Eine der bequemsten Möglichkeiten für mobile Benutzer, sich bei Apps anzumelden – und die Methode, auf die sich viele Unternehmen verlassen, um Zugriff zu gewähren – ist ein Einmalpasswort (OTP), das oft per SMS mitgeteilt wird. Unter Cybersicherheitsexperten besteht jedoch ein wachsender Konsens darüber, dass Einmalpasswörter wie herkömmliche Passwörter schrittweise abgeschafft werden sollten, obwohl Experten bezweifeln, dass dies in absehbarer Zeit geschehen wird.
Verbraucher werden aufgefordert, auf die verschiedenen Arten von Einmalpasswörtern und die relativen Sicherheitsrisiken im Vergleich zu den jeweiligen Vorteilen zu achten. Die Erfahrung zeigt, dass es immer einige Möglichkeiten gibt, die Authentifizierung zu umgehen, aber einige Methoden sind stärker als andere, so Ant Allan, Vice President Analyst bei Gartner Research. „Es gibt keine narrensicheren Authentifizierungsmethoden“, sagte Alan.
Folgendes müssen Verbraucher über Einmalpasswörter (OTP) und Online-Sicherheit wissen:
OTP-Karten sind anfällig für Online-Betrug
Einmalpasswörter (OTP), die per Text oder SMS gesendet werden, sind anfälliger für Angriffe von Betrügern auf verschiedene Weise, wie z. B. Phishing-Angriffe, Spoofing und betrügerische Sicherheit bei Javelin Strategy & Research, sagte Tracy C. Kitten, Leiterin für Betrug und Betrug Sicherheit bei Javelin Strategy & Research und Abfangen von Nachrichten, auch wenn Sie Ihr Telefon in Ihrem Besitz haben.
Das Problem wird durch die Tatsache verschärft, dass Sie es möglicherweise nicht sofort bemerken, wenn ein mobiles Konto oder eine Website gekapert wird. „Sie können beispielsweise eine Bank bitten, eine SMS zu senden und diese dann zurückzusenden, ohne zu bemerken, dass jemand anderes sie erhalten hat“, sagt Keaten. „Es kann 45 Minuten dauern, bis Sie merken, dass etwas nicht stimmt.“ Punkt, es ist zu spät.“
Nutzen Sie die Authentifizierungs-App von Google und Microsoft
Die beste Option, wenn auch kein Allheilmittel, besteht laut Sicherheitsexperten darin, eine Authentifizierungs-App wie Google Authenticator oder Microsoft Authenticator auf ein mobiles Gerät herunterzuladen. Authentifizierungs-Apps seien immer noch anfällig für einige Arten von „Enemy-in-the-Middle“-Angriffen, aber sie seien immer noch sicherer als SMS, sagte Allan.
Mit einer Authentifizierungs-App erhalten Benutzer bei jeder Anmeldung einen eindeutigen Code, der normalerweise nach 30 bis 60 Sekunden abläuft. Es wird nichts an die Telefonnummer gesendet. Die Authentifizierungs-App befindet sich auf Ihrem Mobilgerät. Wenn das Telefon also durch ein Passwort geschützt ist und Sie die Gesichtserkennung aktivieren, verringert sich das Risiko, dass jemand auf diese Codes zugreifen kann, erheblich, sagte Kitten.
Es gebe immer noch potenzielle Schwachstellen, die auf der Notwendigkeit der Codeeingabe beruhen, sagt Cédric Thevenet, Vizepräsident und Leiter Vertrieb und Cyber-Lösungen bei Capgemini Americas. Angenommen, jemand erhält eine E-Mail, die scheinbar von einem Unternehmen oder Anbieter stammt, mit dem er regelmäßig zu tun hat, bei der es sich jedoch in Wirklichkeit um einen gut getarnten Phishing-Versuch handelt. Dank künstlicher Intelligenz sei es schwieriger geworden, diese Art von Phishing-E-Mails zu erkennen, sagte Thevenet.
Wenn ein unaufmerksamer Benutzer auf den Link klickt, wird er möglicherweise zu einer Website weitergeleitet, die seriös aussieht, es aber nicht ist. Die Person gibt ihren Benutzernamen und ihr Passwort auf der Website des Hackers ein, weil sie glaubt, es handele sich um die Website des Dienstanbieters. Wenn sie dann nach dem Authentifizierungscode gefragt wird, gibt sie diesen ebenfalls ein. Wie Thevenet erklärte, hat der Hacker nun Zugriff auf das Konto der Person.
Erwägen Sie die Bezahlung mobiler Apps für einen besseren Schutz
Es gibt eine sicherere Authentifizierungsoption, die in Verbindung mit mobilen Apps auf dem Telefon des Benutzers funktioniert. Wenn sich Benutzer auf der Website ihrer Bank oder eines anderen Dienstleisters anmelden, erhalten sie in der entsprechenden App auf ihrem Telefon eine Benachrichtigung, in der sie aufgefordert werden, ihre Identität mit dieser Benachrichtigung zu bestätigen.
Diese Überprüfungsmethode ist unabhängig von dem Gerät, von dem aus Sie sich anmelden, und zur Authentifizierung besser als SMS oder Einmalkennwörter. Es gibt jedoch Angriffe, die auch gegen diese Methode wirken können, sagte Alan. Ein Hacker kann wiederholt versuchen, sich mit einem gestohlenen Passwort in das Konto einer anderen Person einzuloggen, und der Benutzer erhält zur Überprüfung mehrere Nachrichten auf seinem Telefon. Wenn die Person nicht genau aufpasst oder einfach nicht auf die Nerven gehen möchte, kann sie zur Bestätigung klicken und dem Hacker so Zugriff auf das Konto gewähren.
Wählen Sie nach Möglichkeit einen Hardware-Sicherheitsschlüssel
Eine bessere Option ist die Verwendung eines physischen Sicherheitsschlüssels wie eines Yubico. Ein Schlüssel kann mit mehreren Anwendungen und Diensten verwendet werden. Aus Sicherheitsgründen sei es besser als SMS oder eine Authentifizierungs-App, sagte Alan. Aber es gibt eine Investition. Ein Schlüssel kann 20 bis 60 US-Dollar oder mehr kosten, und man muss aufpassen, dass man ihn nicht verliert.
Dies ist auch nicht in allen Situationen praktikabel. Der Online-Händler werde aus Kosten- und Praktikabilitätsgründen nicht jedem seiner Kunden einen Schlüssel geben, sagte Thevenet.
Entfernen Sie Passwörter aus der Gleichung mit Passkeys für mehrere Geräte
Obwohl die Verwendung von Passschlüsseln für mehrere Geräte, die die Notwendigkeit von Passwörtern ersetzen, nicht unbedingt ein Ersatz für ein Einmalpasswort ist, wird es für einen Angreifer dadurch schwieriger, in Ihre Konten einzudringen. Laut der FIDO Alliance, einem offenen Konsortium, das sich darauf konzentriert, die weltweite Abhängigkeit von Passwörtern zu verringern, bestehen Passschlüssel aus einem „privaten Schlüssel“, der auf dem Computer oder Telefon des Benutzers gespeichert ist, und einer öffentlichen Schlüsselverschlüsselung.
Passschlüssel beseitigen nicht nur einige der Unannehmlichkeiten von Passwörtern, sondern schützen Benutzer auch vor Phishing-Angriffen, da sie nur auf Websites und Apps funktionieren, bei denen sie registriert sind. Es gibt einige Sicherheitsbedenken, aber zumindest werden dadurch „Passwörter aus der Gleichung entfernt, wodurch es für einen Angreifer schwieriger wird, überhaupt loszulegen“, sagte Allan.
Aus regulatorischer Sicht gelten Passkeys möglicherweise nicht als Multi-Faktor-Authentifizierung, sie seien jedoch möglicherweise sicherer als die Verwendung eines Passworts und einer SMS, sagte Allan.
Es ist davon auszugehen, dass SMS-Einmalpasswörter (OTP) weiterhin verwendet werden, und es besteht ein Risiko
Für die Verwaltung von Online-Anmeldungen stehen den Nutzern vielfältige Optionen zur Verfügung, die einen stärkeren Fokus auf die Sicherheit legen, darunter auch Passwort-Manager. Diese sind jedoch alle mit Risiken verbunden und in gewissem Maße sind Verbraucher auf die Authentifizierungsmethoden verschiedener Anbieter beschränkt.
Dusty Anderson, Geschäftsführer von Protiviti, der die digitale Identitätspraxis des Unternehmens leitet, sagt, einer ihrer Kunden gebe jeden Monat Zehntausende Dollar für den Versand von Einmalpasswörtern per SMS aus. Trotz der Sicherheitsbedenken bleibt der Kunde standhaft, weil er Angst hat, Probleme zu verursachen, insbesondere bei Kunden, die mit der Technologie nicht vertraut sind und möglicherweise nur ungern eine andere Art von Authentifizierungstool verwenden.
Aus anderen Gründen sagte Thevenet, dass temporäre Passwörter wahrscheinlich auf absehbare Zeit in irgendeiner Form verfügbar bleiben werden. Thevenet fügte hinzu, dass die beliebtesten Optionen kostengünstig und einfach zu verwenden seien und trotz einiger Risiken immer noch besser seien als nur ein Passwort allein. „Ist das Versenden eines temporären Passworts per SMS die beste Lösung überhaupt? Nein. Ist es besser als nur ein Passwort?