Anzeige

Login

Microsoft verzichtet künftig auf Passwörter – so lautet eine aktuelle Schlagzeile. Schön und gut, aber das wird für die meisten Anwender wohl ein reines Marketingversprechen bleiben, meint Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR.

Zwar „ersetzen“ bei Windows Hello eine PIN oder ein Fingerabdruck die ständige Passworteingabe, allerdings bleibt die Anmeldung mit dem Kennwort über die Hintertür möglich, wenn in den Unternehmen nicht von zentraler Stelle auf eine tatsächlich passwortlose, beispielsweise zertifikatsbasierte Anmeldung umgestellt wird.

Mit einer PIN oder biometrischen Geste können sich Anwender sehr komfortabel auf ihren Geräten anmelden. Doch das Anmeldepasswort existiert dort weiterhin, sodass sich im Hinblick auf die Angreifbarkeit eines PCs zur Freude von Cyberkriminellen wenig ändert. Ist der Desktop dann entsperrt, geht es mit der vermeintlich passwortlosen Authentifizierung direkt weiter: Sie erfolgt zum Beispiel über eine Authenticator-App. Der Nutzer kann damit zwar auf Windows, Outlook oder OneDrive ohne explizite Passworteingabe zugreifen, aber fast alle heute verfügbaren Authenticator-Apps basieren ebenfalls auf sogenannten Shared Secrets. Das heißt: Im Hintergrund verbirgt sich eine gar nicht so passwortlose Anmeldung, die auf gespeicherte Credentials (Login-Daten) in einer zentralen Datenbank zurückgreift.

Und genau darin liegt das Problem: Zentrale Datenbanken stellen ein erhebliches Sicherheitsrisiko dar, da sie Hackern einen Zugriff auf zahlreiche Anmeldeinformationen bieten – und nicht nur auf die Zugangsdaten einzelner Personen oder Geräte.

Viele Sicherheitsanbieter werben deshalb derzeit mit der Passwortlosigkeit – völlig klar, da Passwörter weder komfortabel noch sicher sind. Zugangsdaten stehen nach wie vor ganz oben auf der Angriffsliste von Hackern. Doch viele dieser vermeintlich passwortlosen Lösungen sind es eben nur auf den ersten Blick. Nutzer wiegen sich damit in einer falschen Sicherheit.

Ist vollständige Passwortlosigkeit also ein Ding der Unmöglichkeit? Keineswegs, es existieren bereits Lösungen, die das Passwort endgültig überflüssig machen. Sie ersetzen Kennwörter durch sichere kryptografische, asymmetrische Schlüsselpaare. So ermöglicht etwa Windows Hello for Business – wie der Name schon sagt für Unternehmen, die hierfür eine zentrale Konfiguration durchführen können – eine sichere schlüssel- oder zertifikatbasierte Authentifizierung. Ein weiteres Beispiel ist die hochsichere Authentifizierung an PC-Systemen auf Basis von Smartcards und Public-Key-Kryptografie. Dieses Verfahren wird allerdings kaum genutzt. Es erfordert spezielle Lesegeräte und verursacht einen hohen Administrationsaufwand.

Generell an Bedeutung gewinnen derzeit vor allem FIDO-basierte Authentifizierungslösungen. FIDO steht für Fast Identity Online, einen Standard, der von einer nichtkommerziellen Allianz bereits 2012 ins Leben gerufen wurde. Er bietet eine komfortable und sichere Multi-Faktor-Authentifizierung (MFA). Dabei werden Passwörter, PINs oder SMS-Codes durch eine Public-Key-Kryptografie ersetzt. Die zur Authentifizierung erforderlichen Zertifikate werden für jeden Anwendungsfall individuell generiert. Dabei verbleiben die privaten Schlüssel jederzeit beim Benutzer, sicher gespeichert auf der Hardwareebene eines Smartphones oder USB-Security-Keys. Die öffentlichen Schlüssel werden in einer solchen Lösungsumgebung auf einem passwortlosen Authentifizierungsserver abgelegt.

Wer nicht voreilig dem Marketingversprechen der passwortlosen Authentifizierungslösung vertrauen möchte, sollte also immer genau prüfen, ob nur eine anwenderorientierte oder eine echte Passwortlosigkeit besteht.

www.hypr.com


Artikel zu diesem Thema

Login
Okt 20, 2021

Sichere Logins: Das wünschen sich die Nutzer

Immer mehr Waren und Dienstleistungen werden online gekauft. Nutzer legen dabei Wert auf…

Weitere Artikel

Fingerabdruck

Biometrische Sicherheitsmethoden sind gefragt

Eine neue Studie von Software Advice, der Online-Plattform für die Auswahl von Unternehmenssoftware, untersucht die Akzeptanz und Nutzung von biometrischen Authentifizierungsmethoden in Deutschland.
Digital Identity

Zahl digitaler Identitäten steigt

One Identity, ein Unternehmen im Bereich einheitlicher Identitätssicherheit, hat die Ergebnisse seiner Umfrage veröffentlicht. Sie zeigen, dass die Zahl digitaler Identitäten auf globaler Ebene erheblich zunimmt.
Identität

So erschreckend einfach ist Identitätsmissbrauch

Es ist kaum zu glauben, aber was Martin K. (Name geändert) aus Nordrhein-Westfalen gegenüber WeLiveSecurity berichtet, ist wirklich so passiert.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.