Datenschutzverletzung. JuSun/iStock
Wir verwenden mit dem Internet verbundene Geräte, um auf unsere Bankkonten zuzugreifen, unsere Transportsysteme am Laufen zu halten, mit unseren Kollegen zu kommunizieren, Musik zu hören, geschäftlich sensible Aufgaben zu erledigen – und Pizza zu bestellen. Digitale Sicherheit ist jeden Tag ein wesentlicher Bestandteil unseres Lebens.
Je komplexer unsere IT-Systeme werden, desto größer wird das Potenzial für Schwachstellen. Immer mehr Unternehmen werden angegriffen, was zu finanziellen Verlusten, unterbrochenen Lieferketten und Identitätsbetrug führt.
Die derzeitige Best Practice in der sicheren Technologiearchitektur, die von großen Unternehmen und Organisationen verwendet wird, ist ein „Zero Trust“-Ansatz. Mit anderen Worten, keiner Person oder keinem System wird vertraut und jede Interaktion wird durch eine zentrale Einheit verifiziert.
Leider wird dann absolutes Vertrauen in das verwendete Verifizierungssystem gesetzt. Ein Angriff auf dieses System gibt einem Angreifer also die Schlüssel zum Königreich. Um dieses Problem anzugehen, ist „Dezentralisierung“ ein neues Paradigma, das jeden einzelnen Schwachpunkt beseitigt.
Unsere Arbeit untersucht und entwickelt die Algorithmen, die für die Einrichtung eines effektiven dezentralisierten Verifizierungssystems erforderlich sind. Wir hoffen, dass unsere Bemühungen zum Schutz digitaler Identitäten beitragen und die Sicherheit der Verifizierungsprozesse stärken, auf die sich so viele von uns verlassen.
Vertraue niemals, verifiziere immer
Ein Zero-Trust-System implementiert die Verifizierung bei jedem möglichen Schritt. Jeder Benutzer wird verifiziert, und jede Aktion, die er vornimmt, wird vor der Implementierung ebenfalls verifiziert.
Die Bewegung in Richtung dieses Ansatzes wird als so wichtig angesehen, dass US-Präsident Joe Biden eine exekutive Anordnung Letztes Jahr forderten alle Organisationen der US-Bundesregierung, eine Zero-Trust-Architektur einzuführen. Viele kommerzielle Organisationen folgen diesem Beispiel.
In einer Zero-Trust-Umgebung wird jedoch kontraintuitiv absolutes Vertrauen in das Validierungs- und Verifizierungssystem gesetzt, das in den meisten Fällen ein Identitäts- und Zugriffsverwaltungssystem IAM ist. Dadurch wird eine einzige vertrauenswürdige Entität geschaffen, die, gewährt bei Verletzung uneingeschränkten Zugriff auf die Systeme der gesamten Organisation.
Ein Angreifer kann die gestohlenen Zugangsdaten eines Benutzers z. B. Benutzername und Passwort verwenden, um sich als dieser Benutzer auszugeben und alles zu tun, wozu er berechtigt ist – sei es das Öffnen von Türen, das Autorisieren bestimmter Zahlungen oder das Kopieren sensibler Daten.
Wenn ein Angreifer jedoch Zugriff auf das gesamte IAM-System erhält, kann er alles tun, wozu das System in der Lage ist. Beispielsweise kann er sich selbst Autorität über die gesamte Gehaltsabrechnung verschaffen.
Im Januar Identity Management CompanyOkta wurde gehackt. Okta ist ein Single-Sign-On-Dienst, der es den Mitarbeitern eines Unternehmens ermöglicht, ein Passwort für alle Systeme des Unternehmens zu haben da große Unternehmen oft mehrere Systeme verwenden, für die jeweils unterschiedliche Anmeldeinformationen erforderlich sind.
Nach dem Hack von Okta wurden die Konten der großen Unternehmen, die seine Dienste nutzten, kompromittiert, was Hackern die Kontrolle über ihre Systeme gab. Solange IAM-Systeme ein zentraler Autoritätspunkt für Organisationen sind, werden sie weiterhin ein attraktives Ziel für Angreifer sein.
Dezentralisierung des Vertrauens
In unserer neuesten Arbeit haben wir Algorithmen verfeinert und validiert, die verwendet werden können, um ein dezentrales Verifizierungssystem zu erstellen, das das Hacken erheblich erschweren würde. Unser Branchenpartner, GEZEITEN, hat ein Prototypsystem unter Verwendung der validierten Algorithmen entwickelt.
Derzeit wählt ein Benutzer, wenn er ein Konto auf einem IAM-System einrichtet, ein Passwort, das das System verschlüsseln und für die spätere Verwendung speichern soll. Aber selbst in verschlüsselter Form sind gespeicherte Passwörter attraktive Ziele. Und zwar Multi-Faktor-Authentifizierungnützlich ist, um die Identität eines Benutzers zu bestätigen, kann es umgangen werden.
Wenn Passwörter verifiziert werden könnten, ohne dass sie so gespeichert werden müssten, hätten Angreifer kein klares Ziel mehr. Hier kommt die Dezentralisierung ins Spiel.
Anstatt auf eine einzelne zentrale Instanz zu vertrauen, vertraut die Dezentralisierung auf das Netzwerk als Ganzes, und dieses Netzwerk kann außerhalb des IAM-Systems existieren, das es verwendet. Die mathematische Struktur der Algorithmen, die der dezentralen Autorität zugrunde liegen, stellt sicher, dass kein einzelner Knotenallein handeln kann.
Darüber hinaus kann jeder Knoten im Netzwerk von einer unabhängig operierenden Organisation wie einer Bank, einem Telekommunikationsunternehmen oder einer Regierungsbehörde betrieben werden. Um also ein einziges Geheimnis zu stehlen, müssten mehrere unabhängige Knoten gehackt werden.
Selbst im Falle einer Verletzung des IAM-Systems würde der Angreifer nur Zugriff auf einige Benutzerdaten erhalten – nicht auf das gesamte System. Und um sich die Autorität über die gesamte Organisation zu verschaffen, müsste er eine Kombination aus 14 unabhängig voneinander arbeitenden Knoten verletzen. Das ist nicht unmöglich, aber viel schwieriger.
Aber schöne Mathematik und verifizierte Algorithmen reichen immer noch nicht aus, um ein brauchbares System zu erstellen. Es gibt noch viel zu tun, bevor wir die dezentrale Autorität von einem Konzept in ein funktionierendes Netzwerk umwandeln können, das unsere Konten schützt.
Dieser Artikel wurde neu veröffentlicht von Das Gespräch unter einer Creative Commons-Lizenz. Lesen Sie die Originalartikel.