Die two factor Authentifizierung

Ich habe vor einigen Tagen von dieser neuen Technologie der zwei Wege Verschlüsselung Webauthn gehört. Dieser soll zukünftig als ein Standart dienen damit die Benutzer sich in zwei Wegen Authentifizieren können.

Bei dieser Art der Authentifizierung gibt es immer eine zweite Hürde, die der Benutzer überwinden muss, um sich anzumelden. Es ist schon lange üblich, dass man eine zwei Wege Authentifizierungen verwendet. Es gibt z.B. bei Amazon eine E-Mail, die der Benutzer bei einem Anmeldeversuch erhält oder bei Google bekommt man eine SMS. Als ich mit Bitcoins gehandelt habe, hat man auf fast allen Plattformen dich gezwungen, den Google Authenticator zu nutzen.

Jedes von dem Menschen gemachte System ist hackbar. Das bedeutet, dass alle Systeme gehackt werden können. Es gibt niemals eine 100 prozentige Sicherheit, dass dein Account in sicheren Händen ist.

Wenn du z.B. den Google Authenticator benutzt, kann dein Account bereits gehackt werden, sobald jemand Zugriff auf dein Handy hat. Egal ob er es kurz in der Hand hält und du wegschaust oder jemand dein Handy von außen hackt.

Wie wir wissen sind Smartphones nicht für ihre Sicherheit bekannt. Immer wieder tauchen Nacktfotos von Berühmtheiten auf, weil ein hacker deren Handys mal ganz nebenbei gehackt hat.

Jetzt vor kurzen wurde eine standartisierung von Webauthn durch das w3 Konsortium und dem Zusammenschluß FIDO2 beschlossen. Die Vorreiter dieser Methode bieten Paypal und noknok. Hierbei handelt es sich um einen zweiten Schlüssel, den der Benutzer immer bei sich haben wird…

Wenn der Benutzer sich anmelden möchte, soll eines der oben genannten Elemente abgefragt werden. Dann muss der Benutzer nur nur sein Handy an sein Laptop oder sein Handy halten und der Zugang ist freigeschaltet. Das Problem bei dieser Geschichte ist jedoch, dass wenn sich jemand Zugang zu deinem Handy verschafft hat, er auch die eingelesenen Daten mitschneiden und die Eingabe somit simulieren kann.

Wenn der Gegenüber genug Materialien von dir hat kann er genauso gut auch deine Stimme simulieren lassen, auch wenn das Sicherheitssystem von dir verlangt, dass du zufällig generierte Texte vorlesen musst. Er braucht nur das, was das Sicherheitssystem von dir möchte in tensorflow einzugeben und die Aussage wird automatisch als Aussprache exportiert. Ich habe schon sehr viele Videos gesehen, wo man den Präsidenten Barack Obama oder den Präsident George Bush Sachen sagen lassen hat, die er noch nie vorher gesagt hatte.

Ich finde diese Ansätze sehr gut weil die zumindest einen sehr hohen Sicherheitsstandard darbieten. Wenn man z.b. überlegt, dass ein sicheres Passwort theoretisch in mehreren Millionen Jahren gehackt werden könnte, muss man sich die Frage stellen, wie sicher das Passwort dann ist, wenn die Person zusätzlich zu dem Passwort noch die Informationen seines Fingerabdruck ist an den Sicherheitsserver schickt. Der wichtigste Faktor hierbei ist ja, dass der Hacker erst einmal ein Smartphone oder einen Computer hacken muss und danach auch noch in der Lage sein muss, die Informationen, wie z.b. Fingerabdruck Sensor, Biometrische Daten oder den Iris-scan mitzuschneiden.

Natürlich bietet das keine 100,0% die Sicherheit jedoch wird man wie am Anfang gesagt niemals eine hundertprozentige Sicherheit haben Punkt alles ist hackbar und alles ist kompromittierbar. Das Wichtige ist, sich Gedanken zu machen, wie man es den Hackern erschweren kann.

Der oben genannte Zusammenschluss FIDO2 beinhaltet mehrere große Firmen wie zum Beispiel Facebook, Google Microsoft und unter anderem Deutsche Staatsbehörden. Ich erinnere mich hierbei an einen Satz von einem alten Freund, der gesagt hat, dass wir keinen Spion mehr brauchen sondern die Spione in unseren Hosentaschen tragen. Damit hat er die Smartphones gemeint.

Durch diese neue Authentifizierungsmethoden geben wir dem ganzen Internet unsere biometrischen Daten Preis. Das bedeutet, dass diese Firmen alle unsere Fingerabdrücke, unseren Iris Scan, oder unsere Stimme nachahmen könnten.

Ich bin mir sicher dass diese Firmen kein selber kein Interesse daran haben diese Informationen negativ zu verwenden jedoch könnten Menschen, Firmen oder Staaten mit schlechten Absichten diese Fingerabdrücke nehmen und diese an gewissen Tatorten verwenden um die Last einer Straftat einer bestimmten Person anzuhängen.