von Google: Seit das System bei Google eingeführt wurde, sei kein einziger Phishing-Fall unter den 85‘000 Mitarbeitern mehr zu verzeichnen gewesen. Gemäß YubiKey wird die Technologie auch bei Facebook und am CERN angewandt. Keine schlechte Bilanz für ein Gerät, das nur gerade 20 Euro kostet.
Der Erfolg von YubiKey scheint auch Google beeindruckt zu haben. So stark, dass man selber mit einem ähnlichen Produkt auf den Markt kommen will. Das Ding heisst Titan Security Key, wie golem.de berichtet:
“Google versucht schon länger, die Nutzer und Kunden seiner Dienste von der Verwendung einer Zwei-Faktor-Authentifizierung zu überzeugen. Bisher ist der Erfolg dabei vor allem bei Privatpersonen eher mäßig. Mit dem Titan Security Key, einem eigenen Hardwareschlüssel von Google, der kompatibel zum U2F-Standard der FIDO-Alliance ist, könnte sich das aber zumindest für die Enterprise-Kunden der Google Cloud bald ändern. Laut der Ankündigung stammt die genutzte Firmware der Geräte von Google selbst, um die Integrität der Hardwareschlüssel zu gewährleisten.“
Die Möglichkeit, dass Sie Ihre Nutzerkonnten vor unbefugtem Zugriff schützen können, besteht also schon länger - und kostet nicht mal viel Geld - rund 20 Euro aktuell bei amazon.de. Auch für kleine Unternehmen und Privatpersonen könnte sich dieses Investment durchaus lohnen.

No comments:

Post a Comment