Die Zukunft der sicheren Anmeldung: Von Passwörtern bis zu Passkeys

Wie schütze ich meine Wertsachen?

Solange Wertsachen greifbar sind, werden automatisch verschiedene Schutzmaßnahmen in Betracht gezogen: beispielsweise Tresore, Sicherheitstüren, Alarmanlagen oder Bankschließfächer.

Liegen diese Werte aber nur mehr in digitaler Form vor, dann ist die Maßnahmenliste ziemlich kurz: zum Schutz wird ein einfaches Passwort gesetzt, möglichst jenes, welches man ohnehin schon für verschiedene andere Systeme verwendet. Wir haben in der digitalen Welt noch kein angemessenes Empfinden für die tatsächlichen Werte und für deren Sicherheit entwickelt.

Mag der Schutz mittels eines simplen Passworts in den Anfangszeiten der Digitalisierung noch ausreichend gewesen sein, so wissen wir heute, dass dies vollkommen unzureichend ist. Die Passwörter werden erraten, erschlichen, durch raffinierte Methoden massenhaft ausprobiert, oder sie können einfach aus den Datenbanken der Plattformbetreiber gestohlen werden. In regelmäßigen Abständen gibt es Schlagzeilen über Passwort-Klau in Millionengröße.

Mit den erbeuteten Passwörtern nutzt ein ganzes Heer von Betrügern im Internet unsere Daten, um erheblichen Schaden anzurichten, etwa durch Einkäufe auf unsere Kosten, das Ausspionieren geschäftlicher Informationen oder das Kapern ganzer IT-Systeme mit anschließender Lösegeldforderung.

Zwei Faktoren für eine bessere Sicherheit

Die Sicherheit des Anmeldevorgangs lässt sich durch die Multifaktor-Authentisierung (MFA) verbessern. Dabei ist bei der Anmeldung neben der Eingabe des Passworts auch der Nachweis des Besitzes eines persönlichen Gegenstands erforderlich, beispielsweise des eigenen Smartphones mit einer spezifischen App oder eines sogenannten Hardware-Tokens.

Dieses Prinzip ist bereits aus dem Online-Banking bekannt, wo neben dem Passwort auch die App auf dem Smartphone zur Authentifizierung verwendet wird. Ein Betrüger, der zwar das Passwort kennt, aber keinen Zugriff auf das Smartphone hat, stößt hier auf erhebliche Hürden. Zahlungsdienstleister sind schon seit Jahren gesetzlich verpflichtet, den Anmeldevorgang durch MFA abzusichern. Mit dem neuen NIS2-Gesetz (Network and Information Security Directive – eine EU-weite Regelung) wird diese Verpflichtung nun jedoch auf viele weitere Unternehmen ausgeweitet.

In Unternehmen ist es besonders wichtig die privilegierten Konten und die Fernwartung durch MFA abzusichern. Dadurch wird sichergestellt, dass nur eindeutig identifizierte Personen die Konfiguration der Systeme durchführen können. In der Vergangenheit wurde in vielen Fällen eine nicht ausreichend geschützte Fernwartung als Einfallstor für verheerende Angriffe verwendet.

Passwortflut: Abhilfe mit Passwort-Manager

Für jedes System ein eigenes Passwort, schön kompliziert, nicht aufschreiben, regelmäßig ändern und fest merken: so lautete die goldene Regel für die Wahl der Passwörter. Die zunehmende Anzahl an Systemen macht die Verwaltung sicherer Passwörter ohne Hilfsmittel kaum noch möglich. Passwort-Manager schaffen hier Abhilfe, indem sie alle Passwörter in einem sicheren digitalen Tresor speichern und bei Bedarf automatisch ausfüllen.

Diese Passwort-Manager erlauben die Erstellung komplexer, zufälliger Passwörter für neue Konten und erleichtern die regelmäßige Erneuerung sowie die Überprüfung der Nutzung. Auch die regelmäßige Erneuerung der Passwörter oder die periodische Kontrolle, ob die Passwörter überhaupt noch verwendet werden, wird dadurch erleichtert und sogar automatisiert.

In Unternehmen besteht oft die Notwendigkeit, dass ein Zugang mit Passwort einer ganzen Gruppe von Personen bereitgestellt werden muss. Auch hier leisten Passwortmanager wertvolle Hilfe, ohne die Sicherheit der Passwörter aufs Spiel zu setzen.

Besonders wichtig ist der sichere Umgang mit dem Masterschlüssel, da dieser den Zugang zum Tresor ermöglicht. Ein Verlust oder Diebstahl des Masterschlüssels kann zu irreversiblen Konsequenzen führen. Der Schlüssel muss daher sowohl sicher verwahrt als auch jederzeit verfügbar sein. Viele Passwort-Manager werden als Cloudlösungen betrieben, um dadurch einen flexiblen Zugriff auf die Passwörter von jedem Gerät und von jedem Ort aus zu gewährleisten. Somit befindet sich der Passwort Tresor in der Cloud. Obwohl gerade Passwort-Manager mit höchster Sicherheit ausgestattet sind, muss auch erwähnt werden, dass es bereits Einbrüche in Cloud-Passwort-Tresore gegeben hat und dass dadurch z.B. Bitcoin Guthaben gestohlen worden sind.

Die Zukunft ohne Passwort

Nachdem das Anmelden mit dem Passwort mit so vielen Unsicherheitsfaktoren behaftet ist, wurden Anmeldeverfahren ganz ohne Passwort entwickelt. Beim FIDO2 Verfahren erfolgt die Identifizierung des Benutzers mittels kryptographischer Methoden über einen physischen Sicherheitsschlüssel (Token).

Passwort gibt es hier keines mehr und ein Angreifer muss in den physischen Besitz dieses Tokens kommen. Die Sicherheit liegt in den kryptografischen Schlüsseln, welche fix an die Hardware gebunden sind.

Das FIDO2 Verfahren gilt aktuell als das sicherste Anmeldeverfahren. Obwohl es dieses Verfahren schon seit einiger Zeit gibt, hat es sich im Internet noch nicht richtig durchgesetzt. Dies liegt einerseits daran, dass viele Plattformen diese Anmeldemethode nicht unterstützen, und andererseits daran, dass der Einsatz eines zusätzlichen Tokens kostenintensiv und unpraktisch ist, da dieser stets mitgeführt werden muss.

Bequem und sicher: Passkeys

Ausgehend vom FIDO2 Verfahren wurde von den globalen Playern (Microsoft, Google, Apple) ein sicherheitstechnisch etwas abgeschwächtes, dafür aber recht bequemes Verfahren entwickelt: Die Passkeys, welche in Zukunft das Passwort ersetzen sollen. Hier sind die kryptografischen Schlüssel nicht mehr fix an den Token gebunden, sondern sie können über sichere Kanäle in andere Hardware übertragen werden; dies geht optional bis hin zur Synchronisierung in die Cloud.

Als Sicherheitstoken ist keine separate Hardware mehr notwendig, sondern es wird das Smartphone oder der PC selbst mit dem eingebauten Sicherheitschip (TPM Trusted-Platform-Modul) verwendet. Die Anmeldung erfolgt nun über die Passkeys, die sich auf den Geräten befinden, welche man ohnehin verwendet. So kann man sich etwa auf einem fremden PC an einer Plattform anmelden, indem man einfach den Passkey des eigenen Smartphones verwendet; Passwort wird am fremden PC keines mehr eingegeben.

In der Umgebung von Microsoft365 wurde dieses Verfahren der passwortlosen Anmeldung so weit entwickelt, dass das Passwort aus dem Konto von Active Directory oder Entra-ID einfach gelöscht werden kann. Und wenn es kein Passwort mehr gibt, kann auch keines mehr gestohlen werden.

Ausblick

Die Tendenz ist vorgezeichnet und sie geht in Richtung von sicheren Passkeys, aber Passwörter werden uns noch eine Weile begleiten. Deshalb ist es nach wie vor wichtig, die Benutzer für eine sichere Verwendung von Passwörtern zu sensibilisieren und vor allem vom Phishing zu warnen. Für die Sicherheit der Passwörter ist heutzutage vor allem die Länge ausschlaggebend; die Komplexität und die regelmäßige Erneuerung haben sicherheitstechnisch an Bedeutung verloren.

Und da kurzfristig die Anzahl der Passwörter eher im Steigen begriffen ist, leisten auch Passwort-Manager nach wie vor ihre guten Dienste.