Die Frage, ob ein Passwort schwach oder stark ist, stellt sich im Grunde nicht. Denn jede Authentifizierung via Passwort ist leicht angreifbar. Die Ursache dafür liegt jedoch nicht beim Nutzer: Die gesamte IT-Branche hat das Thema jahrelang verschlafen. Mit modernen Authentifizierungsverfahren könnte sich das schnell ändern.
Phishing, Malware, Social Engineering und geleakte Passwort-Datenbanken: Kaum ein Cyber-Krimineller macht sich noch die Mühe, Passwörter durchzuprobieren.Längst gibt es erheblich effizientere Strategien, um sich Zugang zu fremden Accounts zu verschaffen. Und gegen den Passwort-Klau von Datenbanken ist jeder Nutzer machtlos – auch wenn er klug und aufmerksam genug ist, nicht auf Fake-Mails hereinzufallen oder zu verhindern, dass Schadsoftware auf seinem Gerät installiert wird.
Selbst wenn auf technischer Ebene ein maximaler Schutz gewährleistet ist, gibt es noch immer das Sicherheitsrisiko Mensch. Wie lässt sich wirklich verhindern, dass ein argloser Mitarbeiter einem vermeintlichen Netzwerk-Administrator des Unternehmens auf den Leim geht? Wenn dieser am Telefon glaubwürdig vorgibt, auf Anweisung des Chefs zu handeln und einen dringenden Notfall zu bearbeiten, geraten schnell Passwörter und andere sensible Zugangsdaten in falsche Hände.
Unterscheidung zwischen echten Mails und Fakes wird immer schwieriger
Während vor ein paar Jahren viele Phishing-Angriffe noch leicht an fehlerhafter Rechtschreibung oder schlechtem Design zu erkennen waren, haben sich Phishing-Attacken mittlerweile nicht nur quantitativ, sondern auch qualitativ gesteigert. Wie das BSI berichtet, haben sich Angreifer im Jahr 2020 gerade die Verunsicherung durch die Covid-19-Pandemie zunutze gemacht. Erschreckend waren insbesondere gut formulierte und in der Optik täuschend echt wirkende Fake-Seiten nicht nur von Bankfilialen, sondern auch von vermeintlichen staatlichen Angeboten wie zur Beantragung von Kurzarbeitergeld oder Corona-Soforthilfe.
Natürlich gibt es unterschiedliche Qualitäten von Passwörtern. Doch je komplexer ein Passwort wird, desto unmöglicher wird es für Nutzer, sich dieses Passwort zu merken. Konsequenterweise entwickelt er Hilfskonstruktionen, wie zum Beispiel eine Passwortliste, die dann wiederum leicht angreifbar ist. Noch ein Klassiker aus dem Leben: Mit einem starken Passwort, das im Arztzimmer allerdings unter der Tastatur klebt, kann sich selbst jeder Laie den Zugang zu sämtlichen Patientenakten des Krankenhauses verschaffen.
Besser ist da schon der aktuell viel gepriesene Passwort-Manager. Da er jedoch auch auf dem Authentifizierungsverfahren Passwort beruht, ist er letztlich auch nur eine Krücke, zumal er statt der Ursache Symptome kuriert und zudem Probleme sowohl für die Sicherheit als auch für die Usability mitbringt.
Trotz mitunter wirklich genialer Entwicklungen in der IT wurden Authentifizierungsverfahren lange vernachlässigt. Mit der Konsequenz, dass das Sicherheitsniveau eines Fahrradschlosses mit Zahlencode bis heute kaum überschritten wird. Die gute Nachricht: Es geht wesentlich besser. Auf der Grundlage asymmetrischer Verfahren mit Public-Private-Key-Kryptographie und dem Single Sign-on steht mit FIDO-2/WebAuthn eine Technologie zur Verfügung, die ein Höchstmaß an Sicherheit mit einer maximalen Praktikabilität und Nutzerfreundlichkeit kombiniert!
Die Grundlage für höhere Sicherheit ist die Multi-Faktor-Authentifizierung. Sie bietet einen wichtigen Ansatz zur Verbesserung des antiquierten Identitätsnachweises mittels Benutzername und Kennwort. Bei diesem Verfahren werden mindestens zwei von drei grundsätzlich verschiedenen Faktoren miteinander kombiniert, um eine Anmeldung abzusichern:
Da bei klassischen Authentifizierungsverfahren sowohl der Nutzer als auch eine „Gegenstelle“ über den Code (PIN, Passwort, Fingerabdruck) verfügen müssen, gibt es gleich zwei Schwachstellen (Nutzer und Webseiten-Betreiber), um den Code abzugreifen. Bei der asymmetrischen Kryptographie ergänzen sich ein öffentlicher Schlüssel („Public Key“) und ein privater Schlüssel („Private Key“) zu einem Paar aus zwei verschiedenen Schlüsseln, die nur im Zusammenspiel einen Zugang öffnen können. Dieses Prinzip ist die Basis für Authentifizierungsverfahren, die beispielsweise für „Single Sign-On“ oder „FIDO-2“ und WebAuthn genutzt werden.
Grundidee des Single Sign-On (SSO) ist die Authentifizierung eines Nutzers über einen zentralen Service. Nach der einmaligen Registrierung auf einer solchen Plattform eröffnet diese wiederum den Zugang zu weiteren Plattformen. Diesen Service bieten bereits Anbieter wie Google, Facebook oder Twitter. Der Vorteil: Statt sich für jede Anmeldung ein separates Passwort merken zu müssen, kann sich der Nutzer mit einem einzigen möglichst sicheren (!) Passwort bei verschiedensten Diensten anmelden. Nachteil: Das grundsätzliche Passwort-Dilemma bleibt bestehen. Wird der zentrale Zugang gehackt, stehen Angreifern alle nachgelagerten Zugänge offen. Sicherer ist das Verfahren nur, wenn ein zweiter Faktor zur Authentifizierung eingesetzt wird.
FIDO-2/WebAuthn – eine zukunftsfähige Technologie für die sichere Authentifizierung In der „FIDO-Allianz“ („Fast Identity Online“) haben sich Hersteller von Betriebssystemen (Apple, Google, Microsoft), zahlreiche kommerzielle Anbieter (z.B. Amazon, Master-Card oder PayPal) und nicht zuletzt auch das deutsche.
Bundesamt für Informationstechnik (BSI) zusammengeschlossen, um den Sicherheitsstandard im Web zu erhöhen. WebAuthn ist ein offizieller Standard des W3Cs, der bereits heute von allen relevanten Browsern und Betriebssystemen unterstützt wird. Darüber hinaus ist in den meisten modernen Endgeräten ein Kryptochip eingebaut, der eine Authentifizierung über den WebAuthn-Standard ermöglicht. Das Prinzip: Der Chip erzeugt einerseits einen privaten Schlüssel, der geheim bleibt, und andererseits einen öffentlichen Schlüssel, der an den Dienst gesendet wird. Bei einem späteren Log-In benötigen man nur den Benutzernamen und das Endgerät, mit dem man sich registriert hat. Der Server versendet eine Kontroll-Abfrage an das Gerät, das dieses mit Hilfe des privaten Schlüssels richtig beantwortet. Grundlage für dieses Verfahren ist die Programmierschnittstelle WebAuthn. Darüber hinaus ist es auch möglich, sich unabhängig vom Endgerät (PC, Smartphone) mit einem separaten Kryptochip (z.B. Security-Token) bei einem WebAuthn-fähigen Dienst anzumelden.
Auf der Webseite webauthn.io können Sie übrigens direkt testen, ob Ihr Gerät bzw. Browser WebAuthn bereits von Hause aus unterstützt!
Für die Sicherheitsrisiken und gravierenden materiellen Schäden durch die Authentifizierung mit Passwörtern ist zum großen Teil eine IT-Branche ver- antwortlich, die sich für den Einsatz von Alternativen bislang viel zu wenig interessiert hat. Kurzum: Die Technologie zu einer maßgeblichen Erhöhung der IT-Sicherheit ist da – und es gibt keinen Grund, sie nicht zu nutzen. Es ist unsere Pflicht als Webentwickler, unseren Kunden sowohl sichere als auch einfache und nutzerorientierte Lösungen anzubieten. Auf diese Weise können (und müssen!) wir unseren Beitrag leisten, dass Anwender wie Webseitenbetreiber die Chance haben, sich in Zukunft mit erheblich geringerem Risiko im Web zu bewegen!
