Wie wird eine passwortlose Welt funktionieren?
FIDO-Allianz ist eine offene Industrieallianz, die 2013 öffentlich wurde. Die Idee war, die weltweite übermäßige Abhängigkeit von Passwörtern zu reduzieren. Seit fast 10 Jahren arbeitet die FIDO Alliance an einer Welt ohne Passwörter, aber jetzt ist sie näher an der Realität. Andrew Shikiar, Geschäftsführer der FIDO Alliance, erklärt, wie eine passwortlose Welt funktionieren wird.
Alles beginnt mit FIDO-Anmeldeinformationen – oder kryptografischen Schlüsseln – die auf Laptops, Telefonen und anderen Geräten gespeichert sind und zur sicheren Authentifizierung verwendet werden können. Wenn eine FIDO-Berechtigung automatisch von dem Gerät, auf dem sie ursprünglich erstellt wurde (normalerweise ein Telefon oder Computer), mit einem anderen Gerät des Benutzers synchronisiert wird, wird dies als „Multi-Device-Berechtigung“ bezeichnet.
Diese neue Funktionalität baut auf der früheren „Single-Device-Credential“-Funktion auf, bei der es sich um einen FIDO-Credential handelt, der nur auf einem einzelnen Gerät verfügbar ist und auf diese Weise nicht gesichert und wiederhergestellt werden kann. „Diese neueste Weiterentwicklung ist wichtig für den Fortschritt hin zu allgegenwärtigeren passwortlosen Lösungen, da sie es Benutzern ermöglicht, Anmeldeinformationen zwischen Geräten zu übertragen“, erklärt Shikiar.
Laienhaft ausgedrückt wird es der Verwendung von a sehr ähnlich sein Passwortmanager das hilft dem Benutzer bei der Anmeldung. Das Sicherheitsniveau ist jedoch sogar besser als bei der herkömmlichen Zwei-Faktor-Authentifizierung – alles ohne zusätzliche Schritte oder Geräte während der Authentifizierung.
Genau wie Passwort-Manager mit Passwörtern, hängt es von der Betriebssystemplattform ab, die kryptografischen Schlüssel, die zu einem FIDO-Berechtigungsnachweis gehören, von Gerät zu Gerät zu synchronisieren.
Apple, Google und Microsoft – die weltweit größten Plattformanbieter – haben ihr Engagement zur Unterstützung dieser passwortlosen Anmeldestandards bestätigt. „Der Weg zur Eliminierung von Passwörtern mag lang sein, aber dies ist ein entscheidender Schritt, um ihn sowohl im Verbraucher- als auch im Unternehmensbereich Wirklichkeit werden zu lassen“, glaubt Shikiar.
Vishal Kamat, Director, IBM Security, IBM India Software Labs, glaubt, dass die Gelegenheit für Lösungsentwickler enorm ist, „Sicherheit in die Struktur ihrer Lösungen zu integrieren und gleichzeitig ein konsistentes Verbrauchererlebnis in der gesamten Anwendungslandschaft zu fördern“, da sich alle führenden Plattformen zusammenschließen.
Sampath Srinivas, PM Director, Secure Authentication, Google und President, FIDO Alliance, erläuterte in einem Blogbeitrag ausführlicher, wie es am Telefon funktionieren wird. Das Telefon speichert einen FIDO-Berechtigungsnachweis, der als Passkey bezeichnet wird und zum Entsperren Ihres Online-Kontos verwendet wird. „Der Hauptschlüssel macht die Anmeldung weitaus sicherer, da er auf der Verschlüsselung mit öffentlichen Schlüsseln basiert und Ihrem Online-Konto nur angezeigt wird, wenn Sie Ihr Telefon entsperren“, bemerkt Srinivas.
Falls Sie sich auf einem Computer anmelden, ist Zugriff auf das Telefon erforderlich, da Sie einfach aufgefordert werden, es für den Zugriff zu entsperren. Dies wird jedoch eine einmalige Sache sein, erklärt Srinivas. „Selbst wenn Sie Ihr Telefon verlieren, werden Ihre Passkeys aus der Cloud-Sicherung sicher mit Ihrem neuen Telefon synchronisiert, sodass Sie genau dort weitermachen können, wo Ihr altes Gerät aufgehört hat“, fügt Srinivas hinzu.
Shikiar von der FIDO Alliance sagt, dass die drei grundlegenden Vorteile einer passwortlosen Welt sein werden: Die Anmeldung wird für den Benutzer einfacher, es wird Phishing-resistent sein und ein robusteres System bieten. Es ist keine Überraschung, dass Leute Passwörter vergessen – es könnte für Uber sein, dass Sie seit Monaten nicht gebucht haben oder eine alte E-Mail-ID, auf die Sie zugreifen möchten. Das Problem ist, dass Sie sich bei alten Konten nicht an die Backup-E-Mail-ID oder Telefonnummern erinnern würden. Solange Sie ein Telefon haben, kann sich ein Benutzer anmelden, da es nichts zu vergessen gibt.
Für Dienstanbieter erfordert dies einige Aktualisierungen ihrer Authentifizierungs- und Identitätssysteme, um die FIDO-Funktionen zu aktivieren.
„Hunderte von Technologieunternehmen und Dienstanbietern aus der ganzen Welt haben in den letzten Jahren innerhalb der FIDO Alliance und des W3C zusammengearbeitet, um die passwortlosen Anmeldestandards zu entwickeln, die bereits von Milliarden von Geräten und allen modernen Webbrowsern unterstützt werden“, sagt Shikiar .
„Passwörter werden schnell obsolet und es ist wirklich eine Frage des „Wann“ und nicht des „Ob“ wir eine Welt ohne Passwörter haben werden“, sagt Kamat. Es ist kein Geheimnis, dass Passwörter – die schwachen oder gestohlenen – heute bei weitem die Hauptursache für Cyberangriffe sind, und folglich sind die Passwörter zum schwächsten Glied in der Verteidigungskette der Cybersicherheit geworden.
Sundar Balasubramanian, Managing Director, Indien, und SAARC, Check Point Software Technologies glaubt, dass ein passwortloses Szenario Realität werden könnte, wenn die Standards für eine passwortlose Umgebung immer etablierter werden und die Anzahl von passwortlosen, ausgeklügelten Authentifizierungstechniken zunimmt.
„Die Verwendung verteilter Hauptbücher (d. h. Blockchain) zum Speichern digitaler Identitätsinformationen, Authentifizierungsentscheidungen mit mehreren Attributen unter Verwendung von KI-Technologien wie risikobasierter Authentifizierung und die Einführung von Zero-Trust-Frameworks zur Sicherung digitaler Informationen sind einige der Trends, die wir verfolgen Erwarten Sie, dass es in den nächsten 2-3 Jahren reift“, sagt Kamat.
Was passiert mit der Privatsphäre und Sicherheit der Benutzer in einer passwortlosen Welt?
Shikiar glaubt, dass die Gesundheit der Cybersicherheit ohne Passwörter dramatisch verbessert wird. Passwörter und Zwei-Faktor-Authentifizierung wie OTPs und In-App-Push-Benachrichtigungen sind unbequem und unsicher. „Sie können gephisht werden, und sie sind werden heute in großem Umfang gephishing“, fügt er hinzu.
Balasubramanian hingegen ist der Meinung, dass die passwortlose Authentifizierung zwar eine sichere und einfache Methode zu sein scheint, aber ihre eigenen Probleme mit sich bringt. Die Finanzierungs- und Migrationsschwierigkeiten könnten zu den dringendsten Problemen gezählt werden. Er erklärt weiter, dass „Malware, Man-in-the-Browser und andere Angriffe auch mit passwortloser Authentifizierung machbar sind. Cyberkriminelle können beispielsweise einen Software-Patch installieren, um Einmalpasswörter (OTPs) abzufangen. Sie können sogar Webbrowser mit Trojanern infizieren, um gemeinsam genutzte Daten wie Einmalpasswörter oder magische Links abzufangen.“ Darüber hinaus haben Cyberkriminelle bewiesen, dass auch Sprachaufzeichnungen und andere biometrische Merkmale dupliziert wurden.
Auch Kamat sieht eine passwortlose Welt als Chance. „Es ist eine Gelegenheit, unsere Authentifizierungssysteme zu modernisieren, indem wir neuere Technologien nutzen, die das Verbrauchererlebnis verbessern und gleichzeitig unsere Transaktionen sicherer machen“, erklärt er.
Es ist entscheidend, Unterstützung in alltäglichen Geräten zu haben, glaubt Shikiar, der der Meinung ist, dass eine passwortlose Welt mit der Allgegenwart von Passwörtern und SMS OTP angegangen werden muss. Deshalb hält er das Engagement von Apple, Google und Microsoft für wichtig. „Ihr Engagement wird Service Providern auch vielfältigere Optionen für den Einsatz moderner, Phishing-resistenter Authentifizierungsmethoden bieten“, fügt er hinzu.
„Es ist unbestreitbar ein großer Fortschritt in Bezug auf die sichere Authentifizierung für den normalen Benutzer, der wahrscheinlich nicht die stärksten Passwörter verwendet, sie aber statistisch gesehen eher über Websites und Dienste hinweg wiederverwendet“, sagt Balasubramanian.