AUTHADA Blog

Tipps für ein sicheres Passwort

Veröffentlicht:

Mit dem Fortschreiten der Digitalisierung zahlreicher Dienste von Online Shopping über Kontoverwaltung bis hin zu Bürgerdiensten der Regierung mit eGovernment gehen zwar viele Vorteile einher – ein großer Nachteil dieser Entwicklungen allerdings ist die Datensicherheit der Konsumenten geworden. Je leichter zugänglich das World Wide Web wird und je öfter Dienste eine Identifizierung einer Person benötigen, desto fragiler wird die digitale Identität. Viele Anbieter wollen möglichst viele Informationen über ihre Nutzer erhalten, um ihr Konsumverhalten zu analysieren und ihre Dienste entsprechend individuell anzupassen. Das bedeutet aber, dass in immer größerem Maße in die Privatsphäre eines Menschen eingegriffen wird.

 

Nach vielen Hacking-Skandalen wie etwa der der Kanzlerin und das Abhören ihres Telefons ist klar, dass es immer schwieriger geworden ist, die eigenen Daten zu schützen. Die Folge ist, dass man sich als Nutzer immer weniger sicher im Netz fühlt und kaum noch Kontrolle über persönliche Daten hat.

 

Was kann man als Nutzer tun, um ein wenig Kontrolle zurückzuerlangen und es Außenstehenden möglichst schwer zu machen, auf eines seiner vielen Nutzerkonten zuzugreifen? Die simpelste Aktion ist, sich sicherere Passwörter zuzulegen.

 

Nahezu jeden Tag müssen wir mindestens einmal, meistens mehrfach, Passwörter eingeben, um Zugang zu unserem PC/Notebook, Smartphone, Online-Banking oder Nutzeraccount für Online-Shops von Einzelhandelsketten zu erhalten. Viele Dienste kann man gar nicht einmal nutzen, ohne sich gleich ein persönliches Konto anlegen zu müssen. All diese Accounts können wir kaum noch an unseren zehn Fingern abzählen – weshalb es ziemlich schwierig geworden ist, sich all die Zugangsdaten zu merken. Bei all den Dingen, an die wir uns im Alltag erinnern müssen, wird es nach einer Weile nahezu unmöglich, sich all diese Informationen zu behalten.

 

Als IT-Sicherheits-Unternehmen ist Datenschutz unsere allerhöchste Priorität. Deshalb haben wir ein paar Tipps zusammengestellt, mit der sich jeder sicherere Passwörter zulegen kann.

 

 

  1. Der erste Instinkt beim Anblick der überwältigenden Anzahl an Nutzerkontos mag sein, einfach ein und dieselben Nutzerdaten für alle Accounts zu benutzen. Davon wird allerdings dringend abgeraten. Denn wer dann einmal das Passwort eines anderen kennt, kennt sie alle. Auch wenn es viel Organisation und Kreativität erfordert: unbedingt unterschiedliche Passwörter für alle Konten benutzen.

 

  1. Nun hat man all diese Passwörter und ist vollkommen überfordert damit, sich alle davon zu merken. Es ist verlockend, sich einfach alle Daten aufzuschreiben – doch so sind sie potentiell zugänglich für jedermann. Also: Niemals Passwörter ungesichert aufschreiben und erst recht nicht alle an gleicher Stelle.

 

  1. Auch wenn es das Merken vereinfacht, sollte man darauf verzichten, Passwörter mit Bedeutungswert zu wählen wie dem Namen des Haustiers oder den eigenen Geburtstag.
    Am besten ist es, gar keine wirklichen Wörter, sondern lieber wahllose Buchstabenaneinanderreihungen zu wählen.

 

  1. Möglichst viele unterschiedliche Zeichen verwenden. Also Groß- und Kleinschreibung abwechseln sowie Zahlen und Sonderzeichen einbauen. Am besten mindestens zwei Zeichen aus diesen drei Kategorien wählen.
     
  2. Ja, es erhöht leider den Schwierigkeitsgrad für die Merkbarkeit des Passwortes, aber es gilt: je länger und komplexer desto besser.

     

    Nun aber die Frage: Wie soll man sich da alle Passwörter merken?

     

    Es wäre übermenschlich, sich unzählige wahllose Zeichenkombinationen einzuprägen. Daher muss ein sicheres System genutzt werden, innerhalb dessen man auf die Passwörter zugreifen kann. Auch wenn es gegen Tipp 2 verstößt, alle Passwörter an gleicher Stelle aufzubewahren, gibt es Softwares, mit denen man auf sichere Weise Zugangsdaten verzeichnen kann, wie etwa KeePass.

     

    Um das Ganze noch einmal mehr abzusichern, sollte man sich die Passwörter, mit denen man zu dieser Software gelangt – also der Zugang zum PC beispielweise sowie die Zugangsdaten zur Passwort-Datenbank selbst – einprägen. Diese beiden Zugriffsdaten sollten nirgendwo aufgeschrieben werden. Die Software sollte auf dem Gerät installiert sein, das man am häufigsten verwendet, da es so wahrscheinlicher ist, dass man das Passwort dafür schnell auswendig kann. Insgesamt wäre die Kapazität des Gedächtnisses lediglich um zwei Zugangsdaten ausgelastet – was absolut machbar sein sollte.

     

    Empfehlenswert ist ebenfalls das Erklärvideo des BSI zu sicheren Passwörtern, das man sich hier anschauen kann.

     

    Was ist neu am neuen Personalausweis?

    Veröffentlicht: | Mehr...

    Eigentlich kann man ihn kaum noch neu nennen: Seit 2010 wird inzwischen der neue Personalausweis (nPA) in Deutschland verteilt. Bis 2020 sollen alle deutschen Bürger ihren alten, großformatigen Ausweis durch den kompakteren Ausweis im Kreditkartenformat ersetzt haben. Aber wieso die Neuerung?

     

    Abgesehen vom neuen Design des nPA, das den Ausweis robuster gestaltet, ist die wichtigste Neuerung der integrierte Chip, auf dem die kompletten Personendaten gespeichert sind inklusive Lichtbild, biometrischer Daten und gegebenenfalls dem Fingerabdruck. Dies ist die elektronische Identität, oder auch eID (electronic identity). Mit dieser Funktion ist es möglich, sich online auszuweisen und sogar Dokumente elektronisch zu unterzeichnen. Die Daten dürfen allerdings nur von zertifizierten Quellen ausgelesen werden.

     

    Tatsächlich ist der neue Personalausweis mit Online-Ausweisfunktion eines der fälschungssichersten Ausweisdokumente der Welt.[1] Und auch der Prozess der Datenübermittlung erfolgt auf höchstem Sicherheitsniveau. Die Daten werden beim Auslesen mithilfe eines entsprechenden Geräts verschlüsselt übertragen. Das Auslesen ist nur dann verifiziert, wenn zwei Faktoren gegeben sind: Besitz des Personalausweises und Wissen der persönlichen PIN. Diese Gegebenheit nennt sich Zwei-Faktor-Authentifizierung. Dem Nutzer wird umgekehrt angezeigt, an wen die persönlichen Daten übermittelt werden. Dafür muss der Dienstleister über ein gültiges staatliches Zertifikat verfügen. Erst wenn dieses nachgewiesen ist, sollte man der Datenübermittlung zustimmen.

     

    Lange Zeit war es nur möglich, die eID des nPA mithilfe eines Kartenlesegeräts auszulesen. Allerdings kann der Chip im Personalausweis per NFC ausgelesen werden – und zwar ausschließlich per NFC. So kann er durch Geräte mit entsprechender NFC-Schnittstelle ausgelesen werden. Inzwischen werden fast alle Smartphones und Tablets mit einer solchen Schnittstelle ausgestattet, sodass das Kartenlesegerät durch diese alltäglich genutzten Geräte abgelöst wird.

     

    Die Online-Ausweisfunktion mit dem neuen Personalausweis musste bis vor kurzem ausdrücklich vom Bürger aktiviert werden. Wer also seit 2010 den nPA erhalten hat, hatte auf dem Bürgeramt die Möglichkeit, die Funktion einschalten zu lassen. Falls man das nicht getan hat, kann die eID für Online-Dienste noch nicht genutzt werden. Dies kann aber jederzeit nachgeholt werden. Zum Personalausweis erhält man den PIN-Brief, der einem nach der Ausstellung des Ausweisdokuments per Post zugeschickt wird. Darin befinden sich sowohl die fünfstellige Transport-PIN sowie die PUK. Die fünfstellige Transport-PIN ist eine vorübergehende Nummer, die man noch zu einer persönlichen sechsstelligen PIN ändern muss. Das kann man schnell in der AUTHADA-App erledigen.

     

    Wer also gerne die Online-Ausweisfunktion des Personalausweises nutzen möchte, sollte sichergehen, dass die Funktion aktiviert und dass die PIN zur Hand ist. Beim Bürgeramt kann man die Funktion nachträglich aktivieren und wer seine PIN nicht findet, kann sich eine neue besorgen.

     

    Seit kurzem regelt das Personalausweisgesetz (PAuswG), dass die Online-Ausweisfunktion beim Aushändigung des nPA bereits aktiviert ist. Wer also jetzt einen neuen Personalausweis erhält, muss nicht mehr daran denken, die Funktion ausdrücklich aktivieren zu lassen und kann gleich loslegen, sich online auszuweisen.

     

    AUTHADA bietet staatlich zertifizierte Lösungen an, mit denen die eID des nPA sicher und schnell über NFC ausgelesen wird. Mehr zu den verschiedenen Optionen gibt es unter Produkte.

     

    [1]
    http://www.personalausweisportal.de/DE/Buergerinnen-und-Buerger/Der-Personalausweis/Details/details_node.html;jsessionid=8C36F7498D23D778E099F72E73C8DCDD.1_cid332

    Digitale Identitäten - Letzte Instanz

    Veröffentlicht: | Mehr...

    Die Ausgabe von Ausweisdokumenten liegt in Deutschland traditionsgemäß in den Händen des Staates. Benötigt man im Internet-Zeitalter noch eine staatliche Instanz für die Verifikation der Digitalen Identitäten? Diese Frage wird derzeit in der Schweiz kontrovers diskutiert. Im Mittelpunkt steht dabei ein Entwurf des Bundesrates, in dem vorgesehen ist, dass private Anbieter, Identity Provider (IdP), die Ausgabe der eIDs mitsamt der Identifikation der Personen übernehmen sollen. Identity Provider benötigen, wenn sie eIDs ausstellen wollen, eine Zulassung der staatlichen Anerkennungsstelle. Vertreter der Swiss Data Alliance sind der Ansicht, dass die Bestätigung der
    persönlichen Identität unter die Hoheit des Staates falle. Demgegenüber lehnt man bei ICTswitzerland den Staat als Vergabestelle der eID ab.


    Ein Argument gegen private Identity Provider ist, dass auf diese Weise viele inkompatible Lösungen geschaffen würden, was dem Grundgedanken einer einheitlichen eID widerspricht. Der Staat solle daher die Ausgabe der "nackten Identität" übernehmen, während darauf aufbauende Services in die Hände privater Anbieter übergeben werden können.


    In Deutschland wird diese Diskussion (noch) nicht geführt, was auch daran liegt, dass die eID mit dem nPA zwar schon recht verbreitet ist, ihr Gebrauch im Alltag jedoch, u.a. wegen fehlender Anwendungsfälle, aus Unkenntnis und/oder Sicherheitsbedenken, bislang weit hinter den Erwartungen zurück geblieben ist. Die Rolle des Staates als letzter Instanz für die Ausstellung digitaler Identitäten, so jedenfalls der Eindruck, der sich bei näherer Betrachtung aufdrängt, wird hierzulande nicht in Frage gestellt. Abgesehen davon hat sich auch noch kein privater Anbieter für diese Rolle empfohlen. Nach dem Staat wären nach Ansicht vieler Branchenbeobachter die Banken geeignete Akteure. Einige Banken, wie die UBS und Credit Suisse in der Schweiz und die Deutsche Bank mit ihrer branchenübergreifenden Datenplattform für das Single Sign On, sind dabei, sich im dem Markt für die Digitalen Identitäten zu positionieren. Weitere Banken, Unternehmen und Allianzen dürften in nächster Zeit folgen.


    Vorstellbar ist, dass in Deutschland, wie in weiten Europas, sog. Third Party Provider, wie sie die Zahlungsrichtlinie PSD2 vorsieht, eine wichtige Vermittlerrolle zwischen dem Staat einerseits, und den Kunden und den Unternehmen andererseits, ausüben. Diese TPPs würden die staatliche eID in technische Lösungen überführen, die es den Nutzern/Kunden/Bürgern ermöglicht, sich jederzeit und von jedem Ort (zunächst in der EU) sicher ausweisen zu können. Das Smartphone übernimmt dabei eine entscheidende Rolle. Ergänzt wird das Angebot noch um weitere Services zur sicheren Authentifizierung wie Stimmerkennung und Qualifizierte Elektronische Signaturen (QES) wie es die eIDAS-Verordnung vorsieht.

    PSD2, Open APIs und die neue Kommerzielle Revolution

    Veröffentlicht: | Mehr...

    Wenn die Anzeichen nicht täuschen, dann stehen wir kurz vor einer neuen Kommerziellen Revolution. Die erste große kommerzielle Revolution ereignete sich nach Aussage des französischen Historikers Jacques Le Goff zwischen dem 11. und 13. Jahrhundert. Dabei übernahmen die neu entstandenen Städte eine Schlüsselrolle. Sie waren Verkehrsknotenpunkte und Lebenszentrum in einem. Diese Funktion hat in der Digitalmoderne das Internet übernommen. Die neuen Handelsrouten, die neuen Gewürzstraßen sind die Open APIs, Programmierschnittstellen, welche bestimmte Services der Anwendungslandschaft eines Unternehmens oder einer Bank Dritten gegenüber zugänglich macht.


    Weiteren Schub bekommt diese Entwicklung durch PSD2 (Payments Services Directive). Mit dieser Maßnahme verfolgen die Regulatoren das Ziel, elektronische Zahlungen sowie den Datenaustausch für die Verbraucher sicherer und komfortabler zu gestalten. Die EU-Kommission knüpft daran die Hoffnung, dass die Umsetzung der PSD2 die Bildung eines einheitlichen digitalen Markets in Europa (Digital Single Market) befördert. Betroffen sind von dieser Maßnahme neben den Verbrauchern in erster Linie Banken, Zahlungsdienstleister und Fintech-Startups. Künftig können die Verbraucher die Services von Zahlungsauslösedienstleistern und/oder Kontoinformationsdienstleistern in Anspruch nehmen, die sich zwischen Verbraucher und Banken positionieren. In gewisser Hinsicht übernehmen diese neuen Dienstleister die Funktionen, die im Mittelalter die Städte ausgeführt haben. Sie sind einerseits Verkehrsknotenpunkt und andererseits wichtiger Bestandteil des Lebenszentrums der Menschen. Um jedoch die Vorteile eines einheitlichen digitalen Marktes in Europa ausschöpfen zu können, muss das nötige Maß an Sicherheit und Vertrauen zwischen den Beteiligten (E-Commerce-Unternehmen, Banken, Fintech-Startups, Zahlungsdienstleister, Verbraucher) hergestellt werden.


    Anders als in der mittelalterlichen Stadt sind sich die Geschäftspartner im Internet in den meisten Fällen nicht persönlich bekannt. Das Vertrauen muss auf andere Weise, mit den Mitteln der Informationstechnologie geschaffen werden. Identifikationstechnologien übernehmen hierbei eine Schlüsselstellung. Sie sorgen dafür, dass die Geschäftspartner sicher sein können, dass die Person, mit der sie es zu tun haben, auch tatsächlich diejenige ist, für die sie sich ausgibt. Der Regulator hat hierfür drei Authentifizierungskategorien definiert:


    1. Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort oder eine PIN)
    2. Besitz: etwas, das nur der Nutzer besitzt (etwa ein Token oder eine Smartcard)
    3. Inhärenz: etwas, das dem Nutzer körperlich zu eigen ist (wie Gesichtserkennung oder Sprache)


    Für die sichere, starke Authentifizierung bei Zahlungen im Internet sind mindestens zwei der aufgeführten Verfahren erforderlich. Künftig wird die Online-Zahlung im Internet in Europa ohne starke Authentifizierung unmöglich sein. Vorteilhaft für Kunden ebenso wie für Unternehmen und Banken ist der Rückgriff auf eine integrierte Lösung, auf eine Plattform, die alle drei Faktoren der starken Authentifizierung unterstützt, wie beispielsweise mittels des neuen Personalausweises (nPA) und Stimmerkennung. AUTHADA hat diese Entwicklung mit seiner mobilen Lösung für die Authentifizierung per nPA und der AUTHADA eVoice Recognition-Technologie antizipiert.


    Die neue Kommerzielle Revolution kann kommen.