{"id":32662,"date":"2019-10-31T21:48:16","date_gmt":"2019-10-31T18:48:16","guid":{"rendered":"https:\/\/prohoster.info\/blog\/chto-budet-s-autentifikatsiej-i-parolyami-perevod-otcheta-javelin-sostoyanie-strogoj-autentifikatsii-s-kommentariyami\/"},"modified":"2019-10-31T21:48:16","modified_gmt":"2019-10-31T18:48:16","slug":"chto-budet-s-autentifikatsiej-i-parolyami-perevod-otcheta-javelin-sostoyanie-strogoj-autentifikatsii-s-kommentariyami","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/chto-budet-s-autentifikatsiej-i-parolyami-perevod-otcheta-javelin-sostoyanie-strogoj-autentifikatsii-s-kommentariyami","title":{"rendered":"Was passiert mit der Authentifizierung und den Passw\u00f6rtern? \u00dcbersetzung des Javelin-Berichts \u201eZustand der strengen Authentifizierung\u201c mit Kommentaren","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p><img decoding=\"async\" alt=\"Was passiert mit der Authentifizierung und den Passw\u00f6rtern? \u00dcbersetzung des Javelin-Berichts \u201eZustand der strengen Authentifizierung\u201c mit Kommentaren\" src=\"\/wp-content\/uploads\/2019\/04\/8bf86f8c9daa411a24c4a4052f642fad.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nDer Spoiler aus dem Titel des Berichts \"Die Zahl der F\u00e4lle strenger Authentifizierung ist aufgrund neuer Risiken und regulatorischer Anforderungen gestiegen\".<br \/>\nDas Forschungsunternehmen \u201eJavelin Strategy &amp; Research\u201c hat den Bericht \u201eThe State of Strong Authentication 2019\" ver\u00f6ffentlicht (<noindex><a rel=\"nofollow\" href=\"https:\/\/1nmqmp2u9dgf3jo9centu6rq-wpengine.netdna-ssl.com\/wp-content\/uploads\/2019\/01\/The-State-of-Strong-Authentication-2019-Report.pdf\"> das Original im PDF-Format finden Sie hier<\/a><\/noindex>). In diesem Bericht wird erl\u00e4utert, welcher Anteil der amerikanischen und europ\u00e4ischen Unternehmen Passw\u00f6rter verwendet (und warum Passw\u00f6rter heutzutage kaum noch genutzt werden); warum der Anteil der Nutzung von Zwei-Faktor-Authentifizierung basierend auf kryptografischen Tokens so schnell w\u00e4chst; warum Einmalcodes, die per SMS gesendet werden, unsicher sind.<\/p>\n<p>Alle, die sich f\u00fcr die Themen der aktuellen, vergangenen und zuk\u00fcnftigen Authentifizierung in Unternehmen und Benutzeranwendungen interessieren \u2013 herzlich willkommen.<br \/>\n<noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><br \/>\n<b class=\"spoiler_title\">Vom \u00dcbersetzer<\/b><\/p>\n<blockquote><p>Leider ist die Sprache, in der dieser Bericht verfasst wurde, ziemlich \"trocken\" und formell. Und die f\u00fcnfmalige Verwendung des Wortes \"Authentifizierung\" in einem kurzen Satz ist nicht das Ergebnis ungeschickter H\u00e4nde (oder K\u00f6pfe) des \u00dcbersetzers, sondern eine Marotte der Autoren. Bei der \u00dcbersetzung habe ich manchmal die Wahl zwischen einer n\u00e4her am Original orientierten und einer interessanteren Textversion getroffen. Aber haben Sie Geduld, liebe Leser, der Inhalt des Berichts ist es wert.<\/p>\n<p>Einige unwesentliche und f\u00fcr die Erz\u00e4hlung nicht notwendige Teile wurden entfernt, sonst h\u00e4tte die Mehrheit den gesamten Text nicht bew\u00e4ltigt. Wer den Bericht ohne K\u00fcrzungen einsehen m\u00f6chte, kann dies in der Originalsprache \u00fcber den Link tun.<\/p>\n<p>Leider sind die Autoren nicht immer pr\u00e4zise mit der Terminologie. Gelegentlich bezeichnen sie Einmalpassw\u00f6rter (One Time Password \u2013 OTP) mal als \u201ePassw\u00f6rter\u201c und mal als \u201eCodes\u201c. Bei den Authentifizierungsmethoden sieht es noch schlimmer aus. F\u00fcr einen ungeschulten Leser ist es oft schwer zu erraten, dass \u201eAuthentifizierung mit kryptographischen Schl\u00fcsseln\u201c und \u201estrenge Authentifizierung\u201c dasselbe bedeuten. Ich habe versucht, die Begriffe so einheitlich wie m\u00f6glich zu gestalten; zudem enth\u00e4lt der Bericht ein Segment mit deren Beschreibung.<\/p>\n<p><b>Dennoch ist der Bericht \u00e4u\u00dferst empfehlenswert, da er einzigartige Forschungsergebnisse und korrekte Schlussfolgerungen enth\u00e4lt. <\/b><\/p>\n<p>Alle Zahlen und Fakten sind unver\u00e4ndert, und wenn Sie nicht einverstanden sind, sollten Sie nicht mit dem \u00dcbersetzer, sondern mit den Autoren des Berichts diskutieren. Meine Kommentare (in Form von Zitaten formatiert und im Text als <i>kursiv<\/i>) gekennzeichnet, sind meine subjektiven Einsch\u00e4tzungen, \u00fcber die ich jederzeit gerne diskutieren w\u00fcrde (ebenso wie \u00fcber die Qualit\u00e4t der \u00dcbersetzung). <\/p><\/blockquote>\n<p><\/p>\n<h2>\u00dcbersicht<\/h2>\n<p>\nIn der heutigen Zeit sind digitale Kommunikationskan\u00e4le f\u00fcr Unternehmen wichtiger denn je. Auch innerhalb der Unternehmen richten sich die Kommunikationswege zwischen Mitarbeiter*innen mehr auf die digitale Umgebung als je zuvor. Die Sicherheit dieser Interaktionen h\u00e4ngt dabei stark von der gew\u00e4hlten Authentifizierungsmethode ab. Cyberkriminelle nutzen schwache Authentifizierungen, um massenhaft Benutzerkonten zu hacken. In Reaktion darauf versch\u00e4rfen die Aufsichtsbeh\u00f6rden die Standards, um Unternehmen dazu zu bringen, die Konten und Daten der Nutzer besser zu sch\u00fctzen.<\/p>\n<p>Bedrohungen im Zusammenhang mit Authentifizierung betreffen nicht nur Verbraucheranwendungen; Angreifer k\u00f6nnen auch auf Anwendungen zugreifen, die innerhalb von Unternehmen betrieben werden. Solche Vorg\u00e4nge erlauben es ihnen, sich als Unternehmensbenutzer auszugeben. Angreifer, die Zugangspunkte mit schwacher Authentifizierung nutzen, k\u00f6nnen Daten stehlen und andere betr\u00fcgerische Aktivit\u00e4ten durchf\u00fchren. Gl\u00fccklicherweise gibt es Ma\u00dfnahmen zur Bek\u00e4mpfung dessen. Strenge Authentifizierung kann das Risiko von Angriffen durch Angreifer sowohl auf Verbraucheranwendungen als auch auf Unternehmenssysteme erheblich reduzieren.<\/p>\n<p>Diese Studie behandelt: wie Unternehmen Authentifizierung implementieren, um Benutzeranwendungen und Gesch\u00e4ftssysteme zu sch\u00fctzen; Faktoren, die sie bei der Auswahl einer Authentifizierungsl\u00f6sung ber\u00fccksichtigen; die Rolle, die strenge Authentifizierung in ihren Organisationen spielt; die Vorteile, die diese Organisationen daraus ziehen.<\/p>\n<h2>Zusammenfassung<\/h2>\n<p><\/p>\n<h3> Wesentliche Erkenntnisse<\/h3>\n<p>\n<b>Seit 2017 ist der Anteil der Nutzung strenger Authentifizierung stark angestiegen. <\/b> Mit der Zunahme von Schwachstellen, die traditionelle Authentifizierungsl\u00f6sungen betreffen, verst\u00e4rken Organisationen ihre Authentifizierungsmethoden durch strenge Authentifizierungsmethoden. Die Anzahl der Organisationen, die mehrstufige Authentifizierung mit Kryptografie (MFA) verwenden, hat sich seit 2017 f\u00fcr Verbraucher verdreifacht und ist f\u00fcr Unternehmensanwendungen um fast 50 % gestiegen. Das schnellste Wachstum ist im Bereich der mobilen Authentifizierung zu verzeichnen, bedingt durch die steigende Verf\u00fcgbarkeit biometrischer Authentifizierung.<\/p>\n<blockquote><p>Hier sehen wir eine Illustration des Sprichworts \u201eBis der Donner donnert, kreuzigt sich der Mann nicht\u201c. Als Experten vor der Unzuverl\u00e4ssigkeit von Passw\u00f6rtern warnten, z\u00f6gerten viele, die Zwei-Faktor-Authentifizierung einzuf\u00fchren. Sobald Hacker damit begannen, Passw\u00f6rter zu stehlen, fingen die Leute an, die Zwei-Faktor-Authentifizierung zu implementieren.<\/p>\n<p>Tats\u00e4chlich setzen private Personen viel aktiver auf die Zwei-Faktor-Authentifizierung. Erstens erleichtert es ihnen, ihre \u00c4ngste zu bes\u00e4nftigen, da sie auf die in Smartphones integrierte biometrische Authentifizierung vertrauen, die in der Praxis jedoch ziemlich unzuverl\u00e4ssig ist. Unternehmen hingegen m\u00fcssen in den Erwerb von Tokens investieren und einfache Implementierungsarbeiten durchf\u00fchren. Zweitens hat nur der Faulenzer nichts \u00fcber die Passwortlecks bei Diensten wie Facebook und Dropbox gesagt. Dar\u00fcber, wie in Unternehmen Passw\u00f6rter gestohlen wurden (und was dann geschah), werden IT-Leiter unter keinen Umst\u00e4nden sprechen. <\/p><\/blockquote>\n<p>\n<b>Wer keine strengen Authentifizierungsverfahren nutzt, untersch\u00e4tzt das Risiko f\u00fcr sein Gesch\u00e4ft und seine Kunden. <\/b> Einige Organisationen, die derzeit keine starke Authentifizierung einsetzen, betrachten Benutzernamen und Passw\u00f6rter als eine der effektivsten und benutzerfreundlichsten Methoden zur Authentifizierung von Nutzern. Andere sehen keinen Wert in den digitalen Verm\u00f6genswerten, die sie besitzen. Dabei sollte bedacht werden, dass Cyberkriminelle an allen Arten von Verbraucher- und Gesch\u00e4ftsinformationen interessiert sind. Zwei Drittel der Unternehmen, die nur Passw\u00f6rter zur Authentifizierung ihrer Mitarbeiter verwenden, tun dies, weil sie glauben, dass Passw\u00f6rter f\u00fcr die Art von Informationen, die sie sch\u00fctzen, ausreichend sind.<\/p>\n<p><b>Dennoch stehen Passw\u00f6rter vor ihrem \u201eAbschied\u201c. <\/b> Im vergangenen Jahr ist die Abh\u00e4ngigkeit von Passw\u00f6rtern sowohl bei Verbraucher- als auch bei Unternehmensanwendungen erheblich gesunken (von 44 % auf 31 % bzw. von 56 % auf 47 %), da Organisationen die Anwendung traditioneller MFA und strenger Authentifizierung ausgeweitet haben.<br \/>\nWenn man die Situation insgesamt betrachtet, dominieren weiterhin anf\u00e4llige Authentifizierungsmethoden. F\u00fcr die Benutzer-Authentifizierung verwenden etwa ein Viertel der Organisationen SMS-OTPs (Einmalpassw\u00f6rter) zusammen mit Sicherheitsfragen. Infolgedessen m\u00fcssen zus\u00e4tzliche Schutzma\u00dfnahmen implementiert werden, um Verletzungen vorzubeugen, was die Kosten erh\u00f6ht. Die Verwendung von wesentlich zuverl\u00e4ssigeren Authentifizierungsmethoden, wie beispielsweise Hardware-verschl\u00fcsselten Schl\u00fcsseln, ist viel seltener, nur etwa 5 % der Organisationen setzen sie ein.<\/p>\n<p><b>Die sich entwickelnde regulatorische Umwelt verspricht eine schnellere Einf\u00fchrung strenger Authentifizierung f\u00fcr Verbraucheranwendungen. <\/b> Mit der Einf\u00fchrung der PSD2 sowie neuer Datenschutzbestimmungen in der EU und in mehreren US-Bundesstaaten, wie Kalifornien, sp\u00fcren die Unternehmen den Druck. Fast 70 % der Unternehmen sind sich einig, dass sie einem starken regulatorischen Druck zur Gew\u00e4hrleistung einer strengen Authentifizierung f\u00fcr ihre Kunden ausgesetzt sind. Mehr als die H\u00e4lfte der Unternehmen glaubt, dass ihre Authentifizierungsmethoden in einigen Jahren nicht mehr ausreichen werden, um den regulatorischen Standards gerecht zu werden.<\/p>\n<blockquote><p>Der Unterschied zwischen den Ans\u00e4tzen russischer und amerikanisch-europ\u00e4ischer Gesetzgeber zum Schutz personenbezogener Daten von Nutzern von Programmen und Dienstleistungen ist deutlich sichtbar. In Russland h\u00f6ren wir: \"Liebe Betreiber von Diensten, macht, was ihr wollt, aber wenn euer Administrator die Datenbank leakt, dann bestraften wir euch.\" Im Ausland hingegen sagt man: \"Ihr m\u00fcsst ein umfassendes Ma\u00dfnahmenpaket umsetzen, das\" <b>nicht erm\u00f6glichen<\/b> die Datenbanklecks verhindert. Genau aus diesem Grund wird dort aktiv die Forderung nach strenger Zwei-Faktor-Authentifizierung umgesetzt.<br \/>\nEs ist jedoch keineswegs sicher, dass unsere Gesetzgebungsmaschine irgendwann nicht aufwacht und die westlichen Erfahrungen ber\u00fccksichtigt. Dann wird sich herausstellen, dass alle dringend die 2FA implementieren m\u00fcssen, die den russischen kryptografischen Standards entspricht.\n<\/p><\/blockquote>\n<p>\n<b>Die Schaffung einer zuverl\u00e4ssigen Authentifizierungsbasis erm\u00f6glicht es Unternehmen, den Fokus von der Erf\u00fcllung gesetzlicher Anforderungen auf die Bed\u00fcrfnisse der Kunden zu verlagern. <\/b> F\u00fcr Organisationen, die noch einfache Passw\u00f6rter oder die SMS-Code-\u00dcbermittlung verwenden, ist die Einhaltung der regulatorischen Anforderungen der entscheidende Faktor bei der Auswahl einer Authentifizierungsmethode. Unternehmen, die bereits strenge Authentifizierung einsetzen, k\u00f6nnen hingegen den Fokus auf die Auswahl von Methoden legen, die die Kundentreue erh\u00f6hen.<\/p>\n<p><b>Bei der Wahl der Unternehmensauthentifizierung innerhalb des Unternehmens spielen die Anforderungen der Regulierungsbeh\u00f6rden bereits keine wesentliche Rolle mehr. <\/b> In diesem Fall sind die Integrationssimplicity (32 %) und die Kosten (26 %) viel wichtiger. <\/p>\n<p><b>In der \u00c4ra des Phishings k\u00f6nnen Angreifer Unternehmens-E-Mails f\u00fcr betr\u00fcgerische Aktivit\u00e4ten nutzen,<\/b> um auf betr\u00fcgerische Weise auf Daten und Konten (mit den entsprechenden Berechtigungen) zuzugreifen und sogar Mitarbeiter zu \u00fcberzeugen, Geld auf ihr Konto zu \u00fcberweisen. Daher sollten Unternehmens-E-Mail-Konten und Portale besonders gut gesch\u00fctzt sein.<\/p>\n<p><b>Google hat seinen Schutz durch die Einf\u00fchrung strenger Authentifizierung verst\u00e4rkt.<\/b> Vor mehr als zwei Jahren ver\u00f6ffentlichte Google einen Bericht \u00fcber die Einf\u00fchrung der Zwei-Faktor-Authentifizierung auf Basis von Sicherheits-Schl\u00fcsseltechnologie nach dem FIDO U2F-Standard und berichtete von beeindruckenden Ergebnissen. Laut dem Unternehmen gab es gegen \u00fcber 85.000 Mitarbeiter keinen einzigen Phishing-Angriff. <\/p>\n<h3>Empfehlungen<\/h3>\n<p>\n<b>Implementieren Sie strenge Authentifizierungsma\u00dfnahmen f\u00fcr mobile und Online-Anwendungen. <\/b> Die mehrfaktorielle Authentifizierung auf Basis von kryptografischen Schl\u00fcsseln bietet einen wesentlich besseren Schutz vor Hacking als traditionelle MFA-Methoden. Dar\u00fcber hinaus ist die Verwendung von kryptografischen Schl\u00fcsseln viel benutzerfreundlicher, da keine zus\u00e4tzlichen Informationen wie Passw\u00f6rter, Einmalpassw\u00f6rter oder biometrische Daten vom Benutzerger\u00e4t zum Authentifizierungsserver \u00fcbermittelt werden m\u00fcssen. Zudem erm\u00f6glicht die Standardisierung der Authentifizierungsprotokolle eine einfachere Implementierung neuer Authentifizierungsmethoden, sobald sie verf\u00fcgbar sind, wodurch die Nutzungskosten gesenkt und der Schutz vor komplizierteren Betrugsmaschen erh\u00f6ht wird.<\/p>\n<p><b>Bereiten Sie sich auf das Ende der Einmal-Passw\u00f6rter (OTP) vor. <\/b> Die Schwachstellen von OTP werden zunehmend offensichtlich, da Cyberkriminelle Social Engineering, Smartphone-Klonungen und Malware nutzen, um diese Authentifizierungsmittel zu gef\u00e4hrden. Und w\u00e4hrend OTP in bestimmten F\u00e4llen gewisse Vorteile bieten, tun sie dies vor allem durch ihre universelle Verf\u00fcgbarkeit f\u00fcr alle Nutzer, jedoch nicht im Hinblick auf die Sicherheit.<\/p>\n<blockquote><p>Es l\u00e4sst sich nicht leugnen, dass das Empfangen von Codes per SMS oder Push-Benachrichtigungen sowie die Generierung von Codes durch Smartphone-Apps genau das ist, was die Nutzung der ber\u00fcchtigten Einmalpassw\u00f6rter (OTP) darstellt, auf deren Niedergang wir uns vorbereiten sollen. Technisch gesehen ist die L\u00f6sung sehr sinnvoll, denn nur selten versucht ein Betr\u00fcger nicht, das Einmalpasswort von einem vertrauensvollen Nutzer zu erlangen. Ich denke, die Hersteller solcher Systeme werden bis zum Schluss an dieser sterbenden Technologie festhalten. <\/p><\/blockquote>\n<p><b>Nutzen Sie strenge Authentifizierung als Marketinginstrument zur Steigerung des Kundenvertrauens. <\/b> Strikte Authentifizierung kann nicht nur die tats\u00e4chliche Sicherheit Ihres Unternehmens verbessern. Die Information der Kunden dar\u00fcber, dass Ihr Unternehmen strikte Authentifizierung nutzt, kann das \u00f6ffentliche Sicherheitsbewusstsein f\u00fcr dieses Unternehmen st\u00e4rken \u2013 ein wichtiger Faktor, wenn es einen signifikanten Kundenbedarf nach zuverl\u00e4ssigen Authentifizierungsmethoden gibt.<\/p>\n<p><b>F\u00fchren Sie eine gr\u00fcndliche Bestandsaufnahme und Bewertung der Bedeutung von Unternehmensdaten durch und sch\u00fctzen Sie diese entsprechend ihrer Wichtigkeit. <\/b> Selbst Daten mit geringem Risiko, wie beispielsweise Kontaktdaten von Kunden (<i>nein, tats\u00e4chlich steht im Bericht \u201elow-risk\u201c, es ist sehr merkw\u00fcrdig, dass sie die Bedeutung dieser Informationen untersch\u00e4tzen<\/i>), k\u00f6nnen f\u00fcr Betr\u00fcger erheblichen Wert haben und Probleme f\u00fcr das Unternehmen verursachen. <\/p>\n<p><b>Nutzen Sie strikte Authentifizierung im Unternehmen. <\/b> Systemreihen stellen die attraktivsten Ziele f\u00fcr Cyberkriminelle dar. Dazu geh\u00f6ren sowohl interne als auch mit dem Internet verbundene Systeme, wie beispielsweise Buchhaltungssoftware oder Unternehmensdatenbanken. Strikte Authentifizierung sch\u00fctzt davor, dass Angreifer unbefugten Zugriff erlangen, und erm\u00f6glicht es au\u00dferdem, genau festzustellen, welche Mitarbeiter b\u00f6swillige Aktivit\u00e4ten ausgef\u00fchrt haben.<\/p>\n<h2> Was ist strikte Authentifizierung? <\/h2>\n<p>\nBei der Verwendung von strikter Authentifizierung kommen mehrere Methoden oder Faktoren zur \u00dcberpr\u00fcfung der Benutzeridentit\u00e4t zum Einsatz:<\/p>\n<ul>\n<li><b>Wissensfaktor:<\/b> ein gemeinsames Geheimnis zwischen dem Benutzer und der Authentifizierungsinstanz (z. B. Passw\u00f6rter, Antworten auf geheime Fragen usw.)<\/li>\n<li><b>Besitzfaktor:<\/b> ein Ger\u00e4t, das nur der Benutzer besitzt (z. B. ein mobiles Ger\u00e4t, ein kryptographischer Schl\u00fcssel usw.)<\/li>\n<li><b>Inh\u00e4rentheitsfaktor:<\/b> physische (h\u00e4ufig biometrische) Merkmale des Benutzers (z. B. Fingerabdruck, Iris-Scan, Stimme, Verhalten usw.)<\/li>\n<\/ul>\n<p>\nDie Notwendigkeit, mehrere Faktoren zu \u00fcberwinden, erh\u00f6ht erheblich die Wahrscheinlichkeit des Scheiterns f\u00fcr Angreifer, da das Umgehen oder T\u00e4uschen verschiedener Faktoren den Einsatz mehrerer Arten von Angriffstaktiken erfordert, die jeweils spezifisch f\u00fcr jeden Faktor sind.<\/p>\n<blockquote><p> Beispielsweise kann bei der 2FA-Option 'Passwort + Smartphone' ein Angreifer die Authentifizierung durchf\u00fchren, indem er das Passwort des Nutzers ausspioniert und eine exakte softwaretechnische Kopie seines Smartphones anfertigt. Das ist weitaus komplizierter, als einfach das Passwort zu stehlen. <\/p>\n<p>Wenn allerdings zur 2FA ein Passwort und ein kryptografischer Token verwendet werden, funktioniert die Option des Kopierens nicht \u2013 den Token kann man nicht duplizieren. Der Betr\u00fcger m\u00fcsste den Token unbemerkt vom Nutzer entwenden. Sollte der Nutzer den Verlust rechtzeitig bemerken und den Administrator informieren, wird der Token gesperrt, und die M\u00fchen des Betr\u00fcgers sind umsonst. Aus diesem Grund sollten f\u00fcr den Besitzfaktor spezialisierte sichere Ger\u00e4te (Tokens) und keine Ger\u00e4te f\u00fcr allgemeine Zwecke (Smartphones) verwendet werden.<\/p>\n<p>Die Verwendung aller drei Faktoren macht diese Authentifizierungsmethode recht kostspielig in der Implementierung und recht umst\u00e4ndlich in der Anwendung. Daher werden \u00fcblicherweise zwei von drei Faktoren verwendet.<\/p>\n<p>Die Grunds\u00e4tze der Zwei-Faktor-Authentifizierung werden detaillierter beschrieben <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/aktiv-company\/blog\/436926\/\">hier<\/a><\/noindex>, im Abschnitt \u201eWie die Zwei-Faktor-Authentifizierung funktioniert\u201c. <\/p><\/blockquote>\n<p>\n<b>Es ist wichtig zu beachten, dass mindestens einer der Authentifizierungsfaktoren, die bei der strengen Authentifizierung verwendet werden, auf kryptografischer Technologie mit \u00f6ffentlichem Schl\u00fcssel basieren muss.<\/b><\/p>\n<p>Strenge Authentifizierung bietet einen deutlich besseren Schutz als die Einzelfaktor-Authentifizierung, die auf klassischen Passw\u00f6rtern und traditionellem MFA basiert. Passw\u00f6rter k\u00f6nnen durch Keylogger, Phishing-Seiten oder Social Engineering-Angriffe (bei denen das get\u00e4uschte Opfer selbst sein Passwort preisgibt) ausspioniert oder abgefangen werden. Dabei hat der Besitzer des Passworts keine Ahnung von der tats\u00e4chlichen Diebstahl. Traditionelles MFA (einschlie\u00dflich OTP-Codes, Anbindung an Smartphones oder SIM-Karten) kann ebenfalls relativ leicht umgangen werden, da es nicht auf der Kryptografie \u00f6ffentlicher Schl\u00fcssel basiert.<i>\u00dcbrigens gibt es viele Beispiele, bei denen Betr\u00fcger mithilfe von sozialen Ingenieurtechniken Nutzer dazu \u00fcberredeten, ihnen Einmalpassw\u00f6rter mitzuteilen.<\/i>).<\/p>\n<p>Gl\u00fccklicherweise gewinnt die Nutzung strenger Authentifizierung und traditioneller MFA seit dem letzten Jahr sowohl in Verbraucher- als auch in Unternehmensanwendungen immer mehr an Bedeutung. Besonders schnell ist der Anstieg bei der Verwendung strenger Authentifizierung in Verbraucheranwendungen. W\u00e4hrend im Jahr 2017 nur 5 % der Unternehmen diese Methode verwendeten, waren es 2018 bereits dreimal so viele \u2013 16 %. Dies l\u00e4sst sich durch die gestiegene Verf\u00fcgbarkeit von Tokens erkl\u00e4ren, die Algorithmen der Public Key Cryptography (PKC) unterst\u00fctzen. Zudem hat der zunehmende Druck europ\u00e4ischer Regulierungsbeh\u00f6rden nach der Einf\u00fchrung neuer Datenschutzvorschriften wie PSD2 und GDPR auch au\u00dferhalb Europas starke Wirkung gezeigt.<i>darunter auch in Russland<\/i>).<\/p>\n<p><img decoding=\"async\" alt=\"Was passiert mit der Authentifizierung und den Passw\u00f6rtern? \u00dcbersetzung des Javelin-Berichts \u201eZustand der strengen Authentifizierung\u201c mit Kommentaren\" src=\"\/wp-content\/uploads\/2019\/04\/a94d3015f440fe2b98a56cc5c91a2721.png\" style=\"display:block;margin: 0 auto;\" \/><\/p>\n<blockquote><p>Lassen Sie uns diese Zahlen genauer betrachten. Wie wir sehen, ist der Anteil der Privatanwender, die Mehrfaktor-Authentifizierung nutzen, im Laufe des Jahres um beeindruckende 11 % gestiegen. Dies geschah offensichtlich auf Kosten der Passwortenthusiasten, denn die Zahlen derjenigen, die an die Sicherheit von Push-Benachrichtigungen, SMS und Biometrie glauben, sind unver\u00e4ndert geblieben.<\/p>\n<p>Die Situation bei der Zwei-Faktor-Authentifizierung im Unternehmensbereich sieht weniger rosig aus. Erstens zeigt der Bericht, dass lediglich 5 % der Mitarbeiter von der Passwortauthentifizierung auf Tokens umgeschaltet wurden. Zweitens ist der Anteil derjenigen, die in der Unternehmensumgebung alternative MFA-Optionen nutzen, um 4 % gestiegen.<\/p>\n<p>Ich werde versuchen, den Analysten zu spielen und meine eigene Interpretation abzugeben. Im Zentrum der digitalen Welt der Einzelbenutzer steht das Smartphone. Daher ist es nicht verwunderlich, dass die meisten die M\u00f6glichkeiten nutzen, die ihnen dieses Ger\u00e4t bietet \u2013 biometrische Authentifizierung, SMS und Push-Benachrichtigungen sowie Einmalpassw\u00f6rter, die von Apps auf demselben Smartphone generiert werden. \u00dcber die Sicherheit und Zuverl\u00e4ssigkeit der ihnen vertrauten Werkzeuge machen sich die Menschen in der Regel keine Gedanken.<\/p>\n<p>Deshalb bleibt der Anteil der Nutzer einfacher \u201etraditioneller\u201c Authentifizierungsfaktoren unver\u00e4ndert. Aber diejenigen, die zuvor Passw\u00f6rter genutzt haben, erkennen das Risiko und entscheiden sich bei der Wahl eines neuen Authentifizierungsfaktors f\u00fcr die modernste und sicherste Option \u2013 den kryptografischen Token.<\/p>\n<p>Im Hinblick auf den Unternehmensmarkt ist es wichtig zu verstehen, in welches System die Authentifizierung erfolgt. Bei der Anmeldung in einer Windows-Dom\u00e4ne kommen kryptografische Tokens zum Einsatz. Die M\u00f6glichkeit, diese f\u00fcr 2FA zu nutzen, ist sowohl in Windows als auch in Linux integriert, w\u00e4hrend alternative Optionen langwierig und kompliziert zu implementieren sind. Hier sehen Sie den \u00dcbergang von 5 % von Passw\u00f6rtern zu Tokens.<\/p>\n<p>Die Implementierung von 2FA in Unternehmensinformationssystemen h\u00e4ngt stark von der Qualifikation der Entwickler ab. Entwicklern f\u00e4llt es wesentlich einfacher, fertige Module zur Generierung von Einmalpassw\u00f6rtern zu verwenden, als sich mit der Funktionsweise kryptografischer Algorithmen auseinanderzusetzen. In der Folge nutzen sogar extrem sicherheitskritische Anwendungen wie Single Sign-On oder Privileged Access Management OTP als zweiten Faktor. <\/p><\/blockquote>\n<h2> Zahlreiche Sicherheitsanf\u00e4lligkeiten bei traditionellen Authentifizierungsmethoden<\/h2>\n<p>\nObwohl viele Organisationen weiterhin auf veraltete Einzelfaktorsysteme angewiesen sind, werden die Schw\u00e4chen traditioneller Mehrfaktorauthentifizierung immer offensichtlicher. Einmalpassw\u00f6rter, die normalerweise aus sechs bis acht Zeichen bestehen und per SMS versendet werden, bleiben die h\u00e4ufigste Form der Authentifizierung (neben dem Wissensfaktor des Passworts). Wenn in der Presse die Begriffe \u201eZwei-Faktor-Authentifizierung\u201c oder \u201eZweistufige \u00dcberpr\u00fcfung\u201c erw\u00e4hnt werden, beziehen sie sich fast immer auf die Authentifizierung mit einmaligen SMS-Passw\u00f6rtern.<\/p>\n<blockquote><p>Hier macht der Autor einen kleinen Fehler. Der Versand von einmaligen Passw\u00f6rtern per SMS war niemals eine Zwei-Faktor-Authentifizierung. Das ist rein der zweite Schritt einer zweistufigen Authentifizierung, bei dem der erste Schritt die Eingabe von Benutzername und Passwort ist.\n<\/p><\/blockquote>\n<p>\nIm Jahr 2016 aktualisierte das National Institute of Standards and Technology (NIST) seine Authentifizierungsrichtlinien, um die Verwendung von einmaligen Passw\u00f6rtern, die per SMS gesendet wurden, auszuschlie\u00dfen. Diese Richtlinien wurden jedoch nach Protesten in der Branche erheblich aufgeweicht.<\/p>\n<blockquote><p>Behalten wir die Entwicklung im Auge. Die amerikanische Regulierungsbeh\u00f6rde erkennt zu Recht an, dass veraltete Technologien nicht in der Lage sind, die Sicherheit der Benutzer zu gew\u00e4hrleisten, und f\u00fchrt neue Standards ein. Diese Standards sollen Online- und mobile Anwendungen (einschlie\u00dflich Bankanwendungen) sch\u00fctzen. Die Branche \u00fcberlegt, wie viel Geld f\u00fcr den Erwerb wirklich sicherer kryptographischer Tokens, f\u00fcr die Umgestaltung von Anwendungen und f\u00fcr die Bereitstellung \u00f6ffentlicher Schl\u00fcssel-Infrastrukturen ausgegeben werden muss, und \u201estellt sich quer\u201c. Einerseits wurden die Benutzer von der Zuverl\u00e4ssigkeit der einmaligen Passw\u00f6rter \u00fcberzeugt, andererseits gab es Angriffe auf das NIST. Infolgedessen wurde der Standard aufgeweicht, w\u00e4hrend die Anzahl der Hacks und Passwortdiebst\u00e4hle (neben dem Diebstahl von Geld aus Bankanwendungen) stark angestiegen ist. So musste die Industrie nicht viel Geld ausgeben. <\/p><\/blockquote>\n<p>\nSeitdem sind die Schw\u00e4chen von SMS-OTPs deutlicher geworden. Betr\u00fcger nutzen verschiedene Methoden zur Kompromittierung von SMS-Nachrichten:<\/p>\n<ul>\n<li><b> SIM-Kartenduplizierung. <\/b> Angreifer erstellen eine Kopie der SIM <i>(entweder mithilfe von Mitarbeitern des Mobilfunkanbieters oder eigenst\u00e4ndig mit spezieller Software und Hardware)<\/i>. In einem besonders bekannten Fall konnten Hacker sogar das Konto des AT&amp;T-Kunden und Kryptow\u00e4hrungsinvestors Michael Terpin kompromittieren und fast 24 Millionen Dollar in Kryptow\u00e4hrungen stehlen. Daher behauptete Terpin, dass AT&amp;T wegen schwacher Verifizierungsma\u00dfnahmen verantwortlich war, die zur Duplizierung seiner SIM-Karte f\u00fchrten.<br \/>\n<blockquote><p>Erstaunliche Logik. Bedeutet das, dass nur AT&amp;T schuld ist? Nein, die Verantwortung des Mobilfunkanbieters liegt sicherlich darin, dass die Verk\u00e4ufer im Fachgesch\u00e4ft ein Duplikat der SIM-Karte ausgestellt haben. Aber wie steht es um das Authentifizierungssystem der Kryptow\u00e4hrungsb\u00f6rse? Warum haben sie keine zuverl\u00e4ssigen kryptografischen Token verwendet? War das Geld f\u00fcr die Implementierung zu schade? Und Michael selbst ist nicht schuld? Warum hat er nicht darauf bestanden, den Authentifizierungsmechanismus zu \u00e4ndern oder nur bei B\u00f6rsen zu handeln, die eine Zwei-Faktor-Authentifizierung auf Basis von kryptografischen Tokens anbieten?<\/p>\n<p>Die Implementierung wirklich zuverl\u00e4ssiger Authentifizierungsmethoden wird gerade dadurch verz\u00f6gert, dass die Nutzer vor dem Hack eine erstaunliche Sorglosigkeit zeigen und danach jeden und alles f\u00fcr ihre Probleme verantwortlich machen, au\u00dfer f\u00fcr die veralteten und \"l\u00f6chrigen\" Authentifizierungstechnologien.<\/p><\/blockquote>\n<\/li>\n<li><b>Schadhafte Programme (Malware).<\/b> Eine der fr\u00fchesten Funktionen mobiler Malware war das Abfangen und Weiterleiten von Textnachrichten an Angreifer. Auch 'Man-in-the-Browser'- und 'Man-in-the-Middle'-Angriffe k\u00f6nnen Einmalpassw\u00f6rter abfangen, w\u00e4hrend sie auf infizierten Notebooks oder Desktop-Ger\u00e4ten eingegeben werden.<br \/>\n<blockquote><p>Wenn die Sberbank-App auf Ihrem Smartphone das gr\u00fcne Symbol in der Statusleiste blinkt, sucht sie unter anderem nach \"Schadsoftware\" auf Ihrem Telefon. Ziel dieser Ma\u00dfnahme ist es, eine unzuverl\u00e4ssige Ausf\u00fchrungsumgebung eines typischen Smartphones zumindest teilweise in eine vertrauensw\u00fcrdige zu verwandeln.<br \/>\n\u00dcbrigens ist das Smartphone, als absolut unzuverl\u00e4ssiges Ger\u00e4t, auf dem alles M\u00f6gliche ausgef\u00fchrt werden kann, ein weiterer Grund, nur f\u00fcr die Authentifizierung <b>Hardware-Token<\/b>, die abgesichert und frei von Viren und Trojanern sind.<\/p><\/blockquote>\n<\/li>\n<li><b>Soziale Ingenieurkunst.<\/b> Wenn Betr\u00fcger wissen, dass das Opfer Einmalpassw\u00f6rter per SMS aktiviert hat, k\u00f6nnen sie direkt mit dem Opfer in Kontakt treten und sich als vertrauensw\u00fcrdige Organisation ausgeben, wie beispielsweise deren Bank oder Kreditgenossenschaft, um das Opfer zu t\u00e4uschen und den gerade erhaltenen Code zu erhalten.<br \/>\n<blockquote><p>Mit dieser Art von Betrug habe ich pers\u00f6nlich mehrfach zu tun gehabt, zum Beispiel als ich versuchte, etwas auf einem beliebten Online-Marktplatz zu verkaufen. Ich habe mich ausgiebig \u00fcber einen Betr\u00fcger lustig gemacht, der versuchte, mich hereinzulegen. Leider lese ich jedoch regelm\u00e4\u00dfig in den Nachrichten, wie ein weiteres Betrugsopfer \"nicht nachgedacht\" hat, den Best\u00e4tigungscode angegeben hat und eine gro\u00dfe Summe Geld verloren hat. Und das alles, weil die Bank einfach keine Lust hat, kryptographische Tokens in ihre Anwendungen zu integrieren. Schlie\u00dflich sind die Kunden dann \"selbst schuld\", wenn etwas schiefgeht.<\/p><\/blockquote>\n<\/li>\n<\/ul>\n<p>\nObwohl alternative Methoden zur Zustellung von Einmalpassw\u00f6rtern einige Schwachstellen dieser Authentifizierungsmethode abschw\u00e4chen k\u00f6nnen, bleiben andere Schwachstellen bestehen. Autonome Anwendungen zur Code-Generierung bieten den besten Schutz gegen Abfangversuche, da sch\u00e4dliche Software praktisch nicht direkt mit dem Code-Generator interagieren kann (<i>ernsthaft? Der Autor des Berichts hat die Fernsteuerung vergessen?<\/i>), aber OTP k\u00f6nnen dennoch beim Eingeben im Browser abgefangen werden (<i>zum Beispiel durch die Verwendung eines Keyloggers<\/i>), \u00fcber eine gehackte mobile Anwendung; sie k\u00f6nnen zudem direkt vom Benutzer durch soziale Ingenieurskunst erlangt werden.<br \/>\nDie Verwendung mehrerer Risikobewertungsinstrumente, wie z. B. Ger\u00e4keerkennung (<i>Identifikation von Versuchen, Vorg\u00e4nge von Ger\u00e4ten durchzuf\u00fchren, die nicht dem rechtm\u00e4\u00dfigen Benutzer geh\u00f6ren<\/i>), Geolokalisierung (<i>ein Benutzer, der sich gerade in Moskau aufhielt, versucht eine Transaktion aus Nowosibirsk durchzuf\u00fchren.<\/i>) und Verhaltensanalytik sind entscheidend f\u00fcr die Behebung von Sicherheitsl\u00fccken, aber keine L\u00f6sung ist eine Allheilmittel. F\u00fcr jede Situation und Art von Daten m\u00fcssen die Risiken sorgf\u00e4ltig bewertet werden, um die passende Authentifizierungstechnologie auszuw\u00e4hlen.<\/p>\n<h2>Keine Authentifizierungsl\u00f6sung ist eine Allheilmittel<\/h2>\n<p>\n<b>Abbildung 2. Tabelle der Authentifizierungsoptionen<\/b><\/p>\n<table>\n<tr>\n<td width=\"140\"><strong>Authentifizierung<\/strong><\/td>\n<td width=\"90\"><strong>Faktor<\/strong><\/td>\n<td><strong>Beschreibung<\/strong><\/td>\n<td><strong>Schl\u00fcsselanf\u00e4lligkeiten<\/strong><\/td>\n<\/tr>\n<tr>\n<td>Passwort oder PIN<\/td>\n<td>Wissen<\/td>\n<td>Ein fester Wert, der Buchstaben, Zahlen und eine Reihe von Sonderzeichen enthalten kann<\/td>\n<td>Kann abgefangen, beobachtet, gestohlen, erraten oder gehackt werden<\/td>\n<\/tr>\n<tr>\n<td>Wissensbasierte Authentifizierung<\/td>\n<td>Wissen<\/td>\n<td>Fragen, deren Antworten nur der legitime Nutzer kennt<\/td>\n<td>K\u00f6nnen abgefangen, erraten oder durch Social Engineering erlangt werden<\/td>\n<\/tr>\n<tr>\n<td>Hardware-OTP (<noindex><a rel=\"nofollow\" href=\"https:\/\/www.rutoken.ru\/products\/all\/rutoken-otp\/\">Nummer 00 oder<\/a><\/noindex>)<\/td>\n<td>Besitz<\/td>\n<td>Ein spezielles Ger\u00e4t, das Einmalpassw\u00f6rter generiert<\/td>\n<td>Der Code kann abgefangen und wiederholt werden, oder das Ger\u00e4t kann gestohlen werden<\/td>\n<\/tr>\n<tr>\n<td>Software-OTP<\/td>\n<td>Besitz<\/td>\n<td>Eine Anwendung (mobil, webbasiert oder die Codes per E-Mail versendend), die Einmalpassw\u00f6rter generiert<\/td>\n<td>Der Code kann abgefangen und wiederholt werden, oder das Ger\u00e4t kann gestohlen werden<\/td>\n<\/tr>\n<tr>\n<td>SMS-OTP<\/td>\n<td>Besitz<\/td>\n<td>Einmaliger Passwort, das per SMS zugestellt wird<\/td>\n<td>Der Code kann abgefangen und wiederholt werden, oder das Smartphone oder die SIM-Karte k\u00f6nnen gestohlen werden, oder die SIM-Karte kann dupliziert werden<\/td>\n<\/tr>\n<tr>\n<td>Smartcards (<noindex><a rel=\"nofollow\" href=\"https:\/\/www.rutoken.ru\/products\/all\/smart-card\/\">Nummer 00 oder<\/a><\/noindex>)<\/td>\n<td>Besitz<\/td>\n<td>Eine Karte, die einen kryptografischen Chip und gesch\u00fctzten Speicher mit Schl\u00fcsseln enth\u00e4lt und zur Authentifizierung die Public-Key-Infrastruktur verwendet<\/td>\n<td>Kann physisch gestohlen werden (<i>aber ein Angreifer kann das Ger\u00e4t nicht nutzen, ohne den PIN-Code zu kennen; nach mehreren falschen Eingabeversuchen wird das Ger\u00e4t gesperrt<\/i>)<\/td>\n<\/tr>\n<tr>\n<td>Sicherheitsschl\u00fcssel \u2013 Tokens (<noindex><a rel=\"nofollow\" href=\"https:\/\/www.rutoken.ru\/products\/all\/rutoken-ecp-pki\/\">Nummer 00 oder<\/a><\/noindex>, <noindex><a rel=\"nofollow\" href=\"https:\/\/www.rutoken.ru\/products\/all\/rutoken-u2f\/\">ein weiteres Beispiel<\/a><\/noindex>)<\/td>\n<td>Besitz<\/td>\n<td>Ein USB-Ger\u00e4t, das einen kryptografischen Chip und gesch\u00fctzten Speicher mit Schl\u00fcsseln enth\u00e4lt, verwendet zur Authentifizierung die Public-Key-Infrastruktur<\/td>\n<td>Kann physisch gestohlen werden (aber ein Angreifer kann das Ger\u00e4t nicht nutzen, ohne den PIN-Code zu kennen; nach mehreren falschen Eingabeversuchen wird das Ger\u00e4t gesperrt)<\/td>\n<\/tr>\n<tr>\n<td>Ger\u00e4tebindung<\/td>\n<td>Besitz<\/td>\n<td>Der Prozess zur Erstellung eines Profils erfolgt h\u00e4ufig unter Verwendung von JavaScript oder durch Marker wie Cookies und Flash Shared Objects, um sicherzustellen, dass ein bestimmtes Ger\u00e4t verwendet wird.<\/td>\n<td>Marker k\u00f6nnen gestohlen (kopiert) werden, und auch die Merkmale eines legitimen Ger\u00e4ts k\u00f6nnen von einem Angreifer auf seinem eigenen Ger\u00e4t imitiert werden.<\/td>\n<\/tr>\n<tr>\n<td>Das Verhalten<\/td>\n<td>Unver\u00e4nderlichkeit<\/td>\n<td>Es wird analysiert, wie der Benutzer mit dem Ger\u00e4t oder der Software interagiert.<\/td>\n<td>Verhalten kann imitiert werden.<\/td>\n<\/tr>\n<tr>\n<td>Fingerabdr\u00fccke<\/td>\n<td>Unver\u00e4nderlichkeit<\/td>\n<td>Gespeicherte Fingerabdr\u00fccke werden mit optisch oder elektronisch erfassten verglichen.<\/td>\n<td>Ein Bild kann gestohlen und zur Authentifizierung verwendet werden.<\/td>\n<\/tr>\n<tr>\n<td>Augenscan<\/td>\n<td>Unver\u00e4nderlichkeit<\/td>\n<td>Die Merkmale des Auges, wie das Muster der Iris des Sch\u00fclers, werden mit neuen Scans verglichen, die optisch erfasst werden.<\/td>\n<td>Ein Bild kann gestohlen und zur Authentifizierung verwendet werden.<\/td>\n<\/tr>\n<tr>\n<td>Gesichtserkennung<\/td>\n<td>Unver\u00e4nderlichkeit<\/td>\n<td>Die Merkmale des Gesichts werden mit neuen Scans verglichen, die optisch erfasst werden.<\/td>\n<td>Ein Bild kann gestohlen und zur Authentifizierung verwendet werden.<\/td>\n<\/tr>\n<tr>\n<td>Spracherkennung<\/td>\n<td>Unver\u00e4nderlichkeit<\/td>\n<td>Die Merkmale des aufgenommenen Sprachmusters werden mit neuen Mustern verglichen.<\/td>\n<td>Die Aufnahme kann gestohlen und zur Authentifizierung verwendet oder emuliert werden.<\/td>\n<\/tr>\n<\/table>\n<p>Im zweiten Teil des Beitrags erwarten uns die spannendsten Aspekte \u2013 Zahlen und Fakten, auf denen die in Teil eins getroffenen Schlussfolgerungen und Empfehlungen basieren. Wir werden die Authentifizierung in Benutzeranwendungen sowie in Unternehmenssystemen gesondert betrachten.<\/p>\n<p>Bis bald!<br \/>\n<br \/>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/aktiv-company\/blog\/449442\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>\u0421\u043f\u043e\u0439\u043b\u0435\u0440 \u0438\u0437 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 \u043e\u0442\u0447\u0435\u0442\u0430 \u00ab\u041a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u043b\u0443\u0447\u0430\u0435\u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0442\u0440\u043e\u0433\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0432\u044b\u0440\u043e\u0441\u043b\u043e \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u0443\u0433\u0440\u043e\u0437\u0430\u043c \u043d\u043e\u0432\u044b\u0445 \u0440\u0438\u0441\u043a\u043e\u0432 \u0438 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c \u0440\u0435\u0433\u0443\u043b\u044f\u0442\u043e\u0440\u043e\u0432\u00bb. \u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u00abJavelin Strategy &amp; Research\u00bb \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043b\u0430 \u043e\u0442\u0447\u0451\u0442 \u00abThe State of Strong Authentication 2019\u00bb ( \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 pdf \u043c\u043e\u0436\u043d\u043e \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u0442\u0443\u0442). \u0412 \u044d\u0442\u043e\u043c \u043e\u0442\u0447\u0435\u0442\u0435 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e: \u043a\u0430\u043a\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u043d\u0442 \u0430\u043c\u0435\u0440\u0438\u043a\u0430\u043d\u0441\u043a\u0438\u0445 \u0438 \u0435\u0432\u0440\u043e\u043f\u0435\u0439\u0441\u043a\u0438\u0445 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0430\u0440\u043e\u043b\u0438 (\u0438 \u043f\u043e\u0447\u0435\u043c\u0443 \u043f\u0430\u0440\u043e\u043b\u0438 \u0441\u0435\u0439\u0447\u0430\u0441 [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":24451,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[702],"tags":[],"class_list":["post-32662","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-novosti-interneta"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"\u0421\u043f\u043e\u0439\u043b\u0435\u0440 \u0438\u0437 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 \u043e\u0442\u0447\u0435\u0442\u0430 \u00ab\u041a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u043b\u0443\u0447\u0430\u0435\u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0442\u0440\u043e\u0433\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0432\u044b\u0440\u043e\u0441\u043b\u043e \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u0443\u0433\u0440\u043e\u0437\u0430\u043c \u043d\u043e\u0432\u044b\u0445 \u0440\u0438\u0441\u043a\u043e\u0432 \u0438 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c \u0440\u0435\u0433\u0443\u043b\u044f\u0442\u043e\u0440\u043e\u0432\u00bb. \u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u00abJavelin Strategy &amp; Research\u00bb \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043b\u0430 \u043e\u0442\u0447\u0451\u0442 \u00abThe State of Strong Authentication 2019\u00bb ( \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 pdf \u043c\u043e\u0436\u043d\u043e \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u0442\u0443\u0442). \u0412 \u044d\u0442\u043e\u043c \u043e\u0442\u0447\u0435\u0442\u0435 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e: \u043a\u0430\u043a\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u043d\u0442 \u0430\u043c\u0435\u0440\u0438\u043a\u0430\u043d\u0441\u043a\u0438\u0445 \u0438 \u0435\u0432\u0440\u043e\u043f\u0435\u0439\u0441\u043a\u0438\u0445 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0430\u0440\u043e\u043b\u0438 (\u0438 \u043f\u043e\u0447\u0435\u043c\u0443 \u043f\u0430\u0440\u043e\u043b\u0438 \u0441\u0435\u0439\u0447\u0430\u0441\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/chto-budet-s-autentifikatsiej-i-parolyami-perevod-otcheta-javelin-sostoyanie-strogoj-autentifikatsii-s-kommentariyami\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47\u0427\u0442\u043e \u0431\u0443\u0434\u0435\u0442 \u0441 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0435\u0439 \u0438 \u043f\u0430\u0440\u043e\u043b\u044f\u043c\u0438? \u041f\u0435\u0440\u0435\u0432\u043e\u0434 \u043e\u0442\u0447\u0435\u0442\u0430 Javelin \u00ab\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0441\u0442\u0440\u043e\u0433\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438\u00bb \u0441 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u043c\u0438 | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"\u0421\u043f\u043e\u0439\u043b\u0435\u0440 \u0438\u0437 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 \u043e\u0442\u0447\u0435\u0442\u0430 \u00ab\u041a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u043b\u0443\u0447\u0430\u0435\u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0442\u0440\u043e\u0433\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0432\u044b\u0440\u043e\u0441\u043b\u043e \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u0443\u0433\u0440\u043e\u0437\u0430\u043c \u043d\u043e\u0432\u044b\u0445 \u0440\u0438\u0441\u043a\u043e\u0432 \u0438 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c \u0440\u0435\u0433\u0443\u043b\u044f\u0442\u043e\u0440\u043e\u0432\u00bb. \u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u00abJavelin Strategy &amp; Research\u00bb \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043b\u0430 \u043e\u0442\u0447\u0451\u0442 \u00abThe State of Strong Authentication 2019\u00bb ( \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 pdf \u043c\u043e\u0436\u043d\u043e \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u0442\u0443\u0442). \u0412 \u044d\u0442\u043e\u043c \u043e\u0442\u0447\u0435\u0442\u0435 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e: \u043a\u0430\u043a\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u043d\u0442 \u0430\u043c\u0435\u0440\u0438\u043a\u0430\u043d\u0441\u043a\u0438\u0445 \u0438 \u0435\u0432\u0440\u043e\u043f\u0435\u0439\u0441\u043a\u0438\u0445 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0430\u0440\u043e\u043b\u0438 (\u0438 \u043f\u043e\u0447\u0435\u043c\u0443 \u043f\u0430\u0440\u043e\u043b\u0438 \u0441\u0435\u0439\u0447\u0430\u0441\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/chto-budet-s-autentifikatsiej-i-parolyami-perevod-otcheta-javelin-sostoyanie-strogoj-autentifikatsii-s-kommentariyami\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T18:48:16+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T18:48:16+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Was wird mit Authentifizierung und Passw\u00f6rtern geschehen? \u00dcbersetzung des Berichts von Javelin \u201eDer Zustand strenger Authentifizierung\u201c mit Kommentaren | ProHoster","description":"Spoiler aus dem Titel des Berichts \u201eDie Anzahl der F\u00e4lle strenger Authentifizierung ist aufgrund neuer Risiken und regulatorischer Anforderungen gestiegen\u201c. Das Forschungsunternehmen \u201eJavelin Strategy &amp; Research\u201c hat den Bericht \u201eThe State of Strong Authentication 2019\u201c ver\u00f6ffentlicht (die Originalfassung im PDF-Format kann hier heruntergeladen werden). In diesem Bericht wird dargelegt, welcher Anteil amerikanischer und europ\u00e4ischer Unternehmen Passw\u00f6rter verwendet (und warum Passw\u00f6rter in der heutigen Zeit)","canonical_url":"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/chto-budet-s-autentifikatsiej-i-parolyami-perevod-otcheta-javelin-sostoyanie-strogoj-autentifikatsii-s-kommentariyami","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47\u0427\u0442\u043e \u0431\u0443\u0434\u0435\u0442 \u0441 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0435\u0439 \u0438 \u043f\u0430\u0440\u043e\u043b\u044f\u043c\u0438? \u041f\u0435\u0440\u0435\u0432\u043e\u0434 \u043e\u0442\u0447\u0435\u0442\u0430 Javelin \u00ab\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0441\u0442\u0440\u043e\u0433\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438\u00bb \u0441 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u043c\u0438 | ProHoster","og:description":"\u0421\u043f\u043e\u0439\u043b\u0435\u0440 \u0438\u0437 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 \u043e\u0442\u0447\u0435\u0442\u0430 \u00ab\u041a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u043b\u0443\u0447\u0430\u0435\u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0442\u0440\u043e\u0433\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0432\u044b\u0440\u043e\u0441\u043b\u043e \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u0443\u0433\u0440\u043e\u0437\u0430\u043c \u043d\u043e\u0432\u044b\u0445 \u0440\u0438\u0441\u043a\u043e\u0432 \u0438 \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f\u043c \u0440\u0435\u0433\u0443\u043b\u044f\u0442\u043e\u0440\u043e\u0432\u00bb. \u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u00abJavelin Strategy &amp; Research\u00bb \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043b\u0430 \u043e\u0442\u0447\u0451\u0442 \u00abThe State of Strong Authentication 2019\u00bb ( \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 pdf \u043c\u043e\u0436\u043d\u043e \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u0442\u0443\u0442). \u0412 \u044d\u0442\u043e\u043c \u043e\u0442\u0447\u0435\u0442\u0435 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e: \u043a\u0430\u043a\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u043d\u0442 \u0430\u043c\u0435\u0440\u0438\u043a\u0430\u043d\u0441\u043a\u0438\u0445 \u0438 \u0435\u0432\u0440\u043e\u043f\u0435\u0439\u0441\u043a\u0438\u0445 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0430\u0440\u043e\u043b\u0438 (\u0438 \u043f\u043e\u0447\u0435\u043c\u0443 \u043f\u0430\u0440\u043e\u043b\u0438 \u0441\u0435\u0439\u0447\u0430\u0441","og:url":"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/chto-budet-s-autentifikatsiej-i-parolyami-perevod-otcheta-javelin-sostoyanie-strogoj-autentifikatsii-s-kommentariyami","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T18:48:16+00:00","article:modified_time":"2019-10-31T18:48:16+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"32662","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-01-21 11:58:19","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-02-28 13:20:07","updated":"2026-01-21 11:58:19"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/32662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=32662"}],"version-history":[{"count":0,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/32662\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/24451"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=32662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=32662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=32662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}