Passwort: Ist diese Art der Authentifizierung überhaupt noch zeitgemäss?
Passende Arbeitshilfen
Passwörter adé?
Da freut man sich, wenn man als Autor einmal in zehn Jahren einen schmissigen Titel gefunden zu haben geglaubt, und wird dann durch Tante Google eines Besseren belehrt - denn die Phrase "Das Ende der Passwörter" findet sich in der globalen Suchmaschine zuhauf. Es muss also was dran sein am Trend, die Anmeldung an zig Webseiten, Online-Banking, Emailaccount, Clouds und was auch immer durch ein mehr oder weniger komplexes (und somit als sicher angesehenes) Passwort auf das Abstellgleis des IT-Bahnhofs schieben zu können. Denn in der Tat spricht einiges gegen die Verwendung alpha-, numerischer-, kryptischer oder sonst wie komplexer Passwörter: Letztlich handelt es sich immer nur um eine Abfolge von Zeichen. Zahlen, Buchstaben und Sonderzeichen - aber damit hört es auch schon auf. Es handelt sich quasi um eine eindimensionale Authentifizierung - Zeichen und Wörter lassen sich erraten oder stehlen, bei den diversen Hackereinbrüchen in die grossen IT-Systeme von Yahoo, Banken und ähnlichen Vorfällen der letzten Jahre wurden hauptsächlich Identitäten gestohlen. Und eine solche Kombination aus Namen, eventuell Geburtsdaten, Wohnort und eben einem zugehörigen Passwort dient dann zum Einbruch in andere Systeme. Denn Hand aufs Herz: Wer von uns verwendet für jeden Login ein anderes Passwort? Ob Webmailer, Onlinebanking oder Onlineshop des Reisebüros, es wird gerne aus Bequemlichkeitsgründen immer dasselbe Passwort verwendet. Und dies wird dann auch noch jahrelang genutzt.
Passwort vergessen
So ganz unverständlich ist das nicht - denn ein einmal vergessenes Passwort kann ebenso für Datenverlust sorgen wie ein allzu einfaches Passwort, welches Eindringlingen die Arbeit erleichtert. Nicht in allen Systemen lassen sich Zugänge wiederherstellen, wenn man einmal sein Passwort vergessen hat. Was sicher viele von uns kennen ist die Möglichkeit, ein vergessenes Passwort per Zusendung an seine Emailadresse oder durch die Eingabe einer nur dem Betroffenen bekannten Antwort auf eine Sicherheitsfrage wiederherzustellen. Und da haben wir sie dann auch eigentlich schon, die heutzutage immer wieder genannte 2-Faktor-Authentifizierung.
Dabei muss neben dem Passwort für den Login (und natürlich der ID, also dem Benutzernamen, Account oder wie immer das im jeweiligen System genannt wird) ein weiteres Identifizierungsmerkmal eingegeben werden. Beispielsweise kann dies ein einmaliger Code sein, der dem User auf sein Handy geschickt wird - ein übliches Verfahren beim Onlinebanking. Dort werden ebenfalls gerne kleine Eingabegeräte genutzt, die mit dem PC des Kontoinhabers verbunden sind und an denen ein Code eingegeben oder eine Karte eingesteckt werden muss, bevor man sich ins Onlinebanking einloggen oder Überweisungen tätigen kann.
Eine 2-Faktor-Authentifizierung besteht also aus einer Kombination von Wissen (z.B. Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) - so lautet auch die Empfehlung des bundesdeutschen BSI:
Ist es übrigens dasselbe, wenn man von Zwei-Faktor-Authentifizierung oder Zwei-Faktor-Authentisierung (2FA) spricht? Strenggenommen nicht ganz, denn mit der Authentisierung gibt der User sich am entsprechenden System als derjenige aus, der alleine über die eindeutigen Anmeldeinformationen verfügt - oder verfügen sollte. Erst danach authentifiziert das System die Gültigkeit der Nutzerdaten. Und eigentlich folgt dann der dritte Schritt, die Autorisierung - denn je nach Rechtevergabe kann ein User unterschiedlich abgestufte Zugänge erlangen.
Passende Produkt-Empfehlungen
Zwei-Faktor-Authentifizierung
Aber auch mit einer Zwei-Faktor-Authentifizierung ist das Passwortproblem noch nicht gelöst - es sei denn, ein Authentifizierungssystem setzt ganz auf biometrische Daten (Fingerabdruck, Iriserkennung) plus einmalig vergebener PIN (in diesem Falle zumeist als TAN oder Service-TAN bezeichnet). Denn selbst die Beantwortung einer Sicherheitsfrage entspricht der Eingabe eines Passworts. Im Prinzip ist es kein Sicherheitsgewinn, wenn statt "Passwd123456" der Geburtsort "Zürich" eingegeben wird oder der Name des ersten Partners.
Wollen Sie einmal lachen oder – wahlweise – weinen? Die am häufigsten verwendeten Passwörter im Jahre 2021 waren:
- 123456
- 123456789
- 12345
- qwerty
- password
- 111111
- 123123
To be continued … und wiedergegeben nach:
Heutzutage bieten viele IT-Systeme das selbsttätige Generieren eines sehr komplexen Passworts an - verbunden mit dem Feature, dieses auch gleich (natürlich verschlüsselt) im System abzulegen. Im Prinzip eine feine Sache, 3h4ti-IIK8-wwhnglwih4tp muss sich niemand mehr merken. Schwierig wird es, wenn man den Masterzugang verliert - also das Passwort, mit dem man sich überhaupt erst am System anmeldet, damit man den sogenannten Passwortmanager bedienen kann.
Dieselbe Grundproblematik trifft auch auf Password-Safes zu. Passwort-Management-Tools sind im Prinzip eine feine Sache. Ein solches kleines Helferlein speichert für uns alle Passwörter, egal, wie komplex diese sind. Es gibt für Teams oder IT-Unternehmen Lösungen auf Servern oder in der Cloud - wobei sich hier auch schon eine der Schwächen dieses Konzepts abzeichnet. Denn jedes IT-System ist verwundbar - und ein komprimittierter Passworttresor ist kein Tresor mehr, sondern ein Haus der offenen Türen. Zudem hängt der Zugiff auf Cloud- oder sonstwie im weltweiten Netz abgelegte Passwortsysteme von einer stabilen Datenleitung ab - und von der grundsätzlichen Erreichbarkeit des Systems. Was tun Sie, wenn der Server nicht erreichbar ist, Sie aber dringend an das hochkomplexe Passwort gelangen müssen? Zuguterletzt hat noch der beste Password-Safe den berüchtigten SPOF – den Single Point of Failure. Gelangen Sie in den Besitz des Masterkeys, ist Ihnen das System ausgeliefert.
Hiergegen hilft nur eine Mehr-Faktor-Authentifizierung. Verwenden Sie also solche Zwei- oder Multi-Faktor-Authentifizierungen überall dort, wo es möglich ist. Nutzen Sie einen Passwort Manager, sollten Sie dabei darauf achten, ein bewährtes Tool zu verwenden, welches vielleicht nicht gerade von der Ein-Mann-Hinterhof-IT-Firma entwickelt wurde. Achten Sie darauf, ob es Support, Updates und die Möglichkeit gibt, eine Kopie der Daten lokal abzulegen. Dabei wiederum kommen dann die üblichen Sicherheitsmassregeln für IT-Systeme zum Tragen - sichere Passwörter oder biometrische Verfahren für den Zugang zu dem lokalen IT-System (PC, Notebook), verschlüsselte Datenträger, regelmässige Updates und (ebenso verschlüsselte!) Backups. Verwahren Sie das Master-Passwort am besten in einem Safe! Es ist niemandem zu wünschen, aber wenn der einzige Geheimnisträger des Masterpassworts verunfallt, steht schlimmstenfalls das ganze Unternehmen vor einem Problem.
Digitale Identität – ein Ausweg?
Nicht zufällig berührt das Thema «digitale Identität» auch die Frage, ob die Verwendung von Passwörtern noch zeitgemäss ist. E-ID, SwissID, Authentifizierung per App auf dem Smartphone – all dies sind aktuelle Entwicklungen, die in dieselbe (und nach aktuellem Erkenntnisstand richtige) Richtung gehen.
Fazit
Das zu 100 Prozent sichere System gibt es nicht, und Passwörter haben ebenso Schwächen wie biometrische, PIN-basierte oder andere Systeme. IT-Technik ist verwundbar und nicht immer zuverlässig. Aber Passwörter haben ebenso konzeptionelle Schwächen - und dabei muss man gar nicht erst die Tatsache heranziehen, dass viele User immer noch "123456", "geheim" oder andere wertlose Passwörter verwenden. Gerade in sensiblen Umfeldern sollten Sie auf Passwort-Management-Tools und Mehrfaktor-Authentifizierung setzen - die oben angegebene Quelle des BSI bietet hierfür gute Hinweise.