Im August, die Das Internetinfrastrukturunternehmen Cloudflare war eines von Hunderten von Zielen einer massiven kriminellen Phishing-Aktion, bei der es gelang, zahlreiche Technologieunternehmen zu verletzen. Während einige Cloudflare-Mitarbeiter durch die Phishing-Nachrichten ausgetrickst wurden, haben die Angreifer konnte nicht tiefer graben in die Systeme des Unternehmens. Das liegt daran, dass jeder Mitarbeiter im Rahmen der Sicherheitskontrollen von Cloudflare einen physischen Sicherheitsschlüssel verwenden muss, um seine Identität nachzuweisen, während er sich bei allen Anwendungen anmeldet. Wochen später das Unternehmen angekündigt eine Zusammenarbeit mit dem Hardware-Authentifizierungstoken-Hersteller Yubikey, um Cloudflare-Kunden vergünstigte Schlüssel anzubieten.
Cloudflare war jedoch nicht das einzige Unternehmen, das den Sicherheitsschutz von Hardware-Token hoch einschätzte. Anfang dieses Monats kündigte Apple die Unterstützung von Hardwareschlüsseln für Apple IDs an, sieben Jahre nach der ersten Einführung der Zwei-Faktor-Authentifizierung für Benutzerkonten. Und vor zwei Wochen der Vivaldi-Browser angekündigt Hardwareschlüsselunterstützung für Android.
Der Schutz ist nicht neu, und viele große Plattformen und Unternehmen unterstützen seit Jahren die Einführung von Hardwareschlüsseln und verlangen, dass Mitarbeiter sie wie Cloudflare verwenden. Aber dieser jüngste Anstieg des Interesses und der Implementierung ist eine Reaktion auf eine Reihe eskalierender digitaler Bedrohungen.
„Physische Authentifizierungsschlüssel gehören heute zu den effektivsten Methoden zum Schutz vor Kontoübernahmen und Phishing“, sagt Crane Hassold, Director of Threat Intelligence bei Abnormal Security und ehemaliger Analyst für digitales Verhalten beim FBI. „Wenn Sie es als Hierarchie betrachten, sind physische Token effektiver als Authentifizierungs-Apps, die besser sind als die SMS-Verifizierung, die effektiver ist als die E-Mail-Verifizierung.“
Die Hardwareauthentifizierung ist sehr sicher, da Sie den Schlüssel physisch besitzen und vorweisen müssen. Das bedeutet, dass ein Phisher im Internet nicht einfach jemanden dazu verleiten kann, sein Passwort oder sogar ein Passwort plus einen Zweitfaktor-Code zu übergeben, um in ein digitales Konto einzudringen. Sie wissen das bereits intuitiv, denn das ist die ganze Prämisse von Türschlüsseln. Jemand würde Ihren Schlüssel brauchen, um Ihre Haustür aufzuschließen – und wenn Sie Ihren Schlüssel verlieren, ist das normalerweise nicht das Ende der Welt, weil jemand, der ihn findet, nicht weiß, welche Tür er aufschließt. Für digitale Konten gibt es verschiedene Arten von Hardwareschlüsseln, die auf Standards eines Technologieindustrieverbands namens FIDO Alliance basieren, darunter Smartcards mit einem kleinen Schaltkreischip, Tap-Karten oder Fobs, die Nahfeldkommunikation verwenden. oder Dinge wie Yubikeys, die an einen Anschluss an Ihrem Gerät angeschlossen werden.
Sie haben wahrscheinlich Dutzende oder sogar Hunderte von digitalen Konten, und selbst wenn alle Hardware-Token unterstützen würden, wäre es schwierig, physische Schlüssel für alle zu verwalten. Aber für Ihre wertvollsten Konten und diejenigen, die ein Fallback für andere Logins sind – nämlich Ihre E-Mail – kann die Sicherheit und Phishing-Resistenz von Hardwareschlüsseln ein erhebliches Seelenfrieden bedeuten.
In der Zwischenzeit hat die Technologiebranche nach jahrelanger Arbeit im Jahr 2022 endlich große Schritte in Richtung einer lang versprochenen passwortlosen Zukunft unternommen. Der Schritt basiert auf einer Technologie namens „Passkeys“, die ebenfalls auf FIDO-Standards basiert. Mittlerweile unterstützen Betriebssysteme von Apple, Google und Microsoft die Technologie, viele andere Plattformen, Browser und Dienste haben sie übernommen oder sind dabei, dies zu tun. Ziel ist es, Benutzern die Verwaltung ihrer digitalen Kontoauthentifizierung zu erleichtern, damit sie keine unsicheren Problemumgehungen wie schwache Passwörter verwenden. So sehr Sie es sich auch wünschen, Passwörter werden dank ihrer schieren Allgegenwart nicht so schnell verschwinden. Und trotz all der Aufregung um Passkeys sind Hardware-Token immer noch eine wichtige Schutzoption.
„FIDO hat Passkeys irgendwo zwischen Passwörtern und hardwarebasierten FIDO-Authentifikatoren positioniert, und ich denke, das ist eine faire Charakterisierung“, sagt Jim Fenton, ein unabhängiger Berater für Identitätsschutz und -sicherheit. „Während Passkeys wahrscheinlich die richtige Antwort für viele Verbraucheranwendungen sein werden, denke ich, dass hardwarebasierte Authentifikatoren weiterhin eine Rolle für Anwendungen mit höherer Sicherheit spielen werden, beispielsweise für Mitarbeiter von Finanzinstituten. Und mehr sicherheitsorientierte Verbraucher sollten auch die Möglichkeit haben, hardwarebasierte Authentifikatoren zu verwenden, insbesondere wenn ihre Daten zuvor verletzt wurden, wenn sie ein hohes Vermögen haben oder wenn sie sich nur Sorgen um die Sicherheit machen.“
Während es zunächst entmutigend erscheinen mag, Ihrer To-Do-Liste für digitale Sicherheit eine weitere bewährte Methode hinzuzufügen, sind Hardware-Token tatsächlich einfach einzurichten. Und Sie werden eine Menge Kilometer sammeln, wenn Sie sie nur auf ein paar, ähm, Schlüssel Konten.