Datenschutz: Mit Hardware-Authentifizierung zu mehr Sicherheit

Besserer Schutz der eigenen Daten mittels Zwei-Faktor-Authentifizierung

Ein Gastbeitrag von Stina Ehrensvärd, CEO von Yubico

[datensicherheit.de, 24.01.2019] Das Thema Datenschutz ist besonders wegen immer wieder in Erscheinung tretender Datenskandale ein zentrales Thema. Oft steht jedoch einem ausreichenden Schutz der eigenen Daten ein erhöhter Aufwand entgegen, etwa durch längere und komplexere Passwörter oder durch die Nutzung temporärer Zugangsdaten. Eine Hardware-Authentifizierung kann hierbei den Mittelweg zwischen hoher Sicherheit und Komfort darstellen.

Erst kürzlich kamen durch ein weitreichendes Datenleck viele mitunter private Informationen an die Öffentlichkeit. Der mittlerweile gefasste Hacker konnte mithilfe gestohlener Zugangsdaten auf Privat-Clouds sowie auf E-Mail-Verläufe mehr oder weniger prominenter Personen und Politikern zugreifen. Diese Daten kamen dann nach und nach an die Öffentlichkeit.

Wie aus den Daten ersichtlich wurde, stellt auch die erforderliche Komplexität von Passwörtern Nutzer vor Herausforderungen. Viele Nutzer sichern ihre Daten immer noch mit zu einfachen Passwörtern wie dem eigenen Geburtsdatum oder „12345“. Diese sind auch für technisch nicht versierte Angreifer leicht zu erraten, wodurch Daten unnötig in Gefahr gebracht werden.

Um sich zukünftig vor solchen Angriffen in Zukunft zu schützen sollten sich Privatpersonen, aber auch Unternehmen über ihren Datenschutz und ihre Passwortpolitik Gedanken machen und beides gegebenenfalls verbessern.

Besserer Datenschutz mit Hilfe von Zwei-Faktor-Authentifizierung

Neben komplexeren Passwörtern kann eine Zwei-Faktor-Authentifizierung (2FA) den Schutz der eigenen Daten erheblich verbessern.

Bei einer 2FA handelt es sich um eine Sicherung, die zusätzlich zu Anmeldedaten wie Benutzernamen und Passwort für Sicherheit sorgt. Dabei kann es sich beispielsweise um einen mobilen Authentikator handeln, wie er bereits beim Online-Banking Verwendung findet oder einen USB-Security-Token. Letztere sind von verschiedenen Herstellern erhältlich, z. B. Google und Yubico.

Ist eine Zwei-Faktor-Authentifizierung eingerichtet, wird der Nutzer beim Login zusätzlich zu seinen gewohnten Nutzerdaten, wie Username und Passwort, nach dem zweiten Faktor gefragt. Im Beispiel des SecurityTokens muss der Nutzer diesen dann mit seinem Rechner verbinden. Erst dann kann er auf sein Konto zugreifen.

Sollte ein Krimineller in den Besitz der Nutzerdaten gelangt sein, kann er ohne diesen zweiten Faktor nicht auf die Daten zugreifen.

Bild: Yubico

Stina Ehrensvärd, CEO von Yubico

Erhöhte Nutzerfreundlichkeit durch Passwordless-Login

Neben der Zwei-Faktor-Authentifizierung gibt es noch die Möglichkeit, Accounts und Geräte per passwortlosem Login zu schützen. Hierfür können Security Tokens genutzt werden, die im Gegensatz zu 2FA-Tokens keine weiteren Daten erfordern.

Bei der Anmeldung muss der Nutzer nur seinen Token mit dem jeweiligen Rechner bzw. Smartphone verbinden, um auf sein Konto zugreifen zu können.

Der Vorteil liegt auf der Hand: Anstatt sich lange Passwörter für jedes Online-Konto merken zu müssen reicht es aus, den Passwordless-Login-Token mit seinem Gerät zu verbinden, um das gewünschte Konto zu entsperren. Einige der Tokens können nicht nur zur Sicherung von Online-Konten genutzt werden, sondern auch Computer und Smartphones schützen, letztere durch Near Field Control (NFC).

Will der Nutzer beispielsweise seinen normalerweise passwortgeschützten Rechner mit Windows 10 entsperren, muss er nur seinen Token per USB verbinden und gegebenenfalls einen Knopf auf dem Token drücken.

Worauf Nutzer bei 2FA und Passwordless-Login achten sollten

Wer überlegt, seine Passwortsicherheit per 2FA oder Passwordless-Login zu verbessern, sollte folgende Ratschläge bei der Auswahl berücksichtigen:

• Herkuftsland: Hier gibt es mitunter große Unterschiede. Vor allem sollten Interessierte darauf achten, wo die Geräte hergestellt wurden. Wenn diese in Ländern hergestellt werden, die bereits vorher durch Industriespionage aufgefallen sind, sollte man eher davon absehen. Stammen die Tokens von einem europäischen Anbieter, lässt sich das Risiko der Industriespionage reduzieren.
• Energieversorgung: Während einige Sicherheitsschlüssel per Batterie oder Akku mit Energie versorgt werden, nutzen andere nur die anliegende Spannung der USB-Ports. Per NFC agierende, akkulose Tokens werden nahe ans Smartphone gehalten und drahtlos mit Energie versorgt. Geräte ohne interne Stromversorgung haben den Vorteil, dass sie nicht aufgeladen werden müssen und immer einsatzbereit sind. Man kann somit das Problem umgehen, dass bei leeren Tokens nicht auf Daten zugegriffen werden kann.
• Unterstützte Dienste: Je nachdem welche Online-Dienste und Programme man nutzt, sollten diese auch vom Sicherheitstoken unterstützt werden. Besonders Windows-Nutzer können sich für Modelle entscheiden, die sich auch zur Entsperrung von Windows-PCs oder Microsoft-Konten eignen. Gängige Anwendungen wie Dropbox, Facebook oder YouTube werden von einigen Tokens unterstützt.
• Einfache Einrichtung und Nutzung: Um eine möglichst hohe Nutzerfreundlichkeit zu gewährleisten, müssen Handbücher, die von Herstellern bereitgestellt werden, verständlich und, im besten Falle, auf deutsch vorhanden sein. Bei der Nutzung selbst dürfen keine Fehler auftreten. Interessierte sollten sich deshalb vorher auf Testportalen über die Keys informieren, die ihren Bedürfnissen entsprechen.

Fazit

Immer wieder kommt es zu Datenlecks, in deren Folge große Mengen an Nutzerdaten veröffentlicht werden. Mit der richtigen Zwei-Faktor-Authentifizierung oder passwortlosem Login können Unternehmen und Privatpersonen ihre Daten effektiv vor unberechtigtem Zugriff schützen, selbst wenn sie direkt von einem Leak betroffen waren.

Password-less-Login-Schlüssel bieten neben der verbesserten Sicherheit auch einen erhöhten Komfort für Anwender: Anstatt sich Passwörter merken zu müssen, reicht es aus, den Token zu nutzen, um auf seine Daten zuzugreifen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.01.2019
orbit-Datenleak kein Einzelfall: Politik muss folgerichtig handeln