Der FIDO-Ansatz deckt Identitäts- und Zugriffsverwirrung auf
Die Fast Identity Online (FIDO) Alliance – eine Gruppe von Technologieunternehmen, darunter Apple, Google und Microsoft – kündigte kürzlich sein Engagement für die Unterstützung der passwortlosen Authentifizierung in seinen Produkten an. Die Pläne von FIDO bestehen seit fast einem Jahrzehnt und die Arbeit an einem System, das es Benutzern ermöglicht, sich ohne Passwort, aber stattdessen mit PIN, Biometrie, Iris-Scan oder Spracherkennung bei ihren Online-Konten anzumelden, hat vor langer Zeit begonnen.
Es wird erwartet, dass der Ansatz von FIDO bei Apple, Google und anderen implementiert wird Microsoft Plattformen später in diesem Jahr und FIDO glaubt, dass dies der Fall sein wird besserer Schutz gegenüber herkömmlicher Multi-Faktor-Authentifizierung und besserer Schutz vor böswilligen Phishing-Angriffen.
Anstatt Benutzer Passwörter merken zu lassen, schlägt FIDO vor, dass Passwörter auf Geräten oder dem zugehörigen Cloud-Synchronisierungsdienst des Betriebssystems gespeichert werden. Ein Gerät wie ein Telefon wird zum Zugangspunkt, und der Zugriff wird durch Eingabe der PIN Ihres Telefons oder durch Verwendung von Fingerabdruck oder Gesichtserkennung authentifiziert.
Theoretisch würde dies die Abhängigkeit von Passwörtern verringern und den Benutzern die Möglichkeit geben, ihre Anmeldeinformationen griffbereit zu haben, wenn sie von Gerät zu Gerät wechseln. In der Praxis hat die Sehnsucht nach Bequemlichkeit und einfachem Zugriff die Sicherheit an den Rand gedrängt und könnte die lebenswichtigen Daten der Benutzer anfällig für Bedrohungsakteure machen.
Identität versus Zugang
Der FIDO-Ansatz für Passwörter ist zwar praktisch, offenbart aber zunächst eine gefährliche Verwechslung zwischen Zugriff und Identität. Entgegen der landläufigen Meinung sind die beiden nicht austauschbar. Identitäten sind festgelegt, während Zugriffsschlüssel veränderbar sind. In der physischen Welt verwenden wir sie für unterschiedliche Bedürfnisse.
Ihre Identität wird verwendet, um sich zu identifizieren, beispielsweise wenn Sie eine Landesgrenze überschreiten, wenn Sie nachweisen müssen, dass Sie die gesetzlichen Rechte haben, in einem Land zu leben oder in einem Haus zu leben. Ihre rechtliche Identität ist festgelegt und ändert sich nicht, wenn Sie den Job oder das Land wechseln. Ihre Identität ist einzigartig.
Der Zugang hingegen wird von einer Behörde wie einem Unternehmen oder einem Vermieter gewährt, um bestimmten Personen den Zutritt zu bestimmten Orten zu ermöglichen. Der Zugang wird normalerweise gewährt, indem man jemandem einen Schlüssel gibt, Schlüssel hängen nicht von der Identität der Person ab. Wenn Sie zum Beispiel nach Hause gehen, sieht Ihre Tür Sie nicht an, erkennt Sie nicht und öffnet sich nicht für Sie. Wenn Sie die Schlüssel haben, können Sie die Türen öffnen.
Im Gegensatz zu Ihrer einzigartigen Identität können Sie so viele Schlüssel haben, wie Sie Türen haben, was bedeutet, dass der Verlust Ihres Autoschlüssels beispielsweise Ihr Haus oder Ihr Büro nicht beeinträchtigt. Sie können einfach Ihre Schlüssel ändern.
Stellen Sie sich nun vor, Sie verwenden Ihre Identitätsbiometrie, um auf alles zuzugreifen, was Sie besitzen. Biometrie ist einfach eine eindeutige Kombination aus 0 und 1. Wir wissen aus jüngsten Datenschutzverletzungen, dass große Datenbanken mit biometrischen Identitätsdaten gestohlen werden können und wurden. Wenn Ihre biometrischen Daten gestohlen werden, können Sie nicht nur sofort alles verlieren, was Sie haben, sondern Sie können sie auch nicht zurückgehen und löschen. Biometrischer Diebstahl ist dauerhaft, was bedeutet, dass Sie immer dem Risiko ausgesetzt sind, dass jemand Ihre Identität illegal verwendet. Rechtfertigt Bequemlichkeit, so hohe Risiken einzugehen?
Wer, außer einem Schlosser, fertigt seine eigenen Schlüssel an?
Ein weiterer Punkt der Verwirrung betrifft Zugriffsschlüssel. Die Menschen haben lange geglaubt, dass sie Passwörter erstellen und sich diese merken müssen. Aber Passwörter sind nur Schlüssel, digitale Schlüssel. Wer – außer Schlossern – hat jemals seine eigenen Schlüssel entworfen und geschnitten, um sein Haus, sein Auto, seinen Tresor zu öffnen? Die Leute rufen einfach den richtigen Schlüssel ab und verwenden ihn.
Um zu verhindern, dass Menschen Ihre Schlüssel in der digitalen Welt stehlen, besteht eine einfache Verteidigung darin, verschlüsselte Passwörter zu verwenden, da es keine physischen Hindernisse gibt. Wenn Sie Ihre Passwörter nicht kennen oder sehen, können Sie sie nicht versehentlich preisgeben. Es gibt verschiedene Möglichkeiten, verschlüsselte Passwörter für unterschiedliche Anforderungen zu verwalten, von denen die sicherste darin besteht, sie in einer Festung mit mehreren Sicherheitsebenen für verschiedene Passwörter aufzubewahren, auf die nur der Eigentümer zugreifen kann.
Laut VerizonData Breach Investigations Report 2022 von , beinhalten 82 % aller Datenschutzverletzungen ein menschliches Element wie soziale Angriffe, Phishing und Passwortmissbrauch. In der Geschäftswelt können sich Unternehmen vor diesem menschlichen Element schützen, indem sie End-to-End-verschlüsselte Passwörter für jedes System an alle ihre Mitarbeiter verteilen und individuelle Zugangsschlüssel digital an Personen weitergeben, die sie verwenden können, ohne sie jemals zu sehen.
Ende-zu-Ende-Verschlüsselung bedeutet, dass Passwörter von der Erstellung, Verteilung, Speicherung, Verwendung bis zum Ablauf unzugänglich sind. Auf diese Weise können Mitarbeiter die Passwörter nicht kennen, sodass sie sie nicht bei Phishing-Angriffen preisgeben können, die laut dem Office of National Statistics im Jahr 83 2021 % der Cyberangriffe ausmachen. Passwörter nicht zu kennen bedeutet auch, Passwörter nicht zu vergessen, was Unternehmen Geld spart Passwort-Resets und Produktivität.
Alle Ihre Daten hinter einem einzigen Zugangspunkt
Ein dritter Punkt der Verwirrung betrifft die Verwendung des einheitlichen Zugangs. In der physischen Welt ist es unsicher, einen einzigen Schlüssel für Haus, Auto und Büro zu haben. Das liegt daran, dass der Verlust dieses Schlüssels bedeutet, alles zu verlieren, was Sie haben. Aber in der digitalen Welt wurde den Menschen als Gegenleistung für die Bequemlichkeit geraten, ein einziges Master-Passwort, eine biometrische oder PIN zu verwenden, wie im Vorschlag von FIDO, um auf alle ihre digitalen Vermögenswerte zuzugreifen. Für Leute, die diesen Rat befolgen, bedeutet dies, dass ein Angriff den Verlust aller ihrer Konten und Daten auf einmal verursachen kann.
Eine warnende Spitze bei körperlichen Angriffen
Die Liste der Probleme, die sich aus dem Vorschlag von FIDO ergeben, ist endlos, aber keines hat erschreckendere Auswirkungen als das Risiko, jeden, der ein tragbares Gerät wie ein Smartphone besitzt, in ein offensichtliches Ziel für physische Kriminalität zu verwandeln. Wenn jedes Gerät im Wesentlichen die Schlüssel zu Ihrem gesamten Vermögen enthält, werden Sie zu einer wandelnden Brieftasche mit einem einfachen Ziel auf Ihrem Rücken. Es gab bereits viele Fälle, in denen Menschen in der Stadt London körperlich angegriffen wurden, um ihren Fingerabdruck und ihre Gesichtserkennung abzugeben, um ihre Geräte zu öffnen, damit Kriminelle ihre gesamte Kryptowährung stehlen konnten.
Immer wieder wurden neue Technologien ohne angemessene Sicherheitsbewertung implementiert und erwiesen sich letztendlich als schädlicher für Menschen. Bevor man den Vorschlag von FIDO annimmt, sollte man sich an das alte Sprichwort erinnern: Sei vorsichtig, was du dir wünschst.
