Das Passwort ist tot, lang lebe die Web-Authentifizierung!

Dass der Schurke ein streng gehütetes Passwort stiehlt, um noch so ausgefeilte Sicherheitsmaßnahmen zu umgehen, mutet auf den ersten Blick an wie ein Klischee aus einem Action- oder Spionagefilm. Aber die Realität ist in vielen Fällen näher an der Fiktion als es so manchem Unternehmen lieb ist.

Tatsächlich nutzen böswillige Akteure häufig Passwörter, um Konten von einzelnen Benutzern oder Organisationen zu infiltrieren. In der Folge ist es ein Leichtes, beispielsweise vertrauliche Daten oder finanzielle Informationen abzuziehen und etwa auf Handelsplätzen im Darknet anzubieten. 

Anzeige

Die durch Identitätsdiebstahl verursachten Kosten gehen mittlerweile in die Milliarden. Und das Einzige, das einen Hacker davon abhalten soll, Bankkonten leer zu räumen, ist eine Kombination aus Groß- und Kleinbuchstaben, mindestens einer Zahl und einem Symbol.

Für jeden, der in der Cybersicherheit tätig ist, sind Passwörter vorsichtig ausgedrückt nicht unbedingt die wünschenswerteste Maßnahme zur Verifikation. Das hat gute und inzwischen allgemein bekannte Gründe: Passwörter sind leicht zu erraten, sie werden versehentlich weitergegeben, gemeinsam genutzt oder bei Cyberangriffen gestohlen. Aber trotz der nur zu bekannten Risiken verlassen sich viele Unternehmen und selbst Landes- und Bundesbehörden beim Absichern von Identitäten zumeist auf Passwörter.

Fokus Web Authentication API

Eine Initiative, die es sich zur Aufgabe gemacht hat nun endlich das Ende der Ära Passwort einzuläuten, kommt vom World Wide Web Consortium (W3C). Der zuletzt veröffentlichte Vorschlag ist ein weiterer Schritt in diese Richtung. Das Web Authentication API (WebAuthn) soll Passwörter durch eine sichere Form der Authentifizierung ersetzen, die auf Public-Key-Kryptographie basiert. Vorbei sind offensichtlich die Tage an denen sich ein Benutzer unterschiedliche Passwörter für jeden einzelnen Web-Dienst merken musste. Die bisher genutzten Passwörter werden durch ein System ersetzt, das Identitäten abfragt, wobei die Verifikationsinformationen auf dem Gerät des Nutzers verbleiben. Also direkt auf dem betreffenden Mobiltelefon oder Laptop statt auf dem Server eines Unternehmens.

Die großen drei unter den Browser-Anbietern, Chrome, Firefox und Edge, beschäftigen sich ohne Ausnahme damit, die Web-Authentication-API-Technologie zu implementieren. Unternehmen sollen so in die Lage versetzt werden, Benutzeridentitäten über die Geräte des jeweiligen Nutzers zu verifizieren, ohne dass ein Code abgefragt wird, der wiederum innerhalb des Unternehmens gespeichert ist. WebAuthn stellt eine Verifizierungsanfrage an den zukünftigen Teilnehmer. Durch die Beantwortung dieser Anfrage weist er den Besitz eines privaten Schlüssels nach. Wenn der Benutzer die Anfrage autorisiert hat, beispielsweise durch das Eingeben eines PINs auf dem Gerät oder über die Nutzung biometrischer Technologien, informiert das Gerät die Organisation über die erfolgreich abgeschlossene Anfrage und der Benutzer wird zugelassen.

Diese vergleichsweise neue Form der Authentifizierung löst gleich zwei Probleme. Zum einen sind Unternehmen nicht mehr länger gezwungen persönliche Informationen wie etwa Passwörter zu speichern. Diese Tatsache allein sorgt schon dafür, dass Unternehmen für Cyberkriminelle ein weit weniger attraktives Ziel sind als bisher. Denn eines der wichtigsten Angriffsziele sind Datenbanken. Dort sind vertrauliche Informationen wie etwa Passwörter gespeichert, welche die Benutzer vermutlich auch anderweitig nutzen.

Und auch die Nutzer profitieren von der neuen Methode. Sie sind nämlich nicht länger gezwungen eine Unmenge verschiedener Passwörter zu verwalten. Stattdessen ist die Verifikation mit einem Gerät verbunden, dass der Benutzer physisch bei sich trägt wie beispielsweise ein Smartphone. Man braucht wenig Fantasie um sich vorzustellen, dass es für einen russischen Hacker deutlich schwieriger ist, ein Gerät am anderen Ende der Welt zu stehlen, als eine Kombination aus Buchstaben und Zahlen, gespeichert auf einem Internet Server irgendwo zwischen den beiden Ländern. Voraussichtlich wird es eine Weile dauern bis die neue Methode zur wichtigsten Methode beim Access Management wird.

Bis dahin steht Nutzern vor allem ein Weg bereits zur Verfügung um ihre Online-identitäten besser zu schützen: die 2-Faktor-Authentifizierung.

Viele Unternehmen und Organisationen setzen bereits Tools ein, um eine 2-Faktor-Authentifizierung für Benutzerkonten zu aktivieren. Dazu gehören die großen Social Media-Plattformen wie Facebook, Twitter und Instagram. Alle haben unter anderem die Option integriert, einen SMS-Code an die Benutzer zu versenden. Der Benutzer wird aufgefordert diesen Code einzugeben, wenn er sich von einem neuen Gerät aus anmeldet. Das ist zwar immer noch keine absolut sichere Methode. Sie macht es böswilligen Akteuren jedoch deutlich schwerer sich unberechtigt Zugriff auf persönliche Konten zu verschaffen und senkt somit das Risiko für einen potenziellen Identitätsdiebstahl oder E-Mail-Betrug.
Für Unternehmen empfiehlt sich eine 2-Faktor-Authentifizierung, um ihre Mitarbeiter sicher anzumelden. Der zweite Anmeldefaktor sorgt dafür, dass niemand auf vertrauliche Daten des Unternehmens zugreifen kann, der dazu nicht berechtigt ist. Firmen, die eng mit Verbrauchern zusammenarbeiten, sollten ebenfalls dazu übergehen, ihren Kunden Methoden zur 2-Faktor-Authentifizierung zur Verfügung zu stellen. So wie es einige Technologiegiganten bereits vorgemacht haben.

Google beispielsweise hat vor kurzem ein USB- und Bluetooth-fähiges Gerät angekündigt, das als zweiter Faktor bei der Authentifizierung für sämtliche Konten der Google Suite dienen soll. Die Erfahrung lehrt, dass Methoden, die ein weiteres Gerät nutzen, nicht immer ideal sind (Token können vergessen werden oder verloren gehen). Trotzdem bringen sie mehr Sicherheit beim Schutz von Identitäten. Ein anderer Ansatz benutzt mobile Apps, die Einmal-Passcodes generieren und Push-Authentifizierungsmethoden anbieten. Das ist besonders benutzerfreundlich, einfach umzusetzen und hilft individuelle Online-Identitäten besser zu schützen.

Hacker und andere Angreifer gehen zunehmend listiger vor. Passwörter sind längst kein effektiver Schutz mehr um sich online zu verifizieren. Zukünftig werden wir vielleicht dazu übergehen Device-Hardware als kryptografische Schlüssel zu benutzen.

Trotzdem ist die Nutzung von Passwörtern derzeit für viele immer noch eine wichtige Sicherheitsmaßnahme. Wer IT-Sicherheit ernst nimmt und seine Online-Identität schützen will, sollte Passwörter zumindest mit einer 2-Faktor-Authentifizierung kombinieren.

Martin GrauelMartin Grauel, One Identity

www.oneidentity.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.