Passwörter saugen. Lass uns hier keine Worte verlieren oder um den heißen Brei herumreden. Jeder hasst Passwörter, und sie haben Recht, dies zu tun. Passwörter sind der Fluch unserer modernen Online-Existenz. Es ist kein Wunder, dass sich unsere kollektiven Ohren steigern und wir sehnen uns danach zu glauben, wenn wir den Satz hören: Passwort Killer! Sei ruhig und nimm mein Geld!
In diesem Artikel werde ich erklären, wie wir zu diesem schrecklichen Ort kamen und wie wir das Beste daraus machen konnten. Ich werde dann eine Reihe neuer Technologien enthüllen, die behaupten, "Passwort-Killer" zu sein ... und erklären, warum wir sie um jeden Preis vermeiden sollten. Und schließlich stelle ich euch ein süßes, flauschiges Tier vor, das uns alle retten kann.
Die missliche Lage des Passworts
Lassen Sie uns ein wenig zurückspulen und uns ansehen, wie wir überhaupt hierher gekommen sind. Sobald wir von der realen Welt in den Cyberspace gezogen sind, waren wir mit einem Problem konfrontiert: Woher wissen wir, dass Sie sind, wer Sie sagen, Sie sind? Dies ist das Problem der Authentifizierung - eine sichere und robuste Methode zur Überprüfung Ihrer Identität zu finden. Beachten Sie jedoch, dass dies nicht das Gleiche ist, als herauszufinden, wer Sie sind. Cyberspace bietet Benutzern Anonymität (oder zumindest die Möglichkeit der Anonymität). Während dies bei Finanztransaktionen normalerweise nicht der Fall ist (zB Banking, Shopping), müssen Sie in den meisten Fällen nur einen Alias für sich selbst erstellen, der nicht an Ihren Namen, Ihre Adresse usw. gebunden ist.
Die Identität wird normalerweise durch eine oder mehrere der folgenden Methoden festgelegt:
- Etwas, das du kennst (Passwort, PIN, Antworten auf "geheime Fragen")
- Etwas, was du bist (Fingerabdruck, Iris, Gesicht)
- Etwas was du hast (Abzeichen, Foto ID, Handy)
Während des größten Teils des Internet-Zeitalters waren die verfügbaren Authentifizierungsmethoden im Cyberspace begrenzt. Das einzige Eingabegerät, das Sie garantieren konnten, war eine Tastatur. Die logischste Form der Identifizierung, die auf diesen kleinsten gemeinsamen Nenner ausgerichtet war, war das Passwort. Und hier sind wir.
Damit passwortgestützte Systeme gut funktionieren, müssen Benutzer sie haben Ein anderes Passwort für jedes Konto und jedes Passwort darf nicht erraten werden. Leider ist das menschliche Gehirn dieser Aufgabe einfach nicht gewachsen - und so kommen die meisten Leute mit 2-3 schlechten Passwörtern und benutzen sie immer wieder. Hacker wissen das und haben automatisierte Tools entwickelt, die die meisten von Menschen erstellten Passwörter innerhalb von Minuten oder sogar Sekunden knacken können. Sie beginnen damit, gewöhnliche Passwörter und Phrasen zu erraten, und dann jede Kombination von Wörtern im Wörterbuch, Songtexte, Filmtitel, Sportteams, gebräuchliche Namen, Daten usw. - sowohl rückwärts als auch vorwärts, auch wenn einige Buchstaben durch Zahlen ersetzt werden (Null für "0" usw.). Mere Sterbliche haben einfach keine Chance.
Es gibt jedoch eine einfache Lösung für dieses Problem: ein Passwort-Manager. Diese hilfreichen Anwendungen (wie LastPass oder 1Password) werden nicht nur alle Ihre Kennwörter speichern und automatisch eingeben, sie werden auch helfen, lächerlich starke Kennwörter für jedes Konto zu erstellen, das Sie haben. Trotz des offensichtlichen Nutzens von Passwort-Managern verwenden nur sehr wenige Leute sie (nur 8% laut einem Bericht von Siber Systems letztes Jahr).
Da sicherheitsbewusste Unternehmen und Regierungen wissen, wie ungeschickt Menschen gute Passwörter erstellen, verlangen sie jetzt zwei Formen von "ID", die sogenannte "Zwei-Faktor-Authentifizierung". Dies besteht in der Regel aus einem Passwort und einem einmaligen numerischen Code, der per SMS an Ihr Smartphone gesendet oder von einer Smartphone-Anwendung generiert wird. Selbst wenn es den bösen Jungs gelingt, Ihr Passwort zu erraten, müssen sie immer noch im Besitz Ihres Smartphones sein, um auf Ihr Konto zugreifen zu können. Dies ist der aktuelle Goldstandard und kann (bei korrekter Implementierung) eine relativ robuste Sicherheit bieten. Leider erfordert es immer noch dieses gefürchtete Passwort. Und Passwörter sind immer noch schlecht. Sicher in dieser Ära der unglaublich leistungsstarken Computer, ausgeklügelten Audio- und Videoverarbeitung und allgegenwärtigen Smartphones voller Sensoren, können wir uns etwas besseres einfallen lassen ...
Gib den Passwort-Killer ein!
Google, der Hersteller des Android-Betriebssystems und der Nexus- und Pixel-Linie von Smartphones, glaubt, dass es endlich geschafft ist: Sie glauben, dass sie eine Technologie entwickelt haben, die das ehrwürdige Passwort als primäre Authentifizierungsmethode "tötet". Mit der oben genannten Vielzahl von Sensoren in Smartphones, werden sie in der Lage sein, Sie zu erkennen, indem Sie eine Kombination aus Ihrem Gesicht, Ihre Iris, Ihre Stimme, Ihren Standort, Ihre Tippgeschwindigkeit und Stil, welche Apps verwenden Sie und wann Sie sie verwenden sogar wie du gehst. Zusammengenommen entwickeln sie einen "Trust Score" - einen geheimen Algorithmus, um zu bestimmen, wie wahrscheinlich es ist, dass Sie Sie sind. Diese Punktzahl wird Ihren Handy-Apps zur Verfügung gestellt. Sie haben dann die Möglichkeit, auf ein Passwort zu verzichten, wenn sie ausreichend sicher sind, wer das Telefon hält. Offensichtlich erfordern verschiedene Apps ein unterschiedliches Selbstvertrauen: Während "Jewel Mania" vielleicht "loosey-goosey" ist, wird Wells Fargo wahrscheinlich ziemlich streng sein (und das zu Recht).
Du denkst vielleicht: Wie cool ist das? Keine Passwörter mehr! Es wird nur wissen, dass ich es bin! Aber lass uns einen Moment zurücktreten ... lass uns überlegen, was hier wirklich vor sich geht und die Implikationen untersuchen.
Googles Trust-Score-System ist eine von mehreren neuen "Passwort-Killer" -Technologien am Horizont. Weitere Beispiele sind die Spracherkennung von Unternehmen wie der Barclays Bank und eine neue Windows 10-Gesichtserkennungsfunktion namens Windows Hello. All diese Technologien basieren auf biometrischen Daten - das ist etwas, was Sie sind (im Gegensatz zu etwas, das Sie kennen: Passwörter). Was diese Systeme anstreben, ist es, auf irgendeine Art und Weise Wege zu finden, um Sie positiv und robust zu identifizieren. Mit Hilfe verschiedener Sensoren erfassen diese Systeme alle Arten von Daten, um für Sie eine "biometrische Signatur" zu entwickeln, die Ihre physische Essenz in eine digitale Darstellung zerlegt. Diese Signaturen werden dann gespeichert, damit das System sie später für Ihre Identifizierung verwenden kann. Dabei werden die aktuellen Sensordaten mit den gespeicherten Daten verglichen und festgestellt, ob sie übereinstimmen.
Passwort oder Benutzerkennung?
In meinen Augen gibt es drei Hauptprobleme mit dem biometrischen Ansatz der Authentifizierung. Zuallererst, auf der grundlegendsten Ebene, stellen Ihre biometrischen Informationen mehr einen Benutzernamen oder eine Benutzer-ID als ein Passwort dar - und eine ziemlich unflexible und gebrechliche Benutzer-ID. Auf der einen Seite, wenn Sie nicht bereit sind, sich selbst zu verstümmeln, können Sie diese Eigenschaften nicht ändern; Andererseits, was ist, wenn deine Augen, dein Gesicht oder deine Finger bei einem Unfall verunstaltet sind? Eine Laryngitis oder gar eine Erkältung kann Ihre Stimme unkenntlich machen. Obwohl du immer noch du bist, scheinst du nicht mehr zu diesen Systemen zu gehören. Du bist auch nicht joecool85 auf dieser Seite und da bist du auf einer anderen Seite ... du bist Joseph William Smith. Immer. Überall.
Privatsphäre und Anonymität
Was uns zum zweiten Problem führt: fehlende Anonymität und Privatsphäre. Bei der biometrischen Authentifizierung gibt es keine Möglichkeit, anonym zu bleiben und Ihre Identität nicht von einer Website zur anderen zu trennen oder zu isolieren. Das heißt, Sie möchten mit einigen Websites interagieren können, aber nicht wissen, wer Sie sind (Anonymität). Sie möchten auch, dass Ihre Aktionen auf dieser Website anderen Personen und anderen Websites unbekannt bleiben (Datenschutz). Mit biometrischer Authentifizierung sind beide unmöglich. In diesem Zeitalter des globalen Terrorismus scheinen viele Menschen bereit zu sein, den Online-Datenschutz aufzugeben, weil sie glauben, dass dies ihrer Regierung helfen wird, sie in Sicherheit zu bringen. Aber Privatsphäre und Anonymität sind notwendig - nicht nur für die Demokratie, sondern für die Menschheit. Dies könnte ein ganzes Buch für sich sein, aber wenn Sie das nicht glauben, verweise ich Sie auf diesen wundervollen TED-Vortrag von Glenn Greenwald. Im Moment stimmen wir zu, dass die biometrische Authentifizierung sowohl den Datenschutz als auch die Anonymität deaktiviert.
Eine hervorragende Dramatisierung dieses Effekts findet sich im Film Minority Report . In diesem Film kann der Charakter von Tom Cruise nicht herumlaufen, ohne automatisch von allgegenwärtigen Überwachungssystemen erkannt zu werden. Dies sind nicht nur staatliche Überwachungssysteme, sondern Firmenwerbe-Systeme, die nur versuchen, "das Kundenerlebnis zu verbessern". Im Namen des Targetings und der Anpassung ihrer Werbung haben sie das Gefühl, dass sie so viel wie möglich über Sie wissen müssen - und Sie überall wiedererkennen, egal ob physisch oder virtuell. Dies ist jedoch keine Science-Fiction mehr - es passiert tatsächlich.
Sicherheit
Das letzte Problem mit dem Biometrie-basierten Authentifizierungssystem ist, dass es nicht sicher genug ist. Kein System kann jemals 100% sicher sein, und so geht es bei der Sicherheit eines Systems immer darum, Kosten und Komfort gegen die Folgen eines Ausfalls abzuwägen. Wenn ein Hacker in Amazon.com einbricht und alle Passwörter seiner Kunden stehlen kann, kann Amazon all diese verlorenen Passwörter einfach ungültig machen und alle dazu zwingen, ein neues Passwort zu wählen. Aber wie wählen Sie ein neues Gesicht, einen Fingerabdruck oder eine Stimme? Alles, was digital ist, ist einfach zu kopieren oder zu stehlen und kann sofort auf der ganzen Welt geteilt werden. Sobald diese Information gestohlen wurde, ist die Katze aus der Tasche, der Geist ist aus der Flasche, das digitale Pferd ist aus der virtuellen Scheune. Spiel ist aus. Nur ein Beispiel: Im vergangenen Jahr haben Hacker mehr als 5 Millionen digitalisierte Fingerabdrücke vom US Office of Personnel Management gestohlen. Diese Mitarbeiter können für den Rest ihres Lebens niemals eine Art Fingerabdruck-basierte Authentifizierung verwenden.
Aber das ist nur ein Aspekt des Sicherheitsproblems. Ihre biometrischen Qualitäten sind für andere leicht erkennbar - und es ist möglich, sie mit den gleichen Sensortypen zu kopieren, mit denen Sie Ihre digitale Signatur erfasst haben. Gesichtserkennung und Iris-Scanning-Systeme können durch ein Foto täuschen. Fingerabdrücke können von etwas kopiert werden, das Sie berührt haben. Spracherkennungssysteme können unter Verwendung von Schnipseln aufgezeichneter Sprache getäuscht werden. Auch wenn die Erkennungssysteme besser werden, werden auch die Werkzeuge, mit denen sie getäuscht werden können. Außerdem, was verhindert, dass Sie gezwungen oder dazu gezwungen werden, diese biometrischen Identifizierungsinformationen für eine ruchlose andere Person zur Verfügung zu stellen? Sie müssen nicht bereit oder sogar bewusst sein, einen Fingerabdruck oder einen Gesichts-Scan zur Verfügung zu stellen. Wenn Sie wirklich grausam werden wollen, können einige Ihrer physischen Attribute tatsächlich gestohlen werden (Demolition Man, jemand?).
Ehrlich gesagt, haben wir nur an der Oberfläche der Probleme gekratzt. Wem gehören deine biometrischen Signaturen? Wo und wie werden diese Informationen gespeichert? Wer darf auf diese Daten zugreifen und welche Kontrolle haben Sie über diesen Zugriff? Zu welchen anderen Zwecken können diese Informationen verwendet werden? Wenn Sie sich für dieses System entscheiden, gibt es eine sinnvolle Möglichkeit, sich wieder zurückzuziehen?
Es gibt noch Hoffnung
Während das derzeitige System von Passwörtern und Zwei-Faktor-Authentifizierung extrem schmerzhaft ist, bin ich hier, um Ihnen zu sagen: Biometrische Authentifizierung ist nicht die Antwort. Und es scheint, dass die Leute dies bereits erkennen.
Es gibt jedoch einige andere vielversprechende Lösungen. Ein neues Authentifizierungssystem namens SQRL (sprich "squirrel") ermöglicht es Ihnen beispielsweise, Ihre Identität einer Website mit einer ausgeklügelten Challenge-Response-Technik zu beweisen, bei der nur ein Bild oder ein QR-Code mit dem Smartphone gescannt werden muss Kamera. Es gibt nichts, was der Benutzer eingeben kann, und daher gibt es nichts, an das sich der Benutzer erinnern muss. Das bedeutet auch, dass die Website nichts zu speichern versuchen muss, das von Hackern gestohlen werden könnte. Und nur um das i-Tüpfelchen zu setzen, haben Sie eine einzigartige und "gesichtslose" Identität für jede Website - Ihre Anonymität auf dieser Seite erhalten und Ihre Privatsphäre bei allen anderen schützen.
Die Dinge werden wahrscheinlich noch schlimmer werden, bevor sie besser werden, aber ich glaube, sie werden besser werden. Wir müssen nur aufpassen, dass wir nicht ins Wasser springen, bevor wir wirklich Lösungen finden, die uns Sicherheit bieten und gleichzeitig die Möglichkeit für Anonymität und Privatsphäre bieten.
Was denkst du über die Zukunft der Authentifizierung?
Jetzt, wo Sie am Ende meines Artikels stehen, würde ich gerne Ihr Feedback zu diesem Thema hören! Bitte hinterlassen Sie Kommentare und etwas Diskussion gehen. Ich werde von Zeit zu Zeit hineinspringen, um meine zwei Cent hinzuzufügen, und Ihre Fragen so gut wie möglich beantworten. Danke fürs Lesen und für die Teilnahme am Gespräch.
