Appgate stellte die verschiedenen Modelle der sicheren Authentifizierung vor, um den weit verbreiteten Diebstahl von Passwörtern zu verhindern. Er präsentierte auch eine Zeitleiste der Entwicklung dieses Systems.
Die erfolgreiche Anmeldung mit einem Kennwort garantiert keinen legitimen Zugriff auf ein System und vertrauliche Konten mehr. Aus diesem Grund erklärt Appgate, ein Unternehmen für sicheren Zugriff und weltweit führend in der Cybersicherheit, wie wichtig es ist, eine sichere Authentifizierung zum Schutz vor digitalen Bedrohungen zu implementieren.
Die Anzahl der offengelegten Anmeldeinformationen ist seit 2018 um 300% gestiegen, und dieses Wachstum hat gezeigt, dass Benutzerschlüssel und Kennwörter eine ineffektive Methode zur sicheren Authentifizierung sind. Die überwiegende Mehrheit der Organisationen verlässt sich jedoch weiterhin auf dieses Modell.
Als erstes muss klar sein, dass jeder Authentifizierungsfaktor in eine von drei Kategorien fällt:
- Wissen: Diese Kategorie bezieht sich auf etwas, das bekannt ist. Das einfachste Beispiel ist das Passwort eines Benutzers. Da es jedoch einfach ist, diese Anmeldeinformationen zu bearbeiten, ist die Wissenskategorie bei der Implementierung einer sicheren Authentifizierung am wenigsten effektiv.
- Besitz: Dies bezieht sich auf etwas, das Eigentum ist und als starke Authentifizierungskategorie angesehen wird, da es schwieriger zu manipulieren ist. Dass der Benutzer physisch etwas bei sich haben muss, stellt eine Herausforderung dar, erweist sich jedoch nicht als narrensichere Maßnahme.
- Inhärent: Dies ist die stärkste Kategorie der Authentifizierung. Für Betrüger ist es viel schwieriger, menschliche Merkmale zu reproduzieren, so dass diese inhärente Kategorie weniger ein Ziel für Cyberkriminelle ist.
Jeder Authentifizierungsfaktor hat seine Vor- und Nachteile. Im Folgenden bietet Appgate einen Überblick über die Entwicklung der Authentifizierung.
- Das erste Passwort: Das basierte System wurde in den frühen 1960er Jahren am MIT entwickelt, was bedeutet, dass das Passwort mehr als fünf Jahrzehnte alt ist und auch damals noch nicht sicher war. Obwohl sie einfach zu installieren und kostengünstig sind, sind sie ein schwacher Authentifizierungsfaktor und leicht zu knacken.
- Harte Token wurden erstmals Ende der 1980er Jahre patentiert: Sie gaben ein Einmalpasswort an und zeigten eine Zufallszahl an, die sich regelmäßig änderte. Obwohl sich der eindeutige numerische Code mit der Häufigkeit ändert und die Manipulation erschwert, handelt es sich um ein veraltetes System, das durch viel besser zugängliche intelligente Geräte ersetzt wurde.
- Geräteerkennung: Cookies wurden Ende der 1990er Jahre erstellt und waren Anfang der 2000er Jahre alltäglich. Sie waren das erste Beispiel für die Erkennung von Geräten in großem Maßstab. Diese Technologie wurde weiterentwickelt und verbessert und umfasst verschiedene Methoden, die ständig aktualisiert werden. Betrügerische Akteure können jedoch mithilfe eines RAT (Remote Access Trojan) remote auf ein Gerät zugreifen.
- SMS: Diese waren in den frühen 2000er Jahren weit verbreitet und markierten den Beginn der Verteilung von Passwörtern an Telefone im Allgemeinen. Es ist eine einfache Möglichkeit, ein sicheres Authentifizierungssystem zu implementieren. Dies erweist sich jedoch als unpraktisch für Benutzer, die ihr Gerät verloren haben oder keinen Zugriff mehr auf die registrierte Telefonnummer haben.
- drücken: Blackberry war der erste, der Push-Benachrichtigungen verwendete, aber Google und Apple haben ihn 2009 und 2010 zum Mainstream gemacht. Dieser Faktor zeigt eine Popup-Nachricht auf einem mobilen Gerät an, mit der der Benutzer eine Transaktion oder einen Anmeldeversuch akzeptieren oder ablehnen kann. Dies ist eine sehr sichere Methode, da sie auf Geräteebene erzwungen wird, jedoch davon abhängt, dass der Benutzer Zugriff auf das ursprünglich im Konto registrierte Gerät hat.
- Fingerabdruck-Biometrie: Apples Touch ID hat 2013 die Fingerabdruck-Biometrie populär gemacht. Bei dieser Methode muss lediglich der Fingerabdruck des registrierten Benutzers seine Identität bestätigen, was die Replikation für einen Betrüger erschwert.
- QR-Authentifizierung: Auf der WhatsApp-Website wurde 2015 die QR-Authentifizierung gestartet. QR-Codes bieten eine sichere Authentifizierungsmethode und bieten jedem Benutzer einen eindeutigen Code. Es ist eine schnelle, bequeme und sehr sichere Form der Authentifizierung, kann jedoch nur in Out-of-Band-Prozessen verwendet werden.
- Gesichtsbiometrie: Apples Face ID war eines der ersten Beispiele für Gesichtsbiometrie zur Authentifizierung von Benutzern. Zu den Nachteilen gehört, dass es von der Beleuchtung und dem Gesichtswinkel des Benutzers abhängt und auch von einem Foto oder Video des Benutzers abgefangen werden kann.
Während viele Authentifizierungsmodelle ein gewisses Maß an Schutz bieten, ist kein einzelnes Modell für sich allein effektiv genug. Daher ist es wichtig sicherzustellen, dass Organisationen eine sichere Authentifizierung mithilfe mehrerer Modelle in verschiedenen Kategorien implementieren.
