Compromised Credentials Detection – Tschuesspasswort
Seit einiger Zeit promoten wir unsere Initiative „Tschuess Passwort – Die Zukunft des Logins“
Gerne greifen wir das auch in diesem Blog Beitrag nochmals auf und stellen dabei die Vorteile von passwortlosen Authentifizierungsverfahren heraus.
Aber von Anfang! Ende Juli sind wir mit einem Beitrag zu den drei häufigsten Hackerangriffe gestartet: https://www.cidaas.com/de/blog-de/identitaetsdiebstahl-hacker-attacken/, und dann mit einem Beitrag Ende August, der erklärt warum 4 von 5 Datenschutzverstößen mit schwachen oder gestohlenen Passwörtern zusammenhängen: https://www.cidaas.com/de/blog-de/datenverstoesse-durch-passwoerter/.
Es geht um ein inhärentes Problem von Geheimnissen: ich kann mit einfachem Ausprobieren irgendwann das Geheimnis erraten.
Dieses Problem hat man bisher versucht zu lösen, indem erstens versucht wurde Bruteforce Attacken zu verhindern oder zumindest auszubremsen und zweitens die Passwortstärke entsprechend hoch definiert wurde. Als kurzes Beispiel ein Passwort mit 6 Kleinbuchstaben (26 Buchstaben ohne äöü und ß), z. B. geheim ergeben 266 mögliche unterschiedliche Passwörter. Setzt man die Passwortstärke entsprechend hoch auf ein Passwort mit 12 Zeichen, die eine Kombination aus Groß- und Kleinbuchstaben (ohne äöü und ß), der 10 möglichen Ziffern und 10 Sonderzeichen bestehen (z.B. !, @, #, $, %, ^, &, ?, / und +), z. B. Geh3imn1ss!2 ergeben sich 7212 mögliche unterschiedliche Passwörter. Das macht es einem Angreifer deutlich schwerer, das Passwort zu erraten.
Nun kommen wir aber zum eigentlichen Problem von Geheimnissen – dem Menschen. Wir Menschen verwenden nicht zufällig gewählte Kombinationen aus Ziffern- und Zeichen, wir folgen bestimmten Mustern und nutzen bestimmte Variationen, um so Passwörter zu schaffen, die für uns „einfacherer“ zu merken sind und den Passwortrichtlinien der Digitalen Portale genügen, so auch das Beispiel von oben Geh3imn1ss!2. Das führt dazu, dass wir oft ein und dasselbe Passwort, eine Erweiterung oder kleine Variation davon verwenden. Und schon wird es für den Angreifer leichter. Sie müssen nicht den gesamten Lösungsraum von 7212 adressieren, sondern können den Lösungsraum durch Modelle, Pattern und insbesondere mit bereits gestohlenen Passwörtern strukturiert durchsuchen.
Wie kann man dieses Problem lösen? – Die Antwort ist, man kann es nicht!
Nur weil man Nutzer dazu auffordert sichere Passwörter und für jedes Portal gänzlich unterschiedliche Passwörter zu vergeben, werden Sie dies nicht tun. Studien liefern die unterschiedlichsten Zahlen zu der Anzahl an Identitäten bzw. Accounts, die Nutzer auf digitalen Portalen haben, von 30 bis weit über 100 – die Größenordnungen zeigt, dass Nutzer viele Accounts haben und sich nicht für alle ein unterschiedliches Passwort merken können.
Da für viele Personen der traditionelle Login gang und gebe ist, und sich noch etwas halten wird, arbeiten wir daran, die Sicherheit bei der bestehenden Authentifizierung mit Passwörtern kontinuierlich zu erhöhen. Dabei freuen wir uns das neue cidaas Feature Compromissed Credentials Detection anzukündigen, was seit dieser Woche im Beta Test ist. Wir bieten mit unserem neuen Feature die Möglichkeit, die Passwörter von Nutzern gegen bereits gestohlene Passwörter zu prüfen. Durch eine Integration in den Registrierungsprozess, oder den Passwort-Ändern- bzw. -Vergessen Prozess, kann dem Nutzer angezeigt werden, dass ihr gewähltes Passwort bereits mehrmals geknackt bzw. in gestohlenen Passwort-Datensätzen aufgetaucht ist. Auf diese Weise helfen wir Nutzern sichere Passwörter zu wählen, die Hacker nicht durch den Einsatz von gestohlenen Datensätzen einfach erraten können.
Lasst uns dennoch noch einen Schritt weiterdenken. Neben der Merkfähigkeit schwingt auch ein noch viel wichtigeres Kriterium der Menschen mit – der Benutzerkomfort. Nutzer suchen und verlangen heute den bestmöglichen Benutzerkomfort und strafen Anbieter von digitalen Services mit Nichtbenutzung, wenn sie diesen nicht geboten bekommen. Sei es ein Shop bei dem sie den Kauf abbrechen und zu einem anderen Anbieter wechseln, weil das Registrierungsformular zu lange ist, oder die App bei der der Nutzer nicht angemeldet bleibt oder sich einfach mit den Device Biometrics authentifizieren kann, sondern mit einem traditionellen Benutzername und Passwort Login auseinandersetzen muss.
Das alles sind Indikatoren, dass der Lebenszyklus des Passwortes für die breite Masse sich in absehbarer Zeit dem Ende nähert. Zeitgleich tun sich immer mehr passwortlose Alternativen auf, mit denen sich Nutzer sicher und komfortable authentifizieren. Wir, bei cidaas, wollen die Passwortlose Authentifizierung weiter vorantreiben und haben daher die Initiative www.tschuesspasswort.de ins Leben gerufen.
Um die Sicherheit weiter zu erhöhen, können Multi-Faktor-Authentifizierungsmethoden in den Login Prozess integriert werden. Um hierbei den Komfort weiter hochzuhalten, eignet sich eine risikobasierte Multi-Faktor-Authentifizierung, mit der nur bei einem Verdacht auf Identitätsdiebstahl oder bei erhöhtem Risiko eine Multi-Faktor-Authentifizierung angefragt wird.
Ganz besonders freuen wir uns aber, unseren Kunden mit den Passwortlosen Authentifizierungsverfahren einen Wettbewerbsvorteil in Puncto Sicherheit und Komfort bieten zu können.