
Am vergangenen Donnerstag berichtete die deutsche Presse über den bisher größten Leak an Nutzerdaten. Mehr als 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter sollen im Dark Web veröffentlicht und verfügbar gemacht worden sein.
Die Folgen eines solchen Verstoßes können drastisch sein. Wenn betroffene Benutzer ihre Zugangsdaten oder Passwörter nicht so schnell wie möglich ändern, können Social Media-Konten, Cloud-Speicher und andere Plattformen gehackt werden. Insbesondere bei Cloud-basierten Speicherdiensten, die wichtige Dokumente und Bilder enthalten können, kann der Schaden erheblich sein.
Eine Datenschutzverletzung dieser Größenordnung sollte Unternehmen und private Nutzer dazu bringen, darüber nachzudenken, wie sie ihre Daten besser schützen können, auch wenn sie nicht direkt von Collection #1 betroffen sind.
Seit Jahrzehnten sind Passwörter die primäre Methode der Authentifizierung, um Daten und Konten vor unbefugtem Zugriff zu schützen. Allerdings haben sich Passwörter in vielerlei Hinsicht als problematisch erwiesen. Das Erinnern und regelmäßige Ändern komplexer Passwörter ist für viele Benutzer lästig, die daher oft zu einfache Passwörter verwenden oder Passwörter kontenübergreifend wiederverwenden. Für Unternehmen ist die Passwortverwaltung sowohl kostspielig als auch zeitaufwendig. Darüber hinaus wird der IT-Support oft frequentiert, da Benutzer ihre Passwörter öfters vergessen und bei der Wiederherstellung Hilfe benötigen.
Um dieses Problem zu lösen und die sichere Anmeldung einfach und für jeden zugänglich zu machen, wurde Yubico gegründet. In enger Zusammenarbeit haben u.a. Microsoft, Google und Yubico die Entwicklung der offenen Authentifizierungsstandards FIDO U2F, FIDO2 und WebAuthn sowie von Referenzdesigns für einfache und starke Zwei-Faktor-Authentifizierung und passwortlose Anmeldung angeführt. Die Standards basieren auf Yubicos One-Touch-Benutzerverifikation, bei der keine Treiber oder Client-Software benötigt werden. Zudem wird ein einziger Authentifikator für den Zugriff auf eine beliebige Anzahl von Diensten verwendet, ohne dass Benutzerinformationen zwischen den Diensten geteilt werden.
Das FIDO U2F-Protokoll wurde entwickelt, um als zweiter Faktor die bestehenden, auf Benutzernamen/Passwort basierenden Anmeldevorgänge zu stärken. In diesem Fall kann selbst bei einem Durchsickern der Zugangsdaten eines Benutzers nicht auf sein Konto zugegriffen werden, ohne physischen Zugriff auf das FIDO U2F-Authentifizierungsgerät (oder den Sicherheitsschlüssel) des Benutzers zu besitzen. Viele Dienste bieten ihren Nutzern heute diese Art der Zwei-Faktor-Authentifizierung an, darunter Google, Dropbox, Twitter, Facebook, diverse Passwortmanager und mehr.
Es ist jedoch klar, dass wenn wir in eine Zukunft mit zunehmendem Identitätsdiebstahl und Phishing-Betrug blicken, die Abschaffung des Passworts uns sicherer machen wird. FIDO2 bzw. WebAuthn ist der erste Standard, der die Kontosicherheit durch einen passwortfreien Login vereinfacht. Mit FIDO2/WebAuthn können Passwörter während des Anmeldevorgangs vollständig weggelassen und durch eine viel stärkere Form der Einzelfaktor-Authentifizierung wie z. B. einen FIDO2-fähigen Hardware-Authentifikator ersetzt werden.
Mit der Einführung der starken Authentifizierungsstandards FIDO und WebAuthn können einzelne Benutzer und Unternehmen ihre Daten nun effektiv vor Datenverstößen wie der Collection #1 schützen.
Zu Beginn eines neuen Jahres empfehle ich Unternehmen und Einzelanwendern, eine Zwei-Faktor-Authentifizierung einzuführen, da diese sich als die beste Verteidigung gegen Remote-Hacker und Phishing erwiesen hat. Der einfachste Weg für Verbraucher ist die Einrichtung eines Passwortmanagers mit starker Zwei-Faktor-Authentifizierung, um ihre Internet-Logins zu sichern und zu verwalten.
Für weitere Informationen besuchen Sie bitte www.yubico.com
Foto: https://pixabay.com/de/
Fachartikel

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen

Attraktivität von MSP-Geschäftsmodellen gegenüber Investoren gezielt steigern

Schlüsselfaktoren für das Engagement im Bereich Managed Detection and Response (MDR)

Setzen Sie die Datensicherheit Ihres Unternehmens nicht aufs Spiel
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich

Fast die Hälfte aller Organisationen im Gesundheitswesen von Datensicherheitsverletzungen betroffen

Ransomware-Gruppe LockBit steckt am häufigsten hinter der illegalen Veröffentlichung gestohlener Daten
Unter4Ohren

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit

PwC Deutschland – Corporate Security Benchmarking Survey
