Eine neue Ära der phishingresistenten Authentifizierung: Schutz des Dashlane-Zugriffs mit FIDO2-Sicherheitsschlüsseln

Dashlane ist Pionier eines neuen Standards für eine nahtlose, phishingresistente Authentifizierung für den Zugriff auf den Anmeldedaten-Tresor.

Wir freuen uns, Ihnen mitteilen zu können, dass wir unsere erste passwortfreie Anmeldung mit FIDO2-Sicherheitsschlüsseln kombiniert haben, dem stärksten verfügbaren Schutz vor Phishing-Angriffen. Jetzt gibt es eine neue Methode zum Schutz des sensibelsten Teils Ihres digitalen Lebens: Ihres Anmeldedaten-Tresors.

Dashlane ist der erste Anmeldedaten-Manager, der FIDO2-Sicherheitsschlüssel als primären Authentifizierungsfaktor für den Tresorzugriff aktiviert und dabei die Innovation von WebAuthn PRF nutzt. Ein FIDO2-Sicherheitsschlüssel ist ein physisches Gerät wie ein USB-Schlüssel von Yubico, Google Titan und anderen. FIDO2 ist die gleiche zugrunde liegende Technologie, die für Passkeys verwendet wird, wobei die phishing-resistenten Anmeldedaten nach und nach Passwörter ersetzen.

Wir machen den Zugriff auf Ihre sensibelsten Daten einfacher und sicherer. Egal ob Sie eine Privatperson oder ein Unternehmen sind, schützt die erweiterte, phishing-resistente Sicherheit von Dashlane Ihre Tresorinhalte.

Das bedeutet:

„Die Verwendung von FIDO-Sicherheitsschlüsseln durch Dashlane für einen sicheren, passwortlosen Zugriff auf den Tresor stellt einen entscheidenden Schritt nach vorn in der digitalen Sicherheit dar“, sagte Andrew Shikiar, Executive Director und CEO der FIDO Alliance. „Durch die Nutzung der leistungsstarken offenen Standards von FIDO für die Speicherung von Passkeys im Tresor und jetzt für den sicheren Zugriff darauf zeigt Dashlane ein enormes Engagement für den Schutz der sensiblsten Daten seiner Benutzer auf eine Weise, die sowohl bequem als auch phishing-resistent ist.“

Benutzer des privaten Tarifs können frühzeitigen Zugriff erhalten und unter den ersten sein, die ihren Dashlane-Tresor mit einem FIDO2-Sicherheitsschlüssel als primäre Methode zur Anmeldung entsperren. Diese Innovation wird später in diesem Jahr für private und geschäftliche Benutzer allgemein verfügbar sein.

Trotz Fortschritten bei der Authentifizierung bleibt Phishing alarmierend effektiv. Traditionelle MFA-Lösungen, selbst solche, die Einmalcodes oder Push-Benachrichtigungen verwenden, sind anfällig für zunehmend clevere Phishing-Angriffe, die oft durch KI generiert werden. Selbst die besten Sicherheitsexperten können sich täuschen lassen, wie Troy Hunt kürzlich erfahren musste. Die Auswirkungen können kostspielig sein.

Wir müssen über provisorische Maßnahmen hinausgehen und ein Modell einführen, das den Phishing-Vektor vollständig eliminiert.

Hier kommen FIDO2-Standards, WebAuthn und CTAP ins Spiel. Diese Standards, die von der FIDO Alliance (bei der wir im Vorstand vertreten sind) und der W3C WebAuthn Working Group entwickelt wurden, sind von Grund auf darauf ausgelegt, Phishing zu stoppen.

Sie tun dies, indem sie sich auf Public-Key-Kryptografie verlassen, geteilte Geheimnisse eliminieren und die Anmeldedaten an ihren Ursprung binden. Selbst wenn ein Benutzer dazu gebracht wird, eine gefälschte Website zu besuchen, können seine Anmeldedaten einfach nicht verwendet werden.

Ihr Tresor von Dashlane Anmeldedatenmanager ist ein Gateway zu jedem anderen Konto, das Sie besitzen. Die Sicherung ist nicht verhandelbar. 

Dashlane war führend bei der Förderung einer passwortlosen Zukunft und der Bereitstellung vollständiger Sicherheit von Anmeldedaten. Wir waren der erste Passwort-Manager, der Passkeys auf allen Plattformen unterstützt, und wir innovieren ständig, um die Sicherheit und den Komfort von Passkeys zu maximieren.

Wir waren auch die Ersten, die einen nahtlosen, plattformübergreifenden passwortlosen Zugriff auf den Dashlane-Tresor aktiviert haben, was die Verwendung eines Master-Passworts überflüssig macht.

Auf dieser Grundlage hat Dashlane ein neues Modell entwickelt, in dem der Zugriff auf Ihren Tresor durch hardwaregestützte, phishing-resistente Authentifizierung geschützt werden kann, die FIDO2-Sicherheitsschlüssel als primären Faktor verwendet.

Unsere Lösung nutzt die WebAuthn-PRF-Erweiterung (Pseudozufallsfunktion), um Verschlüsselungsschlüssel lokal abzuleiten und den Tresorzugriff an den Besitz des Schlüssels und den Abschluss der Benutzerverifizierung zu knüpfen.

Wenn PRF nicht von der Plattform oder dem Browser unterstützt wird, greifen wir auf einen sicheren passwortlosen Prozess zurück, der ein bereitgestelltes Gerät verwendet, um den Verschlüsselungsschlüssel sicher zu übertragen, in Kombination mit einem klassischen WebAuthn-Ablauf.

Unser Ziel ist es, dass jeder auf einfache, sichere Weise auf jeden Online-Dienst oder jedes Produkt zugreifen kann, ohne Angst vor Phishing haben zu müssen. Das Erstellen einer passwortlosen Anmeldung für Dashlane war der erste Meilenstein auf diesem Weg. 

Sicherheit ist nur ein Teil der Gleichung – die Benutzerfreundlichkeit ist ebenso entscheidend. Mit unseren bevorstehenden Verbesserungen wollen wir eine nahtlose Erfahrung bieten:

Für Zugriff, der wirklich frei von Reibungen und Phishing-Risiken ist, suchen Sie nicht weiter.

Wir glauben, dass dies die Zukunft der Authentifizierung ist, nicht nur für Dashlane, sondern für das breitere Sicherheitssystem. Durch die Anpassung an offene Standards wie FIDO2 legen wir den Grundstein für eine Verwaltung von Anmeldedaten, die von vornherein phishingresistent ist.

Unsere Vision ist einfach: Die stärkste Authentifizierung zur benutzerfreundlichsten machen.