Log-ins mit Nutzernamen und Passwort sind nicht nur lästig, sondern können auch gefährlich werden. Social Engineering und Phishing sind der einfachste Weg für Cyberkriminelle, um sich Zugang zu Nutzerkonten zu verschaffen. Es wird Zeit für nutzerfreundlichere und sicherere Alternativen, findet Mario Voge, Head of Growth Management bei Swisscom Trust Services.
Laut dem Data Breach Investigations Report 2022 von Verizon sind Datendiebstähle mit etwa 40 Prozent der am häufigsten eingesetzte Angriffsvektor von Cyberkriminellen. Diese Daten erbeuten sie auf relativ profanen Wegen wie Phishing oder Social Engineering, die keine besonderen IT-Kenntnisse voraussetzen.
Dies bedeutet, dass heute praktisch jeder Cyberkrimineller werden kann. ‚Hacken‘ ist also gar nicht nötig. Wohl auch ein Grund dafür, warum das Cyber-Crime-Geschäft boomt.
Das ‚altbewährte‘ Passwort und seine Schwachstellen sind also ursächlich für eine Vielzahl von Cyber-Vorfällen. Seitdem es Passwörter gibt, predigen Experten, wie diese aussehen sollen, dass man sie häufig wechseln und nicht doppelt verwenden soll. Kaum jemand hält sich an all diese Empfehlungen und die Bequemlichkeit rächt sich allzu oft.
Es wird Zeit für neue, innovative Konzepte zur Nutzerverifizierung im Netz, die sich nicht so einfach kompromittieren lassen und angenehmer in der Handhabung für die Nutzer sind. Bereits 2013 wurde die FIDO-Allianz gegründet, die sich für eine passwortlose Zukunft einsetzt. An die Stelle von Passwort und Nutzername tritt bei diesem Ansatz asymmetrische Kryptografie.
Ein Nutzer verifiziert seine Identität über einen privaten Schlüssel, der auf einem Gerät gespeichert ist. Das kann ein USB-Stick sein oder direkt die Hardware eines Mobiltelefons. Dieser Schlüssel muss das Gerät dabei gar nicht verlassen, was die Methode sehr sicher macht.
Bei einer Authentifizierungsanfrage wird eine sogenannte Challenge an das jeweilige Gerät gesendet, deren Lösung nur mithilfe des privaten Schlüssels möglich ist und wodurch ein Nutzer seine Identität nachweist.
Ein entscheidender Aspekt, mit dem diese Form der digitalen Authentifizierung steht und fällt, ist die initiale Identifikation eines Nutzers. Schließlich muss sichergestellt werden, dass sich hinter einem privaten Schlüssel auch wirklich die angegebene Person verbirgt. Mit BankIdent oder KI-gestützter Videoidentifikation stehen uns dafür heute sehr effiziente und nutzerfreundliche Methoden zur Verfügung.
Ein weitergreifendes Konzept stellt die Self-Sovereign Identity oder kurz SSI dar. Anwender erhalten hierbei die Möglichkeit, dezentral in einem Wallet eine Art digitales Abbild ihrer Identität zu erschaffen, um sich im digitalen Raum eindeutig identifizieren zu können.