Authentifikation mit FIDO2

Im Dezember 2018 hat der Hacker "0rbit" persönliche Informationen, Benutzerkonten und Dokumente von Politikern und Personen des öffentlichen Lebens auf Twitter in Form eines Adventskalenders veröffentlicht. Aufgrund der eingeschränkten Reichweite des genutzten Twitter-Kontos hatte dieser Adventskalender zunächst keine große öffentliche Aufmerksamkeit erfahren. Erst Anfang Januar 2019 wurden erste Betroffene und anschließend auch die Medien darauf aufmerksam.

Die Ermittlungen ergaben, dass der Hacker bereits im Vorfeld öffentlich verfügbare Identitätsdaten genutzt hatte, um damit weitere Informationen über die Betroffenen zu sammeln. Solche Leakdaten enthalten oft auch Kombinationen aus Benutzername und Passwort für unterschiedliche Webdienste. Mit diesen Zugangsdaten konnte der Hacker sich etwa in Twitter- oder Facebook-Konten einloggen und dort an weitere Informationen gelangen. So sammelte er über mehrere Monate hinweg die große Anzahl der später veröffentlichten Daten und Dokumente.

Wenn es um die Sicherheit von Online-Accounts geht, ist das Passwort ein nach wie vor essentieller Bestandteil für die Authentifikation. In den letzten Jahren haben einige Webdienste optional noch weitere Faktoren zur Absicherung des Logins hinzugefügt.

Die Zwei-Faktor-Authentifikation von Twitter hat der Hacker "0rbit" allein durch den Versand einer E-Mail an den technischen Support ausgehebelt. Seit Mitte September diesen Jahres fordert auch die europäische Zahlungsdiensterichtlinie [1] einen weiteren Faktor bei der Authentifikation im Online-Banking. Viele Banken haben nun neben der PIN einfach ihr TAN-Verfahren auf den Login-Prozess erweitert. Alle anderen Online-Dienste werden nur dann über den zweiten Faktor abgesichert, wenn der Benutzer dies explizit einstellt.

Das Benutzen einer PIN beziehungsweise Passworts bleibt damit hartnäckig das Mittel der Wahl bei der Authentifikation, obwohl es bereits seit geraumer

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.