Wenn Sie keine biometrische Authentifizierungsoption für Ihren Computer oder Ihr Smartphone haben, ist die Backup-Option ein PIN-Code. Warum ist es nicht ein Passwort? Sicherlich ist die Eingabe von 8+ Zeichen mit Großbuchstaben und ein paar Ausrufezeichen, um sich bei Ihrem E-Mail-Konto anzumelden, viel sicherer als die vier bis sechs Ziffern, die zwischen einem Eindringling und dem vollen Zugriff auf Ihr iPhone, Ihren Laptop oder Ihr iPad stehen, oder? Tatsächlich ist dieser PIN-Code viel sicherer als Ihr Passwort, und die Kenntnis darüber, warum er sicherer ist, korrigiert viele Missverständnisse über Authentifizierung und Sicherheit.
Standort, Standort, Standort
Ein häufiges Thema in der Passwortsicherheit ist, dass mehr Komplexität mehr Sicherheit bedeutet. Vielleicht haben Sie sogar diese Tabelle gesehen, die zeigt, wie lange es dauern würde, bis ein Hacker ein Passwort knackt, basierend auf der Komplexität des Passworts. Der beabsichtigte Schluss war, dass, wenn ein Passwort ausreichend lang ist und genügend Sonderzeichen enthält, Sie sich keine Sorgen machen müssen, dass ein Hacker es für mindestens ein paar hundert Jahre herausfindet. Aber Passwörter werden ständig kompromittiert, sogar extrem komplexe. Es gibt sogar ganze Dienste, bei denen Menschen regelmäßig überprüfen können, ob eines ihrer Passwörter in falsche Hände geraten ist. Das liegt daran, dass die eigentliche Schwachstelle von Passwörtern nicht in ihrer Komplexität liegt, sondern darin, wo sie gespeichert werden.
Ein Passwort wird auf einem Server gespeichert. Die meisten gestohlenen Passwörter stammen aus solchen Servern, die gehackt wurden, und nicht von einem Hacker, der Stunden oder Monate damit verbringt, verschiedene Buchstaben- und Zahlenkombinationen auszuprobieren, bis er Ihren Netflix-Login herausgefunden hat. Ein PIN-Code hingegen wird auf dem Gerät selbst und nirgendwo anders gespeichert. Wenn Apple gehackt würde und ein Hacker auf ihre Server zugreifen könnte, würde der Hacker Ihren PIN-Code nicht finden, weil er dort nicht gespeichert ist.
Besitz ist neun Zehntel des Gesetzes
Nehmen wir an, jemand bekommt Ihr Passwort, vermutlich durch einen Angriff. Alles, was er braucht, ist Ihr Benutzername oder Ihre E-Mail-Adresse, die normalerweise öffentlich zugänglich ist, und er kann von überall auf der Welt auf Ihre Konten zugreifen.
Auf der anderen Seite nehmen wir an, jemand kennt Ihren PIN-Code. Der PIN-Code gewährt keinen Remote-Zugriff, er ist nur für diejenigen nützlich, die im Besitz des Geräts sind.
Schau mal, beim ersten Versuch!
Für einen vierstelligen PIN-Code gibt es 10.000 Kombinationen und für einen sechsstelligen PIN-Code gibt es eine Million mögliche Kombinationen. Das mag zwar hoch erscheinen, aber vergleichen Sie es mit einem achtstelligen Passwort mit einer Mischung aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen, das Ihnen 457.163.239.653.376 mögliche Kombinationen gibt, und Sie werden feststellen, dass es ziemlich trivial ist. Warum werden Brute-Force-Angriffe nicht bei PINs eingesetzt? Warum benutzen sie nicht einfach eine Software oder Hardware (stellen Sie sich einen Roboterfinger vor), die alle Kombinationen ausprobiert, bis sie geknackt ist, wie sie es bei Passwörtern tun? Dies spielt in einen weiteren Mythos über die Sicherheit von Komplexität hinein. Die Komplexität eines Passworts verhindert tatsächlich die Verwendung von Sicherheitsprotokollen, die dazu dienen, PIN-Codes zu schützen.
Abgesehen davon, dass ein Angreifer das Telefon physisch in seinem Besitz haben müsste, um mit dem Ausprobieren der Kombinationen zu beginnen, wie wir zuvor besprochen haben, hat die PIN-Authentifizierung Anti-Hammering-Maßnahmen, die zu viele Versuche verhindern. Bei einem Android-Telefon haben Sie 10 Versuche, um den richtigen PIN-Code einzugeben, andernfalls müssen Sie einen Factory-Reset durchführen, bei dem alle Inhalte gelöscht werden. Bei iPhones erhöht sich die Wartezeit zwischen den Versuchen nach jeder falschen PIN-Eingabe, bis zu dem Punkt, an dem es drei Stunden dauern würde, 10 verschiedene PIN-Kombinationen auszuprobieren. Sie haben auch die Möglichkeit, die Telefon-Daten nach 10 falschen Versuchen zu löschen.
Warum können Passwörter nicht diese Art von Sicherheit haben? Es scheint, als würde es die Existenz von Brute-Force-Angriffen vollständig eliminieren. Die Antwort lautet: Passwörter sind schwerer zu merken als PINs. Es wird angenommen, dass jeder seine PIN-Nummer kennt, schließlich sind es nur vier Ziffern. Daher legt die Erwartung, dass sie beim ersten (oder zweiten Versuch aufgrund von dicken Fingern) korrekt eingegeben wird, die Protokolle fest. Auf der anderen Seite haben Passwörter eine zusätzliche Komplexität, die sie sicherer machen soll, und haben auch Rücksetzungsanforderungen. Diese “Funktionen” machen Passwörter viel anfälliger für Brute-Force- oder Social-Engineering-Angriffe.
Kurz gesagt: Da PIN-Codes einfacher sind, können sie tatsächlich eine strengere Sicherheit um sich herum haben als etwas Komplexeres wie ein Passwort.
Wie steht es mit den Codes für die Zwei-Faktor-Authentifizierung?
Der vier- bis sechsstellige Code, der nach der Eingabe eines Passworts als zweiter Authentifizierungsfaktor an Ihr mobiles Gerät gesendet wird, unterscheidet sich grundlegend von einem PIN und ist bei weitem nicht so sicher. Der Code, wie ein Passwort, wird außerhalb Ihres Geräts gespeichert und muss über ein Netzwerk an Ihr Gerät gesendet werden, was ihn anfällig für Hacks und Abfangen macht.
