Zeige Artikel getaggt mit zwei-faktoren-authentifizierung

Veröffentlicht von am in CS Tech
Sicher unterwegs im Netz

In letzter Zeit wurde in den Medien viel geschrieben zum Thema Datensicherheit im Internet. Der Auslöser war die sogenannte Heartbleed-Sicherheitslücke, ein Fehler in der weitverbreiteten OpenSSL Software-Bibliothek, welche auf einem grossen Teil der Internet-Server für verschlüsselte Kommunikation eingesetzt wird. Dieser Fehler blieb zwei Jahre zumindest offiziell unentdeckt und erlaubte es, persönliche Benutzer-Passwörter und sogar Kryptographie-Schlüssel aus dem Arbeitsspeicher der betroffenen Server auszulesen. Der angerichtete finanzielle Schaden ist kaum zu beziffern, alleine die Kosten für neue SSL-Zertifikate geht in Millionenhöhe. Der Arbeitsaufwand für Systemadministratoren zum Beheben der Lücke dürfte ein Vielfaches davon betragen.

Es muss davon ausgegangen werden, dass Hacker systematisch Passwörter von betroffenen System ausgelesen haben mit Hilfe des Heartbleed-Bugs. Wer seine Passwörter nach dem Bekanntwerden von Heartbleed für die betroffenen Seiten (z. B. bei Facebook, Google, Yahoo, Instagram, etc.) nicht geändert hat, muss früher oder später mit bösen Überraschungen rechnen. Zudem verwenden viele Internet-Benutzer verständlicherweise das gleiche Passwort auf mehreren Seiten. Wie soll man sich auch dutzende verschiedene Passwörter merken können? Man könnte es natürlich mit Wortkombinationen nach xkcd-Methode versuchen:

xkcd-passwords.jpg

Aber auch diese Methode ist nicht praktikabel, wenn man sich mehrere Passwörter merken soll, wie der Sicherheitsexperte Troy Hunt zu Recht kritisiert.

Passwort-Manager

Die derzeit sinnvollste Lösung zur Erstellung und Verwaltung einer Vielzahl einzigartiger Passwörter ist die Verwendung eines Passwort-Managers. Dabei hat man die Wahl zwischen einem Browser-Passwortmanager oder einem Cloud-Passwortmanager wie Lastpass, wobei die Passwörter auf allen Geräten über ein einziges Masterpasswort verfügbar sind. Die Verwendung eines Passwort-Managers bietet folgende Vorteile:

  • Über ein Masterpasswort hat man Zugriff auf alle anderen Passwörter.
  • Man kann sich für jedes Login automatisch ein spezifisches und sicheres Zufallspasswort erstellen lassen.
  • Die gespeicherten Passwörter werden im Browser automatisch eingefüllt, womit man sich das lästige und potentiell über Keylogger-Malware abgreifbare Eintippen ersparen kann.
  • Wenn Sicherheitslücken wie Heartbleed bekannt werden, können Passwörter schnell geändert und gespeichert werden, ohne dass man sich diese neu merken muss.
  • Die Passwörter sind auf verschiedenen Computern, Browsern, Tablets und Smartphones verfügbar, wenn ein Cloud-Passwortmanager verwendet wird.

Das Masterpasswort muss natürlich besonders sicher sein und gut geschützt werden. Auf fremden Computern wie beispielsweise im Internet-Cafe sollte zur einmaligen Eingabe des Masterpassworts ein virtuelles Keyboard verwendet werden, wobei Tasten mit der Maus auf dem Bildschirm angeklickt werden. Damit haben installierte Keylogger keine Chance das Masterpasswort abzugreifen:

virtual-keyboard.png

Zwei-Faktoren-Authentifizierung

Für zusätzlichen Schutz besonders wichtiger Benutzerkonten (z. B. Google- oder Facebook-Konto) empfiehlt sich das Einrichten der sogenannten Zwei-Faktoren-Authentifizierung. Dabei wird beim Zugriff auf das Konto von nicht als vertrauenswürdig eingestuften Computern ein zusätzlicher kurzer Code verlangt, welcher per SMS oder Authenticator-App auf dem Smartphone erscheint:

google-authenticator_20140512-142405_1.jpg

Fazit

Die Heartbleed-Sicherheitslücke hat wieder einmal aufgezeigt, dass das Internet alles andere als sicher ist. Mit einem Passwort-Manager zur Verwaltung einzigartiger Zufallspasswörter kann das Risiko von Hackerangriffen auf die eigenen Benutzerkonten aber stark eingeschränkt werden. Zudem kann man speziell wichtige Benutzerkonten zusätzlich mit Zwei-Faktor-Authentifizierung schützen.

Show page in

Was Kunden
über uns sagen

Besonders positiv fand ich die unkomplizierte und effektive Zusammenarbeit. Kurzum: Ich würde jederzeit wieder mit cloud solutions zusammenarbeiten.

Prof. Dr. Ulrich Orth
Universität Basel, Schweiz

 
 
 
The future of the PHP PaaS is here: Our journey to Platform.sh
CS Tech
In our team we’re very confident in our ability to produce high quality software. For the past decad...