Wie man Glück in einer Welt des Passwortwahnsinns findet

Anfang 1 hatte Wired Reporter Mat Honan seine wertvollsten Passwörter über eine komplexe Serie von Social-Engineering-Exploits. Der Verstoß machte Schlagzeilen, weil er Sicherheitslücken in den Kundendienstrichtlinien von Apple und Amazon offenlegte. Aber vergessen wir nicht, dass die Honan-Saga einen langen Sommer voller Serverinvasionen überbrückte, die millionenfach Passwörter von Nutzern enthüllten.

Im Juni haben Hacker rund 6,5 Millionen LinkedIn-Passwörter gestohlen und online gestellt. Im selben Monat kompromittierten Eindringlinge etwa 1,5 Millionen eHarmony-Passwörter bei einer Sicherheitsverletzung, und im Juli griffen Hacker 450.000 Yahoo Voice-Passwörter. Zu den gängigsten Passwörtern, die von diesen Yahoo-Mitgliedern verwendet werden: "123456", "Willkommen" und das allseits beliebte "Passwort".

Das grundlegende Problem besteht nicht darin, dass diese Seiten Benutzerdaten besser schützen sollten (obwohl sie haben sollten). Und es ist nicht so, dass Benutzer Passwörter auswählten, die extrem leicht zu knacken und dann an jeder Stelle, an der sie sich registrierten, die gleichen schwachen Passwörter wiederverwendeten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Das Problem ist, dass Passwörter zu selbstzerstörerischen, oft impotenten Werkzeugen im großen System der digitalen Sicherheit geworden sind. Wir brauchen zu viele von ihnen, und die Starken sind zu schwer zu merken.

"Um heutzutage das Netz zu nutzen, müssen Sie Dutzende Passwörter und Logins haben", sagt Terry Hartmann, Vice President Global Security Solutions bei Unisys. "Jedes Mal, wenn Sie auf eine Website zurückkehren, fühlt es sich an, als hätten sie neue Regeln eingeführt, um die Passwörter komplexer zu gestalten. Schließlich verwenden die Benutzer wieder ein Kennwort für alles. "

Kurz gesagt: Das Passwortsystem ist beschädigt. Alle Passwörter, die bei den Exploits von LinkedIn, eHarmony und Yahoo verletzt wurden, wurden "hashed" - das heißt, die tatsächlichen Passwörter wurden durch algorithmisch generierten Code ersetzt. Dadurch werden die auf Servern gespeicherten Kennwörter (und von Hackern gestohlene Kennwörter) in alphanumerisches Kauderwelsch umgewandelt. Wenn Ihr Passwort jedoch so einfach ist wie beispielsweise "officepc", kann ein Hacker es sogar in Hash-Form mit roher Gewalt oder einem Regenbogen-Tisch knacken.

Aber alles ist nicht verloren. Komplexe Passwörter, die mit Zahlen und Sonderzeichen versehen sind (und keine Ähnlichkeit mit einem echten Namen oder Wort haben), geben Ihnen eine Chance gegen Hacker, und Sie können diese Codes in einer praktischen Passwortverwaltungs-App speichern. Websites hingegen tun mehr, um die Sicherheit an ihrem Ende zu erhöhen, was eine multifaktorielle Authentifizierung erfordert, und es sieht so aus, als ob die biometrische Technologie bald auch für die Massenmarktsicherheit eingesetzt wird.

Das Passwortproblem wird nicht verschwinden Aber bald werden wir uns auf die unten erläuterten Anwendungen, Dienste und aufkommenden Technologien verlassen müssen, um den bösen Jungs immer einen Schritt voraus zu sein.

Password Vaults

Passwort-Management-Programme sind wie Spam-Filter, aber wichtige Werkzeuge für die Verwaltung Ihres digitalen Lebens. Ein guter Passwortmanager merkt sich alle Ihre Logins, ersetzt die einfachen Passwörter durch komplexe, und lässt Sie diese Passwörter schnell ändern, wenn eine Site oder ein Service gehackt wird.

Der beste Teil: Statt sich Dutzende merken zu müssen von eindeutigen Passwörtern müssen Sie sich nur eines merken: das Master-Passwort für Ihren Tresor. Und wenn Sie sich nicht immer von demselben Computer und demselben Browser aus anmelden (in diesem Fall lesen Sie wahrscheinlich dies bei einer AOL-Einwahlverbindung), sollten Sie ein Cloud-basiertes Programm wie LastPass, 1Password oder Roboform verwenden, das sich anwenden lässt Ihre Logins auf jedem PC, Telefon oder Tablet, den Sie verwenden.

Der Nachteil: Sie müssen sich immer noch an Ihr Master-Passwort erinnern, und es sollte wirklich gut sein, mit einer Mischung aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen wie Fragezeichen und Ausrufezeichen.

Natürlich, Ein Angreifer, der einen Keylogger in Ihr System einbauen kann, kann während der Eingabe Ihr Passwort ausspionieren, bemerkt Robert Siciliano, ein Online-Sicherheitsexperte für McAfee, der über einen Passwort-Tresor mehr als 700 Logins speichert. Ähnlich, wenn Gauner einen Cloud-basierten Passwortspeicher hacken - wie es LastPass im Mai 2011 passierte - könnte es ein Spiel vorbei sein. Zum Glück für LastPass-Kunden wurden 2011 keine sensiblen Daten verletzt. Aber das nächste Mal, wenn ein erfolgreicher Eindringling auftritt (und dass es irgendwo passieren wird), sind die Benutzer vielleicht nicht so glücklich.

Fazit: Password Management-Tresore bieten immensen Wert und sind unverzichtbare Werkzeuge für jeden Werte digitale Sicherheit

Multifaktor-Authentifizierung

Komplexe Kennwörter, die in einem verschlüsselten Tresor gespeichert sind, sind nur ein erster Schritt. Einige Websites sind auf eine zweite Sicherheitsstufe angewiesen, um Benutzer zu identifizieren - typischerweise eine Hardware, auf die nur der berechtigte Benutzer Zugriff hat. Auf diese Weise benötigt auch ein Angreifer, der Ihr Passwort kennt, Zugriff auf beispielsweise Ihr Telefon oder Ihren Computer, um Ihre Daten zu stehlen.

Finanzinstitute sind gesetzlich dazu verpflichtet, bei der Abwicklung von Online-Transaktionen mehrere Faktoren zu verwenden Es im Hintergrund durch die Authentifizierung Ihrer Maschine oder deren Standort, sagt Siciliano. Wenn Sie zum Beispiel in San Francisco leben und jemand in Shanghai versucht, auf Ihr Bankkonto zuzugreifen, wird diese Transaktion möglicherweise blockiert, oder diese Person muss möglicherweise eine zusätzliche Authentifizierung durch Eingabe einer Nummer an ein bereitgestelltes Gerät vornehmen von der Bank.

Google und Facebook bieten jetzt auch eine Zwei-Faktor-Authentifizierung an: Sie können sich bei jedem Login von einer unbekannten Maschine eine temporäre PIN auf Ihr Mobiltelefon schicken lassen (diese PIN muss zusammen mit Ihrem Passwort angegeben werden) Wenn Sie das erste Mal versuchen, sich über diese neue Maschine anzumelden). Diese Ausfallsicherung hätte alle Schwierigkeiten verhindert, die Mat Honan im letzten Monat erlitten hatte.

Googles zweiteiliges Authentifizierungssystem sorgt für mehr Sicherheit, aber viele Benutzer finden es in der Praxis langweilig.

Aber leider beiseite Von Banken und einer Handvoll hochkarätiger Websites bieten die meisten Online-Portale einfach keine Multifaktor-Authentifizierung an - zum Teil, weil es nicht sehr praktisch ist und die große Mehrheit der Internetnutzer bereit ist, Sicherheit für stressfreie Anmeldungen zu tauschen.

"Zwei-Faktor-Authentifizierung besteht nicht immer den Oma-Test", sagt Siciliano. "Das bedeutet mehr Supportanrufe, mehr Passwortresets und höhere Kosten. Deshalb wird es in der Regel nur von Unternehmen eingesetzt, die viel zu verlieren haben. "

Biometrie

Das Schöne an der Biometrie ist, dass Sie sich gar nichts merken müssen, geschweige denn ein komplexes Passwort. Stattdessen greift ein biometrisches Sicherheitssystem auf die einzigartigen Eigenschaften Ihrer eigenen physischen Verpackung zu, um Ihre Identität zu authentifizieren.

Biometrische Systeme können Fingerabdrücke, Iris, Gesichter und sogar Stimmen scannen, um festzustellen, ob eine Person Zugang zu einem Dienst oder Stück haben soll von Hardware. Sie sind noch nicht für die großen Cloud-Dienste implementiert, aber Terry Hartmann von Unisys sagt, dass große Banken biometrische Identifikationssysteme jetzt pilotieren, und erwartet, dass sie nächstes Jahr ins Rollen kommen. Apples jüngste 360-Millionen-Dollar-Übernahme von AuthenTec, dem Hersteller von Fingerabdruck-Scanning-Technologie, legt nahe, dass in zukünftigen Apple-Produkten irgendeine Form biometrischer Identifikation eingebaut werden kann.

Rudimentäre biometrische Sicherheit gibt es bereits auf vielen Notebooks.

Biometrie nicht perfekt, jedoch. Forscher haben Fingerabdruck-Scanner unter Verwendung von Gelatine-Fingern getestet, und sie haben Gesichtserkennungssysteme unter Verwendung von Fotografien getäuscht. Auf der BlackHat-Konferenz im Juli letzten Jahres haben Sicherheitsforscher gezeigt, wie man Iris-Scanner durch Reverse-Engineering der Bilddaten manipulieren kann.

Und natürlich können Hacker biometrische Daten in einer zentralen Datenbank speichern und Identitäten stehlen, indem sie ihre eigenen biometrischen Daten anstelle ihrer Opfer einsetzen. Wie bei Passwörtern und anderen personenbezogenen Daten hängt das Schutzniveau der biometrischen Sicherheit ausschließlich von der Kompetenz desjenigen ab, der die Daten gespeichert hat (wir wissen alle, wie gut das bei LinkedIn funktioniert).

Auch Biometrie bei der Anmeldung erforderlich Anonymität schwierig (wenn nicht unmöglich) für politische Dissidenten, Whistleblower und Menschen, die aus persönlichen oder beruflichen Gründen mehrere Identitäten bewohnen. Befürchtungen über die Minderheitsberichterstattung -Standardüberwachung könnten auch viele Verbraucher in Verlegenheit bringen.

Trotz allem Joseph Pritikin, Leiter des Produktmarketings bei AOptix Technologies, einem Hersteller von Iris-Scannern an Flughäfen und Grenzübergängen, prognostiziert, dass Smartphones, die Biometrie verwenden, eines der Schlüsselidentifikationsgeräte der Zukunft sein werden, teilweise weil die Daten sicher auf dem Gerät selbst gespeichert werden können.

"Es wird eine Kombination aus etwas sein, was ich bin und etwas, was ich habe, wahrscheinlich ein Smartphone ", sagt Pritikin. "Ihre hardwarebasierte Verschlüsselung wäre schwer zu kompromittieren."

Eine ID, um alle zu regulieren

Letztendlich ist die ideale Lösung für die Passwort-Ermüdung die Vereinheitlichung aller Logins und Online-Identitäten. Betreten Sie die Obama-Regierung, die im April 2011 eine öffentlich-private Initiative, die Nationale Strategie für vertrauenswürdige Identitäten im Cyberspace, ins Leben gerufen hat, um ein Identitäts-Ökosystem zu entwickeln, das es den Verbrauchern ermöglicht, jedes Verifikationssystem zu verwenden und nahtlos über alle Standorte hinweg zu funktionieren.

Mit einem solchen System können Sie nachweisen, dass Sie alt genug sind, um Wein online zu kaufen, oder dass Sie für einen Studentenrabatt qualifiziert sind, ohne unbedingt alle Ihre persönlichen Informationen mit jeder Website zu teilen, sagt Jim Fenton, Chefsicherheitsspezialist bei OneID. ein Internet-Identitäts-Management-System. Das System würde es Ihnen auch erlauben, unter einem Pseudonym zu operieren, wenn Sie das so wollen.

Aber die Räder der Regierung gehen langsam um. Im vergangenen Monat hielt der Lenkungsausschuss des NTSIC seine erste Sitzung ab. Zu den Problemen, mit denen es sich letztendlich befassen muss, gehören die Frage, wie viele Informationen zwischen den Parteien ausgetauscht werden sollten und wie viel Kontrolle Verbraucher über diese Informationen haben sollten, sagt Fenton, ein Mitglied der Datenschutzgruppe des Lenkungsausschusses.

Mit anderen Worten: Hilfe ist auf dem Weg, aber es wird nicht bald kommen. In der Zwischenzeit sind wir mit Passwörtern festgefahren. Erstellen Sie einige gute, und stellen Sie sicher, dass sie unter Verschluss sind.