Passwörter: Der Umgang mit Untoten

Sicherere Identifizierung von Anwendern im Unternehmen und im Internet ist auf dem Vormarsch. Parallel verharrt aber eine Vielzahl von existierenden und neu entstehenden Diensten auf dem unzureichenden Sicherheitsniveau eines Logins mit Passwörtern.

Befragt man ausgewiesene Experten im Bereich Identity und Access Management (IAM) zum Thema klassische Authentifizierung mit Benutzernamen und Passwörter, so bekommt man schnell klare Aussagen. Dieses System wird weitestgehend als unzureichend und konzeptionell fehlerhaft betrachtet. Vergleiche von Passwörtern mit Umweltverschmutzung oder schlechten Gewohnheiten wie dem Rauchen sind hier keine Seltenheit.  Dabei ist kaum eine Technologie so häufig für tot erklärt worden wie der Login mit dem Passwort.

Um es klar und deutlich zu sagen: diese Aussagen sind durchweg korrekt und zu unterstreichen. Doch die Realität zeigt: Das Passwort ist so lebendig wie eh und je, und ein früher Tod ist nicht absehbar. Das gilt auch für einen möglichen späteren Tod. Es ist sogar zu befürchten, dass das Passwort die heutige Anwender-Generation überlebt.

Paswörter: Alternativen existieren

Dabei ist technologisch und konzeptionell eine Menge passiert. Alternative Methoden zur Authentifizierung sind nicht zuletzt auch durch die Standards der FIDO-Alliance (Fast IDentity Online) im Alltag angekommen. Das Universal Authentication Framework (UAF) ermöglicht die Einbindung von biometrischen Verfahren  in eine Vielzahl von Anwendungsszenarien. Dass Biometrie jedoch nicht für alle Logins in jedem Nutzerszenario angemessen ist, wird schon mangels passender Scanner in vielen Anwendungsbereichen deutlich. Hinzu kommen die regelmäßig vorgetragenen Zweifel, ob Biometrie immer sicher und dauerhaft funktioniert.

Zwei-Faktor-Authentifzierung (Screenshot: ZDNet.de)

Die Universal 2nd Factor (U2F)-Spezifikation stellt Technologien und Verfahren zur Anbindung von weiteren Identifikationsfaktoren (in Form von Hardware, etwa klassische Dongle) zur Verfügung, die beispielsweise über USB, NFC oder Bluetooth angesprochen werden können. U2F verhindert konzeptionell auch die Möglichkeit von Man-in-the-Middle-Attacken, wie sie etwa durch Vorspiegelung gefälschter Anmeldeseiten immer wieder vorkommen. Doch die Bereitschaft, ein zusätzliches Gerät zu verwalten und zur Authentifizierung zu benutzen, ist per heute noch nicht im Ansatz weit genug verbreitet.

Alternative Verfahren, wie das Zeichnen von Figuren mit der Maus oder auf einem Trackpad oder die Erkennung von Bildern durch den Anwender anstelle der Bereitstellung eines Passworts sind interessante neue Ansätze. Auch diese werden aber in der Praxis nur wenig genutzt und sind wiederum nicht in jedem Anwendungsfall angemessen.

Sichere digitale Identitäten

Die Verfügbarkeit robuster und vertrauenswürdiger digitaler Identitäten ist eine zentrale Voraussetzung für die Nutzung kritischer Dienste. Dies gilt für den Privatanwender, etwa als Online-Kunden genauso wie für den geschäftlichen Anwender im Unternehmenskontext. Sukzessive finden sich in den IAM-Systemen sowohl für Endkunde als auch für kommerzielle Anwender immer mehr Mechanismen, die eine sicherere Authentifizierung ermöglichen.  Gerade die Nutzung von Einmal-Passworten (OTP = One-Time Password) hat sich hier durchgesetzt.

Neben dem Versand per SMS und der aufwändigen Verteilung von Hardware-Schlüsseln haben sich hier die so genannten Authenticator-Anwendungen (etwa der Google Authenticator) für mobile Endgeräte (Smartphones) eine Nische erkämpft. Diese ermöglichen zusätzlich zu der Basis von existierenden Benutzernamen und Passwort eine weitere Ebene der Sicherheit durch die Nutzung standardisierter Verfahren zur Erzeugung zeitlich beschränkter Einmalpasswörter (TOTP = Time-Based One-Time Password). In der Praxis ist dies aber oft nur als freiwillige Option („opt-in“) verfügbar. Auch hier gilt: Ohne diese zusätzliche Sicherheit geht dieser Login-Vorgang schneller. Damit ist dieser aber wieder nur noch Passwort-basiert.

Technologiehürde Sicherheit

Klar ist, dass bei weitem nicht jeder Anwender mit diesen zusätzlichen Mechanismen vertraut ist.  Hier entsteht nicht zuletzt auch eine wachsende Kluft bezüglich der Absicherung der Kommunikation (und damit dem Schutz der personenbezogenen Daten und der Privatsphäre) etwa zwischen den Gruppen der technisch versierteren Techniknutzer und den klassischen Endbenutzern ohne weitergehendem IT-Hintergrund.

Darüber hinaus entstehen parallel tagtäglich neue Dienste, die sich nur auf systemspezifischen Benutzernamen mit Passwörtern verlassen. Der Anruf beim Mobilfunk-Anbieter erfordert weiterhin zum Zugriff auf das eigene Konto das Nennen eines im schlimmsten Fall bereits beim Vertragsabschluss festgelegt Passwortes. Und jeder kennt (und nutzt) wohl eine Auswahl an Diensten, in denen Kennwörter und sogenannte „Sicherheitsfragen“ als ausreichend sicher betrachtet werden.

Passwörter: Handlungsalternativen im Unternehmensumfeld

Was bedeutet es für die tägliche Praxis, dass Passwörter auf lange Sicht eine Realität bleiben werden? Im Unternehmensumfeld ist diese Frage eigentlich einfach zu beantworten. Jedes Unternehmen sollte schon aus Selbstschutz darauf achten, dass es ein einheitliches und umfassendes Identitäts- und Zugriffsmanagement etabliert. Dieses sollte nicht zuletzt auch eine Single-Sign-On-Lösung auf Basis einer jeweils einmaligen starken Authentifizierung ermöglichen. Systeme, die dauerhaft auf die Nutzung von Passwörtern angewiesen sind, etwa weil sie dies konzeptionell nicht leisten können, sind in diesem Konzept ebenfalls entsprechend einzubinden.

Das gilt nicht zuletzt auch für die klassischen Legacy-Anwendungen, die einfach zu alt, aber unverzichtbar sind. Der Zugriff auf kritische Accounts in sensiblen Applikationen und jeglicher Zugriff durch Administratoren (intern wie extern) sind durch die Schaffung eines umfassenden Privilege Managements abzusichern. Dass diese einfache Antwort für praktische jedes Unternehmen umfassende Aufwände verursacht, liegt auf der Hand. Aber diesen Anforderungen müssen sich Unternehmen mit Blick auf die Digitalisierung, auf grundlegende rechtliche und regulatorische Anforderungen und nicht zuletzt auf die vor der Tür stehende Europäische Datenschutz-Grundverordnung ohnehin aktiv stellen.

Der Endanwender zwischen Passwort und Sicherheit

Komplexer ist die Antwort für den Endanwender, der damit auch vor die Frage gestellt wird, welche Art von Authentifikation er wann nutzt. Hier hilft ein mehrstufiger Ansatz und der Mut, diesen auch in der täglichen Praxisumzusetzen:

    1. Vermeidung

Nicht jeder Dienst ist wirklich notwendig. Eine kritische Prüfung der verwendeten Services und konsequentes Aussondern nicht benötigter oder wenig vertrauenswürdiger Logins reduziert die Anzahl verwendeter Dienste. Dies kann im Idealfall auch schon mal bei der Registrierung geschehen.

    1. Nutzung starker Authentifikation, falls möglich

Wann immer ein Dienst eine Mehrfaktor-Authentifizierung oder zumindest mehrstufige Anmeldeverfahren unterstützt, sollte man dieses Angebot auch nutzen. Alternativ steigt auch die Anzahl der Dienste, die vorhandene Logins nutzt. Federation-Protokolle helfen dabei, statt mit einem weiteren, neuen Login-Password-Paar sich neu zu registrieren. Somit lässt sich ein schon mit Mehrfaktor-Authentifizerung abgesicherten Account zur indirekten Authentifizierung via social login und damit via oAuth zu nutzen.

    1. Umsichtiger Umgang mit Passworten

Für alle Dienste, die auch in Zukunft ein Passwort erfordern, ist die Umsetzung von Best practices, also die Anwendung erprobter Methodiken weiterhin notwendig. Diese beginnen natürlich bei der Auswahl starker Passwörter, im Zweifel lieber lang als übermäßig komplex. Natürlich ist die Wiederverwendung von Passwörtern, sowohl zeitlich als auch für mehrere Dienste, unbedingt zu vermeiden. Der damit verbundene Aufwand für die Aktualisierung vertrauenswürdiger Passwörter ist hoch, aber unverzichtbar.

Nutzung von Passwort-Manager

In der Praxis bewähren sich Passwort-Manager als hilfreiches Werkzeug. Diese helfen bei den häufigen, notwendigen Kennwortwechseln, einen umfassenden Überblick zu bewahren, ohne das neue Passwort zu notieren oder diese regelbasiert zu konstruieren. Eine kritische Auswahl ist hierbei angeraten, doch zwischen kommerziellen Werkzeugen wie 1Password und leistungsfähigen OpenSource-Tools wie KeePass existiert heute eine gute Auswahl an Werkzeugen, die nicht zuletzt auch eine stark verschlüsselte Synchronisation zwischen unterschiedlichen Endgeräten ermöglichen. Anwendern von iOS und Mac OS steht mit der iCloud-Schlüsselbundverwaltung schon eine standardmäßig in die Betriebssysteme integrierte Lösung zur Verfügung.

Kontinuierliche Verringerung der Kennwortnutzung

Wenn auch langsam, die Entwicklung im Umfeld der Passwörter ist auf einem richtigen, aber steinigen Weg. Sicherere Authentifizierungsmechanismen ermöglichen es, in einer Vielzahl von Anwendungsszenarien entweder ganz auf das Kennwort zu verzichten oder dieses durch einen weiteren Faktor zu ergänzen. Dennoch werden Passwörter auch in den nächsten Jahren und Jahrzehnten unsere stetigen Begleiter sein. Aber nur noch als letzter Notmechanismus für den Zugriff auf einen kritischen Dienst, wenn alle anderen Mechanismen versagt haben. Der beispielhafte, vorsichtige und sichere Umgang mit Passwörtern bleibt damit umso mehr eine stetige Herausforderung. Diese erfordert nicht zuletzt auch aktive Aufklärung und Unterstützung im Kreis der Kollegen und Familie. Ist dies vertrauenswürdig gewährleistet, mag auch der gelegentliche Zugriff auf einen de facto unsichereren Dienst mit Benutzername und Passwort valide sein. Wir sind ja alle seit Jahrzehnten daran gewöhnt.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Themenseiten: Authentifizierung, HPE / Intel Just Right IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: