Falk Dübbert

Neuer Monat und schon wieder haben beide Email-Adressen bei Have I been pwnd eine neue Zeile erhalten. Ich merkte es auch an der leicht gestiegenen Spam-Frequenz. Anhand der Daten konnte ich den Webshop identifizieren, der meine Daten weitergegeben hat.
Der Empfänger dieser Daten hatte dann offenbar ein Datenleck. Im Grunde bin ich also der Unfähigkeit oder Skrupellosigkeit der Webseiten-Betreiber ausgeliefert. Und die Nutzung von wirklich starken Passwörtern von Passwortmanagern ist auch nicht ausreichend.
Dennoch macht ein Passwortmanager Sinn, als dass er die Mehrfachverwendung von Passworten nicht fördert und dafür sorgt, dass bei endlichen Passwortlängen die effektive Passwortstärke durch Nutzung aller Bits maximal ist und gegenenfalls eine Entschlüsselung erschweren.
Das ist aber dann im Grunde auch schon wieder hinfällig, wenn der Hash- und Salt- Algorithmus schwach ist wie zum Beispiel DPAP und nur eine Injection braucht um effizient geknackt zu werden. Aber das Passwort ist eigentlich der uninteressanteste Datensatz in einem Datenleck, solange das Passwort nicht wiederverwendet wurde. Alle anderen Daten sind für den Missbrauch interessanter.
Daher nutze ich wirklich oft den Paypal- oder Klarna-Button also einen Zahlungsdienstleister als Firewall zwischen mir und dem Webshop und lege auch kein Kundenkonto an, wenn es den Paypal-Direct-Checkout-Button gibt.

Dennoch ist die Möglichkeit bzw. Unmöglichkeit einer Multifaktor-Authentifizierung ein guter Lackmus-Test. Die Anwesenheit einer MFA mit einem etabliertem Mechanismus zeigt eine moderne oder modernisierte Webshop-Plattform an und es ist zwar ein mittelbarer Schluss, aber für mich zeigt die Fähigkeit zur Implementierung einer MFA an, dass dieses jemand auch eine Hash- und Salt- Speicherung der Daten vollbringen kann.

Meine Voraussetzungen an Multi-Faktor-Authentifikation sind wenig Industriefreundlich.
  • Sie müssen plattformübergreifend aber vor allem portabel sein und dürfen nicht mit einem Passwort im Rechner gesichert sein.
    Damit sind Apples Keychain- und Microsofts Passkey-Implementation schon mal so gut wie raus.
  • Ich melde immer eine echte zweite Instanz an oder generiere Recovery-Keys, die ich im Passwort-Manager hinterlege.
  • Der Hersteller des Token muss einen Trackrecord haben, der zumindest keine hochgezogenen Augenbrauen hervorruft. Trotz meiner Ablehnung von Chinesischen Produkten in sicherheitsrelevanten Produkten landete ich bei Feitian und Yubico.
    Den biometrisch gesicherten Stick habe ich am Schlüsselbund und den anderen bewahre ich im Safe auf.

Zusätzlich habe ich eine OTP Authenticator-App auf meine Smartphone, die allerdings zwingend eine biometrische Entriegelung verlangt.

Ich versuche jetzt so viele Konten mit OTP / Fido2 / Webauthn / OAth zu verknüpfen und schreibe auch die Webshopbetreiber an, eine Form von MFA zu implementieren.


Kommentare

Keine Kommentare

Kommentare

Geben Sie Ihren Kommentar hier ein. * Eingabe erforderlich. Sie müssen die Vorschau vor dem Absenden ansehen.