Die Frage, ob ein Passwort „schwach“ oder „stark“ ist, stellt sich im Grunde nicht. Denn jede Authentifizierung via Passwort ist leicht angreifbar. Doch die Schuld liegt nicht beim Nutzer: Die gesamte IT-Branche hat das Thema jahrelang verschlafen.

Phishing, Malware, Social Engineering und geleakte Passwort-Datenbanken: Kaum ein Cyber-Krimineller macht sich noch die Mühe, Passwörter „durchzuprobieren“, zumal es längst erheblich effizientere Strategien gibt, um sich Zugang zu fremden Accounts zu verschaffen. Gegen den Passwort-Klau von Datenbanken ist jeder Nutzer machtlos, auch wenn er klug und aufmerksam genug ist, nicht auf Fake-Mails hereinzufallen oder zu verhindern, dass Schadsoftware auf seinem Gerät installiert wird.

Und selbst wenn auf technischer Ebene ein maximaler Schutz gewährleistet ist, gibt es da noch immer das Sicherheitsrisiko „Mensch“: Wie lässt sich wirklich verhindern, dass ein argloser Mitarbeiter einem vermeintlichen „Netzwerk-Administrator“ des Unternehmens auf den Leim geht? Wenn dieser am Telefon glaubwürdig vorgibt, auf „Anweisung des Chefs“ zu handeln und einen „dringenden Notfall“ zu bearbeiten, geraten schnell Passwörter und andere sensible Zugangsdaten in falsche Hände.

Während vor ein paar Jahren viele Phishing-Angriffe noch leicht an fehlerhafter Rechtschreibung oder schlechtem Design zu erkennen waren, haben sich Phishing-Attacken mittlerweile nicht nur quantitativ, sondern auch qualitativ gesteigert: Wie das BSI berichtet, haben sich Angreifer im Jahr 2020 gerade die Verunsicherung durch die Covid-19-Pandemie zunutze gemacht: Erschreckend waren insbesondere gut formulierte und in der Optik täuschend echt wirkende Fake-Seiten nicht nur von Bankfilialen, sondern auch von vermeintlichen staatlichen Angeboten wie zur Beantragung von Kurzarbeitergeld oder Corona-Soforthilfe.

Natürlich gibt es unterschiedliche Qualitäten von Passwörtern. Doch: Je komplexer ein Passwort wird, desto unmöglicher wird es für Nutzer, sich dieses Passwort zu merken. Konsequenterweise entwickelt er Hilfskonstruktionen, wie zum Beispiel eine Passwortliste, die dann wiederum leicht angreifbar ist. Noch ein Klassiker aus dem Leben: Mit einem „starken Passwort“, das im Arztzimmer allerdings unter der Tastatur klebte, hätte ich mir Anfang des Jahres auch als Laie mit Leichtigkeit den Zugang zu sämtlichen Patientenakten des Krankenhauses verschaffen können... Besser ist da schon der aktuell viel gepriesene „Passwort-Manager“. Da er jedoch auch auf dem Authentifizierungsverfahren „Passwort“ beruht, ist er letztlich auch nur eine Krücke, zumal er statt der Ursache Symptome kuriert und zudem Probleme sowohl für die Sicherheit als auch für die Usability mitbringt.

Innovationstreiber sind manchmal die Protagonisten der modernen Welt, während sie zugleich abschätzig auf den „DAU“, den dümmsten anzunehmenden User, herabblicken. Trotz teilweise wirklich genialer Entwicklungen in der IT wurden Authentifizierungsverfahren lange vernachlässigt mit der Konsequenz, dass das Sicherheitsniveau eines Fahrradschlosses mit Zahlencode bis heute kaum überschritten wird. Die gute Nachricht:

Auf der Grundlage asymmetrischer Verfahren mit Public-Private-Key-Kryptographie und dem Single Sign-on steht mit FIDO-2/WebAuthn eine Technologie zur Verfügung, die ein Höchstmass an Sicherheit mit einer maximalen Praktikabilität und Nutzerfreundlichkeit kombiniert!

Die Grundlage für höhere Sicherheit ist die Multi-Faktor-Authentifizierung. Sie bietet einen wichtigen Ansatz zur Verbesserung des antiquierten Identitätsnachweises mittels Benutzername und Kennwort. Bei diesem Verfahren werden mindestens zwei von drei grundsätzlich verschiedenen Faktoren miteinander kombiniert, um eine Anmeldung abzusichern:

1. „Wissen“
   z.B. Passwort oder PIN
2. „Besitz“
   z.B. Security Token oder integrierter Kryptochip
3. „Eigenschaften“
   z.B. Fingerprint oder Gesichtserkennung

Da bei klassischen Authentifizierungsverfahren sowohl der Nutzer als auch eine „Gegenstelle“ über den Code (PIN, Passwort, Fingerabdruck) verfügen müssen, gibt es gleich zwei Schwachstellen (Nutzer und Webseiten-Betreiber), um den Code abzugreifen. Bei der asymmetrischen Kryptographie ergänzen sich ein öffentlicher Schlüssel („Public Key“) und ein privater Schlüssel („Private Key“) zu einem Paar aus zwei verschiedenen Schlüsseln, die nur im Zusammenspiel einen Zugang öffnen können.

Dieses Prinzip ist die Basis für Authentifizierungsverfahren, die beispielsweise für „Single Sign-On“ oder „FIDO-2“ und WebAuthn genutzt werden.

Grundidee des Single Sign-On (SSO) ist die Authentifizierung eines Nutzers über einen zentralen Service. Nach der einmaligen Registrierung auf einer solchen Plattform eröffnet diese wiederum den Zugang zu weiteren Plattformen. Diesen Service bieten bereits Anbieter wie Google, Facebook oder Twitter. Der Vorteil: Statt sich für jede Anmeldung ein separates Passwort merken zu müssen, kann sich der Nutzer mit einem einzigen möglichst sicheren (!) Passwort bei verschiedensten Diensten anmelden. Nachteil: Das grundsätzliche Passwort-Dilemma bleibt bestehen. Wird der zentrale Zugang gehackt, stehen Angreifern alle nachgelagerten Zugänge offen. Sicherer ist das Verfahren nur, wenn ein zweiter Faktor zur Authentifizierung eingesetzt wird.

In der „FIDO-Allianz“ („Fast Identity Online“) haben sich Hersteller von Betriebssystemen (Apple, Google, Microsoft), zahlreiche kommerzielle Anbieter (z.B. Amazon, Master-Card oder PayPal) und nicht zuletzt auch das deutsche Bundesamt für Informationstechnik (BSI) zusammengeschlossen, um den Sicherheitsstandard im Web zu erhöhen. WebAuthn ist ein offizieller Standard des W3Cs, der bereits heute von allen relevanten Browsern und Betriebssystemen unterstützt wird.

Darüber hinaus ist in den meisten modernen Endgeräten ein Kryptochip eingebaut, der eine Authentifizierung über den WebAuthn-Standard ermöglicht. Das Prinzip: Der Chip erzeugt einerseits einen privaten Schlüssel, der geheim bleibt, und andererseits einen öffentlichen Schlüssel, der an den Dienst gesendet wird. Bei einem späteren Log-In benötigen man nur den Benutzernamen und das Endgerät, mit dem man sich registriert hat: Der Server versendet eine Kontroll-Abfrage an das Gerät, das dieses mit Hilfe des privaten Schlüssels richtig beantwortet. Grundlage für dieses Verfahren ist die Programmierschnittstelle WebAuthn. Darüber hinaus ist es auch möglich, sich unabhängig vom Endgerät (PC, Smartphone) mit einem separaten Kryptochip (z.B. Security-Token) bei einem WebAuthn-fähigen Dienst anzumelden.

Auf der Webseite webauthn.io können Sie übrigens direkt testen, ob Ihr Gerät bzw. Browser WebAuthn bereits von Hause aus unterstützt!

Für die Sicherheitsrisiken und gravierenden materiellen Schäden durch die Authentifizierung mit Passwörtern ist zum grossen Teil eine IT-Branche verantwortlich, die sich für den Einsatz von Alternativen bislang viel zu wenig interessiert hat. Kurzum: Die Technologie zu einer massgeblichen Erhöhung der IT-Sicherheit ist da – und es gibt keinen Grund, sie nicht zu nutzen. Es ist unsere Pflicht als Webentwickler, unseren Kunden sowohl sichere als auch einfache und nutzerorientierte Lösungen anzubieten. Auf diese Weise können (und müssen!) wir unseren Beitrag leisten, dass Anwender wie Webseitenbetreiber die Chance haben, sich in Zukunft mit erheblich geringerem Risiko im Web zu bewegen!

„Wenn ich den Security-Token verliere, sind alle Zugangsmöglichkeiten weg!“, „Ein sicheres und gleichzeitig für den Nutzer bequem praktikables Authentifizierungsverfahren? Das ist unmöglich!“

Was meint Ihr? Schreibt mich an!