Digitale Revolution Diese Technologie könnte Passwörter überflüssig machen
Die passwortlose Anmeldung kann entweder mit Hilfe eines internen Sicherheitsschlüssels erfolgen, der beispielsweise mit der Abfrage von biometrischen Merkmalen aktiviert wird (links) oder mit Hilfe eines externen Sicherheitsschlüssels, der via USB, NFC oder Bluetooth mit dem entsprechenden Gerät verbunden wird (rechts).
Düsseldorf E-Mail-Postfächer, Social Media, Onlinebanking, E-Commerce und Streamingportale – der durchschnittliche Nutzer verwendet heutzutage eine Vielzahl von Onlinediensten. Das erfordert eine beachtliche Gedächtnisleistung: Die Zugänge sind meist durch eine Kombination aus Nutzername und Passwort abgesichert. Weil sich das kaum einer merken kann, verwenden viele die gleichen Daten für mehrere Dienste oder greifen auf simple Kombinationen wie „123456“ oder „password“ zurück.
Das Risiko ist groß: Hacker können einfache Passwörter mithilfe von Spezialprogrammen in Minuten oder Sekunden knacken und probieren Zugangsdaten automatisch bei unterschiedlichen Diensten aus – nach zahlreichen Leaks stehen mehrere Milliarden Datensätze mehr oder weniger frei verfügbar im Netz. Passwortmanager machen den Umgang zwar einfacher, beheben aber nicht das grundsätzliche Problem.
Dabei geht es auch ohne Passwort. Bereits heute gibt es Log-in-Verfahren, die darauf verzichten und trotzdem sehr sicher sind: Die Deutsche Telekom, Telefónica und Vodafone haben im vergangenen Jahr den Dienst Mobile Connect gestartet. Dieser nutzt die persönliche Handynummer des Nutzers als eindeutige digitale Identität bei Interneteinkäufen oder Anmeldungen in Onlineportalen.
Google, Microsoft und Dutzende weitere namhafte Tech-Unternehmen wiederum treiben im Rahmen einer globalen Allianz den neuen Standard FIDO2 voran, den das Fachmagazin für Computertechnik „c’t“ zum „Passwort-Killer“ ausgerufen hat. Dienste wie „Windows Hello“ nutzen die Technologie bereits.
„Bei Microsoft sind wir schon lange der Meinung, dass Passwörter unsicher sind und keinen ausreichenden Schutz für Benutzeraccounts bieten“, sagt Stratos Komotoglou, Marketingmanager bei Microsoft Deutschland. Viele Cyberangriffe beginnen schließlich damit, dass sich Kriminelle oder Spione Zugriff auf ein E-Mail-Konto verschaffen.
Doch Experten glauben, dass es einige Zeit dauern wird, bis alle Webdienste die für die neuen Technologien nötigen Schnittstellen eingeführt haben. Zudem hängt es vom Vertrauen der Nutzer ab, wie schnell sich passwortlose Log-in-Verfahren auf breiter Front durchsetzen werden: „Die Nutzung von Passwörtern ist weit verbreitet und seit Jahrzehnten etabliert“, sagt Christoph Meinel, Professor für Informatik und Direktor des Hasso-Plattner-Instituts (HPI). Die Menschen seien an sie gewöhnt und müssten erst überzeugt werden, auf Alternativen umzusteigen.
„Aus der Wirtschaftswelt werden Passwörter zuerst verschwinden. Wann der letzte Privatkunde seinen Passwort-Zettel schreddern kann, ist aber schwer abzuschätzen“, sagt Dirk Backofen, Leiter Telekom Security.
Flut an Passwörtern
Das Problem wird bei einem Blick auf die Liste der meistverwendeten Passwörter in Deutschland deutlich, die das HPI jährlich veröffentlicht. Die Top 5 des Jahres 2019 lauten: „123456“, „123456789“, „12345678“, „1234567“ und „password“. „Viele Internetnutzer verwalten bereits mehr als hundert Onlinekonten“, sagt Informatiker Meinel. Es sei lästig, sich für jeden Dienst ein anderes Passwort zu merken. Daher falle die Wahl dann auch viel zu oft auf Kombinationen, die man sich leicht merken könne – oder diese würden mehrfach genutzt.
Komplexe Passwörter lassen sich nicht so einfach überwinden – aber sie stellen die Nutzer vor Herausforderungen, selbst wenn sie Gedächtnistricks bemühen und beispielsweise die Anfangsbuchstaben eines Satzes wie „Meine Kinder heißen Max und Moritz und sind 7 und 9 Jahre alt“ zur Kombination MKhM&M&s7u9Ja verarbeiten. „Es ist immer ein Trade-off zwischen Sicherheit und Praktikabilität“, sagt Tibor Jager, Professor am Lehrstuhl für IT-Sicherheit und Kryptografie an der Bergischen Universität Wuppertal.
Passwortmanager bieten einen höheren Schutz, da sie automatisch komplexe Passwörter generieren. Allerdings brauchen Nutzer auch hier zumindest einen Zugangsschlüssel zu ihrem digitalen Passwort-Tresor. Zudem können auch Nutzer von Passwortmanagern Opfer von Phishing-Attacken werden, indem sie beispielsweise ihr Passwort auf einer fingierten Webseite eingeben und so Hackern den Zugang zu ihrem kompletten digitalen Leben verschaffen.
Wer sich nicht allein auf die Kombination aus Nutzername und Passwort verlassen will, kann bei vielen Onlinediensten eine zusätzliche Absicherung einrichten, im Fachjargon Zwei-Faktor- oder Multi-Faktor-Authentifizierung genannt. Wer sein E-Mail-Konto öffnen will, muss dann beispielsweise zusätzlich einen Code eingeben, der aufs Smartphone geschickt wird – auf dieses können sich Angreifer nicht so einfach Zugriff verschaffen. Auch Magnetkarten oder Hardwarekomponenten, Token genannt, eignen sich dafür.
In einigen sensiblen Bereichen ist dieses Prinzip inzwischen Pflicht. So müssen Bankkunden in der EU im Zuge der Einführung der Zahlungsdiensterichtlinie PSD2 seit Mitte September 2019 nicht nur bei Überweisungen, sondern auch schon beim Konto-Log-in einen zweiten Faktor angeben – etwa eine TAN. Das höhere Maß an Sicherheit geht allerdings zulasten der Nutzerfreundlichkeit: Viele Nutzer klagen über den komplizierteren Anmeldeprozess.
Die neue FIDO2-Technologie verspricht eine deutliche Vereinfachung. Nutzer müssen sich keine Passwörter mehr merken, sondern lediglich das physische Objekt mit sich führen, auf dem der individuelle Sicherheitsschlüssel abgelegt ist.
Dahinter steht eine nicht kommerzielle Allianz, zu der unter anderem Konzerne wie Google, Microsoft, Infineon, Alibaba, Mastercard und Samsung gehören. Die FIDO-Allianz hat es sich zum Ziel gesetzt, offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln. Das steht auch im Namen: FIDO ist die Abkürzung für „Fast Identity Online“.
Mit FIDO2 hat die Allianz eine neue Authentifizierungslösung entwickelt, die einen passwortlosen Log-in-Prozess ermöglicht. „FIDO hat das Potenzial, endlich die Ablösung des Passworts als verbreiteter Authentifizierungsmethode einzuleiten“, heißt es in einer Publikation des Kompetenzzentrums Öffentliche IT und des Fraunhofer-Instituts Fokus vom April 2019. Noch deutlicher formuliert es Stan Lowe, Global Chief Information Security Officer bei der kalifornischen Cloud-Security-Plattform Zscaler: „Als Abgesang auf das Passwort scheint der FIDO2-Standard alternativlos.“
Schlüssel zum Mitnehmen
Ein Log-in mit dem FIDO2-Standard erfordert einen Sicherheitsschlüssel, auf dem ein Code abgelegt ist – er soll sich konstruktionsbedingt nicht auslesen lassen. Dieser sogenannte Authenticator kann beispielsweise ein externes Gerät für den Schlüsselbund sein, das sich per USB, NFC oder Bluetooth mit dem PC oder Smartphone verbinden lässt.
Der Sicherheitsschlüssel kann aber auch virtuell auf einem besonders abgesicherten Mikrochip eines Computers oder Smartphones abgespeichert sein. In diesem Fall ist keine zusätzliche Hardware erforderlich. Dieses Verfahren lässt sich bereits nutzen, etwa auf Windows-10-Geräten mit dem Update vom Mai 2019 und Android-Geräten ab Version 7. Apple ermöglicht die Verwendung von FIDO2-kompatiblen externen Geräten mit dem Update seines mobilen Betriebssystems iOS auf Version 13.3.
Vorteile ergeben sich nicht nur beim Komfort, sondern auch bei der Sicherheit. Denn der Schlüssel erzeugt für jeden Dienst, bei dem sich der Nutzer anmelden möchte, ein eigenes asymmetrisches Schlüsselpaar, das aus einem öffentlichen Schlüssel (Public Key) und einem geheimen Schlüssel (Secret Key) besteht. Nur die Kombination aus beidem ermöglicht den Zugriff.
Da sich mit dem beim Dienst hinterlegten öffentlichen Schlüssel keine digitalen Unterschriften erstellen und somit auch keine Anmeldevorgänge durchführen lassen, müssen Nutzer selbst im Falle von Datenlecks bei den Diensteanbietern nicht befürchten, dass sich Unbefugte Zugang zu ihrem Account verschaffen könnten. „Über die verwendeten kryptografischen Verfahren muss man sich wirklich keine Sorgen machen“, sagt IT-Sicherheitsforscher Jager.
Auch Phishing-Attacken, bei denen Betrüger ihre Opfer beispielsweise auf gefälschte Webseiten locken, um an persönliche Daten zu kommen, laufen ins Leere: Selbst wenn ein Nutzer darauf reinfällt und sich einzuloggen versucht, kann der Angreifer mit den Daten nichts anfangen – das System erstellt für jede Seite ein eigenes Schlüsselpaar. Konkret heißt das zum Beispiel: Die Daten, die ein Betrüger auf einer gefälschten Amazon-Webseite ergaunert hat, eignen sich nicht für den echten Onlineshop.
Da der FIDO2-Standard eine Bestätigung des Anmeldevorgangs durch den Nutzer vorschreibt, würden Angreifer selbst auf von Schadsoftware befallenen Geräten mit dem Versuch scheitern, sich heimlich bei Diensten anzumelden. Bei externen Geräten wird der Anmeldeprozess erst gestartet, nachdem der Nutzer es angetippt hat. Nutzer von virtuellen Sicherheitsschlüsseln von Android und Windows 10 müssen mit einer PIN, einem Fingerabdruck oder einem Gesichtsscan ihre Identität bestätigen. Der Sicherheitsschlüssel verschickt die PIN oder die biometrischen Daten jedoch an keinen Server; sie dienen lediglich als Befehl, den Anmeldevorgang zu starten.
Kein Besitz, kein Log-in
Bei allen Vorteilen hat der FIDO2-Standard jedoch auch Nachteile: „Wenn der Hardware-Token verloren oder kaputt geht, ist auch kein Log-in mehr möglich“, sagt Michael Meier, Professor am Lehrstuhl für IT-Sicherheit an der Universität Bonn und Leiter der Abteilung Cybersecurity am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). Er glaubt, dass in solchen Fällen Passwörter auch in Zukunft als Back-up-Mechanismus eine Rolle spielen werden.
„FIDO2 vereint eine einfache Bedienbarkeit mit einem hohen Sicherheitsstandard. Das macht die Technologie für Nutzer sehr attraktiv“, sagt Rebekka Weiß, Leiterin der Abteilung Vertrauen und Sicherheit bei Bitkom. Ein altes Problem sei aber viel schwieriger zu lösen: „Viele Verbraucher wollen sich gar nicht mit Sicherheitsmaßnahmen beschäftigen.“
Die Akzeptanz sei noch zu niedrig, um von einer schnellen Revolution sprechen zu können, sagt IT-Sicherheitsexperte Tim Berghoff vom Bochumer Softwarehaus G-Data. Er glaubt, dass noch einige Jahre vergehen werden, bis sich FIDO2 auf breiter Front durchgesetzt hat. „Aufgrund von Gewöhnungsproblemen jedoch die Vorteile von FIDO2 zu ignorieren wäre keine weise Entscheidung“, fügt Berghoff hinzu.
„Die Industrie ist auf jeden Fall fieberhaft dabei, den Weg für die breite Einführung von FIDO2 zu ebnen, und die Infrastruktur dafür wird bereits aufgebaut“, sagt Stan Lowe von Zscaler. Die Anbieter von Identifikationslösungen sprängen durch die Integration der Technologie bereits auf den Zug auf, auch wenn es bis zur endgültigen Umsetzung noch etwa 18 bis 24 Monate dauern werde. „Aus Anwendersicht stellt FIDO2 jedoch aktuell leider noch keine nutzbare Alternative dar, da derzeit nur sehr wenige Telemediendienste FIDO2 unterstützen“, heißt es vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Anfrage.
„Rein passwortgeschützte Verfahren werden mittelfristig auch aus dem Unternehmenskontext nicht wegzudenken sein“, sagt Berghoff. Zum einen erfordere der Betrieb der erforderlichen Infrastruktur freie Ressourcen, zum anderen würden passwortgeschützte Verfahren auch dort eingesetzt, wo kein normaler Nutzer Zugriff habe, beispielsweise bei der Authentifizierung von Dienstkonten gegenüber Ressourcen wie einer Datenbank.
Der Sicherheitsschlüssel-Hersteller Yubico, ebenfalls Mitglied der FIDO-Allianz, gibt sich zuversichtlich: „Durch die Einbeziehung wichtiger Technologieführer wie Google und Microsoft bei der Entwicklung des Standards kann die Einführung der kennwortlosen Authentifizierung zum Mainstream werden, da jeder Dienst den Standard problemlos implementieren und übernehmen kann“, sagt Jerrod Chong, Chief Solutions Officer bei Yubico.
Das Unternehmen hat bereits alle Google-Mitarbeiter mit seinen YubiKeys ausgestattet und entwickelt auch Hardware-Sicherheitsschlüssel in Kooperation mit dem Suchmaschinenkonzern. Michael Meier von der Uni Bonn sieht hier für kleinere oder mittelständische Unternehmen eine Möglichkeit, auf Basis der FIDO2-Technologie eine kostengünstige Erhöhung der IT-Sicherheit zu realisieren.
Möglicherweise sterben Passwörter einen Tod auf Raten: Die 2018 veröffentlichte IBM-Studie „The Future of Identity“ kommt jedenfalls zu dem Schluss, dass Millennials laxer mit Passwörtern umgehen als die Generation 55+, dafür aber biometrischen Verfahren zur Authentifizierung aufgeschlossener gegenüberstehen als die älteren Semester.
Ein virtueller FIDO2-Sicherheitsschlüssel auf dem Smartphone, der mit einem Fingerabdruck oder Gesichtsscan den Log-in-Prozess startet, könnte den Nutzungsgewohnheiten der jungen Generation entgegenkommen und das Passwort sukzessive verdrängen.
Mitarbeit: Stephan Scheuer
Das Kommentieren dieses Artikels wurde deaktiviert.