11.03.2020

Passwort: Ist diese Art der Authentifizierung überhaupt noch zeitgemäss?

Das alte Sprichwort "Von der Wiege bis zur Bahre - Formulare, Formulare" kann im Jahr 2020 gegen "Passwörter, Passwörter" ausgetauscht werden. Aber ist diese Art der Authentifizierung überhaupt noch zeitgemäss? Sind Passwörter heutzutage "out" - und welche Alternativen gäbe es dann?

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

Passwort

Passwörter adé?

Da freut man sich, wenn man als Autor einmal in zehn Jahren einen schmissigen Titel gefunden zu haben geglaubt, und wird dann durch Tante Google eines Besseren belehrt - denn die Phrase "Das Ende der Passwörter" findet sich in der globalen Suchmaschine zuhauf. Es muss also was dran sein am Trend, die Anmeldung an zig Webseiten, Online-Banking, Emailaccount, Clouds und was auch immer durch ein mehr oder weniger komplexes (und somit als sicher angesehenes) Passwort auf das Abstellgleis des IT-Bahnhofs schieben zu können. Denn in der Tat spricht einiges gegen die Verwendung alpha-, numerischer-, kryptischer oder sonstwie komplexer Passwörter: Letztlich handelt es sich immer nur um eine Abfolge von Zeichen. Zahlen, Buchstaben und Sonderzeichen - aber damit hört es auch schon auf. Es handelt sich quasi um eine eindimensionale Authentifizierung - Zeichen und Wörter lassen sich erraten oder stehlen, bei den diversen Hackereinbrüchen in die grossen IT-Systeme von Yahoo, Banken und ähnlichen Vorfällen der letzten Jahre wurden hauptsächlich Identitäten gestohlen. Und eine solche Kombination aus Namen, eventuell Geburtsdaten, Wohnort und eben einem zugehörigen Passwort dient dann zum Einbruch in andere Systeme. Denn Hand aufs Herz: Wer von uns verwendet für jeden Login ein anderes Passwort? Ob Webmailer, Onlinebanking oder Onlineshop des Reisebüros, es wird gerne aus Bequemlichkeitsgründen immer dasselbe Passwort verwendet. Und dies wird dann auch noch jahrelang genutzt.

Passwort vergessen

So ganz unverständlich ist das nicht - denn ein einmal vergessenes Passwort kann ebenso für Datenverlust sorgen wie ein allzu einfaches Passwort, welches Eindringlingen die Arbeit erleichtert. Nicht in allen Systemen lassen sich Zugänge wiederherstellen, wenn man einmal sein Passwort vergessen hat. Was sicher viele von uns kennen ist die Möglichkeit, ein vergessenes Passwort per Zusendung an seine Emailadresse oder durch die Eingabe einer nur dem Betroffenen bekannten Antwort auf eine Sicherheitsfrage wiederherzustellen. Und da haben wir sie dann auch eigentlich schon, die heutzutage immer wieder genannte 2-Faktor-Authentifizierung.

Dabei muss neben dem Passwort für den Login (und natürlich der ID, also dem Benutzernamen, Account oder wie immer das im jeweiligen System genannt wird) ein weiteres Identifizierungsmerkmal eingegeben werden. Beispielsweise kann dies ein einmaliger Code sein, der dem User auf sein Handy geschickt wird - ein übliches Verfahren beim Onlinebanking. Dort werden ebenfalls gerne kleine Eingabegeräte genutzt, die mit dem PC des Kontoinhabers verbunden sind und an denen ein Code eingegeben oder eine Karte eingesteckt werden muss, bevor man sich ins Onlinebanking einloggen oder Überweisungen tätigen kann.

Eine 2-Faktor-Authentifizierung besteht also aus einer Kombination von Wissen (z.B. Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) - so lautet auch die Empfehlung des bundesdeutschen BSI:

https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/Zwei_Faktor_Authentisierung/Zwei-Faktor-Authentisierung_node.html

Ist es übrigens dasselbe, wenn man von Zwei-Faktor-Authentifizierung oder Zwei-Faktor-Authentisierung (2FA) spricht? Strenggenommen nicht ganz, denn mit der Authentisierung gibt der User sich am entsprechenden System als derjenige aus, der alleine über die eindeutigen Anmeldeinformationen verfügt - oder verfügen sollte. Erst danach authentifiziert das System die Gültigkeit der Nutzerdaten. Und eigentlich folgt dann der dritte Schritt, die Autorisierung - denn je nach Rechtevergabe kann ein User unterschiedlich abgestufte Zugänge erlangen.

Zwei-Faktor-Authentifizierung

Aber auch mit einer Zwei-Faktor-Authentifizierung ist das Passwortproblem noch nicht gelöst - es sei denn, ein Authentifizierungssystem setzt ganz auf biometrische Daten (Fingerabdruck, Iriserkennung) plus einmalig vergebener PIN (in diesem Falle zumeist als TAN oder Service-TAN bezeichnet). Denn selbst die Beantwortung einer Sicherheitsfrage entspricht der Eingabe eines Passworts. Im Prinzip ist es kein Sicherheitsgewinn, wenn statt "Passwd123456" der Geburtsort "Zürich" eingegeben wird oder der Name des ersten Partners.

Heutzutage bieten viele IT-Systeme das selbsttätige Generieren eines sehr komplexen Passworts an - verbunden mit dem Feature, dieses auch gleich (natürlich verschlüsselt) im System abzulegen. Im Prinzip eine feine Sache, 3h4ti-IIK8-wwhnglwih4tp muss sich niemand mehr merken. Schwierig wird es, wenn man den Masterzugang verliert - also das Passwort, mit dem man sich überhaupt erst am System anmeldet, damit man den sogenannten Passwortmanager bedienen kann.

Passwort-Management-Tools sind im Prinzip eine feine Sache. Ein solches kleines Helferlein speichert für uns alle Passwörter, egal, wie komplex diese sind. Es gibt für Teams oder IT-Unternehmen Lösungen auf Servern oder in der Cloud - wobei sich hier auch schon eine der Schwächen dieses Konzepts abzeichnet. Denn jedes IT-System ist verwundbar - und ein komprimittierter Passworttresor ist kein Tresor mehr, sondern ein Haus der offenen Türen. Zudem hängt der Zugiff auf Cloud- oder sonstwie im weltweiten Netz abgelegte Passwortsysteme von einer stabilen Datenleitung ab - und von der grundsätzlichen Ereichbarkeit des Systems. Was tun Sie, wenn der Server nicht erreichbar ist, Sie aber dringend an das hochkomplexe Passwort gelangen müssen?

Verwenden Sie also Zwei-Faktor-Authentisierungen überall dort, wo es möglich ist. Nutzen Sie zudem einen Passwort Manager, aber achten Sie dabei darauf, ein bewährtes Tool zu verwenden, welches vielleicht nicht gerade von der Ein-Mann-Hinterhof-IT-Firma entwickelt wurde. Achten Sie darauf, ob es Support, Updates und die Möglichkeit gibt, eine Kopie der Daten lokal abzulegen. Dabei wiederum kommen dann die üblichen Sicherheitsmassregeln für IT-Systeme zum Tragen - sichere Passwörter oder biometrische Verfahren für den Zugang zu dem lokalen IT-System (PC, Notebook), verschlüsselte Datenträger, regelmässige Updates und (ebenso verschlüsselte!) Backups. Verwahren Sie das Master-Passwort am besten in einem Safe! Es ist niemandem zu wünschen, aber wenn der einzige Geheimnisträger des Masterpassworts verunfallt, steht schlimmstenfalls das ganze Unternehmen vor einem Problem.

Fazit

Das zu 100 Prozent sichere System gibt es nicht, und Passwörter haben ebenso Schwächen wie biometrische, PIN-basierte oder andere Systeme. IT-Technik ist verwundbar und nicht immer zuverlässig. Aber Passwörter haben ebenso konzeptionelle Schwächen - und dabei muss man gar nicht erst die Tatsache heranziehen, dass viele User immer noch "123456", "geheim" oder andere wertlose Passwörter verwenden. Gerade in sensiblen Umfeldern sollten Sie auf Passwort-Management-Tools und Mehrfaktor-Authentifizierung setzen - die oben angegebene Quelle des BSI bietet hierfür gute Hinweise.

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Newsletter Datenschutz

    Newsletter Datenschutz

    Für Schweizer Unternehmen und Institutionen.

    Mehr Infos

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Security – Sicherheitslücken analysieren, entschärfen und vermeiden

    Systeme absichern und der zunehmenden Cyber-Bedrohung entgegenwirken

    Nächster Termin: 03. Dezember 2020

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

    Datenschutz-Anforderungen für Schweizer Unternehmen nach revidiertem DSG und DSGVO (GDPR) erfolgreich umsetzen

    Nächster Termin: 17. November 2020

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos