Was macht die Zwei-Faktor-Authentifizierung fehlerhaft?
Die Zwei-Faktor-Authentifizierung ist in sensiblen Umgebungen wie Banken, Zahlungsabwicklungen, sozialen Medien und anderen Plattformen, auf denen Sie viele persönliche Informationen teilen, die Sie sicher nicht möchten, dass jemand anderes sie in die Finger bekommt, alltäglicher geworden. Es war eine sehr effektive Möglichkeit, sicherzustellen, dass Sie die einzige Person sind, die Zugriff auf Ihre Daten hat, aber es gibt einige schlechte Nachrichten: Es ist fehlerhaft. Nicht alles ist jedoch eine schlechte Nachricht. Es scheint, dass einige Unternehmen daran arbeiten, eine neue Form der Authentifizierung zu erstellen, die einige dieser Fehler berücksichtigt.
Ein Primer zur Zwei-Faktor-Authentifizierung
Der Kern davon ist: Wenn Sie etwas außer einem Benutzernamen und einem Passwort verwenden müssen, um in ein Konto zu gelangen, verwenden Sie höchstwahrscheinlich die Zwei-Faktor-Authentifizierung, um in das Konto zu gelangen.
Meistens sehen Sie dies, wenn Sie sich zum ersten Mal bei einer Banking-App anmelden oder eine App wie Uber verwenden. Es kommt normalerweise in Form einer SMS-Bestätigung, um sicherzustellen, dass Sie der Besitzer der Telefonnummer sind, die mit dem Konto registriert wurde.
Einige Banken geben Ihnen einen digitalen Token-Generator (ähnlich wie die Authenticator-App von Google), der jede Minute eine Reihe von Zahlen generiert, die Sie verwenden müssen, um sich bei Ihrem Konto anzumelden.
Andere Anwendungen verwenden ein intelligentes automatisches Erkennungssystem, das Ihre Telefonnummer anruft und bei Eingang des Anrufs abhört, um Ihnen mitzuteilen, dass Sie das Telefon besitzen.
In einigen Fällen könnte die Zwei-Faktor-Authentifizierung sogar biometrische Daten wie einen Fingerabdruck oder Ihr Gesicht umfassen. Einige dieser Methoden werden anstelle eines Passworts verwendet, um bestimmte Dinge wie das Entsperren Ihres Telefons zu tun.
Alle diese Methoden wurden erfunden, um genau zu beweisen, dass du du bist.
Die Fliege in der Salbe
Der größte Fehler moderner Authentifizierungsmethoden ist, dass sie die Tatsache, dass Menschen sie benutzen, nicht berücksichtigen. Wir finden immer neue und kreative Möglichkeiten, unsere Daten zu missbrauchen, und keine Sicherheitsmaßnahme, die heute existiert, kann dies wirklich kompensieren.
In vielen Fällen fallen uns Social-Engineering-Systeme ein, die uns dazu bringen, wichtige Informationen an Personen weiterzugeben, die versuchen, auf unsere Konten zuzugreifen.
Es besteht auch die Gefahr von Diebstahl. Wenn jemand Ihr Telefon stiehlt, haben Sie jetzt eine Möglichkeit, Bestätigungs-SMS zu erhalten. Wenn jemand Ihr Token stiehlt, kann er Ihr Bankkonto authentifizieren.
Fingerabdrücke? Sie sind auch verletzlich. So ist Gesichtserkennung.
Eine neue Grenze mit eigenen Vorbehalten
Im Herbst 2017 gab eine Gruppe von Mobilfunkanbietern in den USA bekannt, dass sie eine neue Form der Authentifizierung veröffentlichen werden, die alle oben genannten Fehler beheben soll. Während dies alles gut klingt, gibt es nicht viele Details darüber, wie diese neue Authentifizierungsmethode funktionieren würde.
Die Gruppe, die als Mobile Authentication Taskforce bekannt ist, sagte, dass ihre neue Methode "mobile Identitätsrisiken reduzieren würde, indem sie Daten- und Aktivitätsmuster in einem mobilen Netzwerk analysiert, um mit hoher Wahrscheinlichkeit vorherzusagen, ob der Benutzer das ist, was er sagt . "
Das klingt ein bisschen so, als würden sie Bewegungen und Datenmuster von mobilen Benutzern verfolgen und daraus einen "Fingerabdruck" ihrer Identität erstellen. Wenn es zu sehr zu einer Abweichung von diesem Muster kommt (z. B. wenn sich Ihr Telefon plötzlich in London befindet und sich nicht in die Websites einloggt, in denen Sie sich normalerweise anmelden), dann ist es sicher anzunehmen, dass die Identität des Benutzers kompromittiert wurde.
Auch wenn dies für manche vielleicht aufregend klingt, gibt es bei anderen, die sich um Privatsphäre und ihre Fähigkeit zur Kontrolle ihrer Daten sorgen, Anlass zur Sorge. Viele Menschen fühlen sich möglicherweise nicht wohl damit, dass ihre Mobilfunkanbieter alle ihre Bewegungen und alle Daten, die sie über das Internet senden, verfolgen. Und was ist, wenn eine Regierung Datensätze dieser Daten vorladen will?
Auf welcher Seite stehst du? Glauben Sie, dass die neue Authentifizierungsmethode der MAT einen Schritt vorwärts bei der Verhinderung von Hackern darstellt, oder sind die Datenschutzbedenken genug, um Sie von der Idee abzubringen? Sagen Sie uns, was Sie in einem Kommentar denken!