Schiebt Phishing einen Riegel vor

Einloggen ohne Passwort? Neuer Standard macht euer Smartphone zum Schlüssel

Geschätzte Lesezeit: ca. 3 Minuten

Foto von Dennie Beneke

von Dennie Beneke (@debeneke)-

In Kooperation mit der FIDO Alliance hat die internationale Standardisierungsorganisation W3C eine alternative Passwortlösung ausgetüftelt, mit der zukünftig die Texteingabe kryptischer Passwörter hinfällig sein soll. In Verbindung mit dem Browser ersetzen Smartphones dann vielleicht zukünftig das Passwort als Authentifizierung.

Der Passwortschutz ist immer noch ein beliebter und essenzieller Mechanismus, um Accounts oder Geräte zu sichern. Richtig eingegeben erfüllt ein Passwort den Zweck eines Türöffners, der im Besten Fall nur dem Passwort-Inhaber Zugang zu privaten Inhalten gewährt. In der Realität ist der sonst so sichere Schlüssel allerdings der Grund, weshalb sich Cyberkriminelle so häufig Zugriff auf zahlreiche Konten verschaffen können. Einfach, weil neben dem Faktor 'Mensch' unter anderem auch Datenlecks und Phishing-Angriffe dazu beitragen, dass Zeichenfolgen viel zu häufig (viel zu einfach) in die falschen Hände gelangen.

Deshalb tüfteln Web-Spezialisten bereits seit Jahren an Alternativen zum Standard-Log-In. Passwort-Manager mit Master-Passwort, Zwei-Faktor-Authentifizierungen, biometrische Daten oder geografische Passwörterlösungen bestehen bereits, sind aber entweder nicht sicher genug oder finden nicht ihren Weg zur breiten Masse.

Smartphone schickt Authentifizierungsanfrage für Kontoanmeldung

Nun hat das internationale World Wide Web Consortium (W3C) in Zusammenarbeit mit der FIDO Alliance nach jahrelangen Bemühungen eine Lösung zur Hand, die dem textbasierten Passwort mithilfe von Mobilgeräten und einer entsprechenden Browser-Unterstützung an den Kragen will.

Die sogenannte W3C-Passwortlösung ähnelt der Zwei-Faktor-Authentifizierung, bezieht sich als Erkennungsmethode allerdings auf das Mobilgerät in Verbindung mit dem Browser – nicht (wie üblich) das Smartphone, um via SMS oder Standortbestimmung eine Authentifizierung vorzunehmen. Nicht ganz simpel, weshalb 'Android Authority' es anhand des folgenden Beispiels erklärt:

1. Ihr surft eine Webseite auf eurem Smartphone an und erstellt dort ein neues Konto.

2. Das Smartphone fragt: "Möchtest du dieses Gerät bei dieser Webseite registrieren?" – wir sagen: Ja!

3. Im Anschluss fordert euch das Handy auf, eure Identität zu authentifizieren – entweder mit Fingerabdruck, Pin oder Code – um das Konto final zu verifizieren.

4. Sobald ihr die Webseite dann über euren Laptop besucht, passiert folgendes: Ihr gebt euren Benutzernamen ein, jedoch nicht (wie üblich) euer Passwort. Stattdessen sendet euer Smartphone einen Signalton aus.

5. Eine Eingabeaufforderung erscheint: "Möchtest du dich auf der Website beispiel.de anmelden?". Mit der Bestätigung und der darauf folgenden Identifikation durch PIN, Fingerabdruck oder Code seid ihr angemeldet.

6. Die Notwendigkeit eines Passworts entfällt, das übernimmt nun das Handy für euch.

W3C-Passwortlösung aufwändig, dafür deutlich sicherer vor Phishing

Infografik der neuen Passwortlösung von W3C und FIDO Aliance

Die neue Passwortlösung von W3C und der FIDO Aliance soll das textbasierte Passwort zukünftig ablösen. Sie wird als einfach und stark angepriesen und soll im Zusammenspiel von Smartphone und Browser funktionieren.  

Quelle: (Screenshot)  w3.org 

Infografik der neuen Passwortlösung von W3C und FIDO Aliance

Die neue Passwortlösung von W3C und der FIDO Aliance soll das textbasierte Passwort zukünftig ablösen. Sie wird als einfach und stark angepriesen und soll im Zusammenspiel von Smartphone und Browser funktionieren.  

Quelle: (Screenshot)  w3.org 

Sicher ist: Diese Form der Passwortbestätigung ist durchaus komplizierter, als schnell "12345" oder "Lassy55" einzutippen, dafür aber nach Ansicht der involvierten Ideengeber deutlich sicherer. Auf diese Weise könne kein Cyberkrimineller mehr Passwörter abgreifen und sich Zugang zu fremden Konten verschaffen.

Damit die W3C-Passwortlösung den Schutz bietet, den sich die Experten versprechen, muss sichergestellt sein, dass Smartphones nach Verlust oder Diebstahl ihre Authentifikationsfunktion verlieren. Zu diesem Zweck gibt es bereits eine Handvoll von Apps, mit denen sich eine Fernlöschung des Geräts in die Tat umsetzen lässt. Darüber hinaus müssen auch die Browser mitspielen, indem sie die Technologie dahinter übernehmen, um Webseiten diesen Schutz flächendeckend bereitzustellen. Sowohl Google Chrome, Mozilla Firefox als auch Opera und Microsoft Edge haben bereits grünes Licht für den neuen Passwort-Standard gegeben.

"Mit der Web-Authentifizierung geben wir Nutzern, die Firefox verwenden, die Möglichkeit, ihre Browser-Erfahrung um eine weitere Sicherheitsstufe zu erweitern. Den Nutzern mehr Kontrolle darüber zu geben, wie sie ihre Online-Sicherheit verwalten und das Internet sicherer machen, ist für Mozillas Mission, das Internet für alle offen und zugänglich zu halten, von zentraler Bedeutung", so Selena Deckelmann, Senior Director of Engineering bei Mozilla Firefox, zu den Lösungsvorschlägen von W3C und FIDO Alliance.

Quellen: androidauthority.com, fidoalliance.org

Hier erfährst du mehr über: BrowserDatenschutzSicherheit und Google

Sag uns deine Meinung!