Antivirus & Firewall

Web-Authentifizierung: Warum das Passwort so schnell nicht aussterben wird

05.05.2019
Von 
Gerald Beuchelt ist Chief Information Security Officer bei LogMeIn.
Mobile Connect, Webauthn oder Fingerabdruck: Passwortfreie Authentifizierungsverfahren liegen im Trend, und das Passwort wird – wieder einmal – für überflüssig erklärt.
Großraumbüro, Datenspionage, IT-Security, Passwort, gesperrt, Zugang, 16:9, slider
Großraumbüro, Datenspionage, IT-Security, Passwort, gesperrt, Zugang, 16:9, slider
Foto: Den Rise - shutterstock.com

Schon 2004 sagte Bill Gates , dass die Technologie überholt sei, und der Abgesang auf das Passwort ist durch jüngste Entwicklungen noch einmal lauter geworden. Bislang jedoch verteidigt es stoisch seinen Rang als populärster Hüter von Daten.

Während sich Alternativen noch in der Entwicklung befinden oder sogar schon vollständig verfügbar sind, sind sie fast immer technisch anspruchsvoller oder erfordern viel mehr Zeit und Aufwand für die sichere Einrichtung. In den letzten Jahren gab es vor allem viele neue Lösungen im Bereich biometrischer Authentifizierungen . Die vor relativ kurzer Zeit noch coole, innovative Technologie ist inzwischen Mainstream geworden, vor allem dank neuerer Smartphone-Modelle, bei denen Apple, Microsoft oder Samsung auf Fingerabdruck und Gesichtserkennung als Identifikation setzen.

Zweifellos hat die Biometrie zahlreiche Vorteile in Sachen Sicherheit - aber das bewährte Passwort wird trotzdem nicht so schnell von der Bildfläche verschwinden. Und dafür gibt es gute Gründe.

Meist kommt auch sichere Multifaktor-Authentifizierung nicht ohne Passwort aus

Moderne Dienste sollten eine Multifaktor-Authentifizierung für sensible Anwendungen unterstützen, bei der mindestens zwei der drei allgemein genutzten Authentifizierungsmethoden kombiniert werden. Sie lassen sich unterscheiden in

1. Something you know

2. Something you have und

3. Something you are

Unter Methode 1, die heute populärste, fallen Dinge wie Passwörter und persönliche Identifikationsnummern.

Die zweite Methode umfasst Hardware wie USB-Sticks, zeitbasierte Token zur Generierung von Einmal-Passwörtern etc. Diese Methode beinhaltet oft auch solche Eigentumsfaktoren, die zwar auf einem Gerät wie einem Smartphone implementiert sind, aber repliziert oder kopiert werden können (beispielsweise ein softwarebasierter Einmal-Passwort-Generator).

Biometrik als dritter Faktor ist ein einzigartiges Merkmal einer Person, wie Iris, Netzhaut oder Fingerabdruck, aber auch die Physiognomie des Gesichtes.

Neue Standards wie der Entwurf von W3C Webauthn erleichtern die Integration externer Faktoren wie USB-Sticks oder sicherer Enklaven in Smartphones. Aber wenn sie in einem Einfaktor-Authentifizierungsmodus verwendet werden, schränken sie die gesamte Sicherheitsstruktur ein - und machen Passwörter so zu einem vorerst unverzichtbaren Bestandteil des Sicherheitsmixes.

Sicherheitsfragen sind auch Wissensnachweise, die geschützt werden müssen

Wir alle haben wissensbasierte Sicherheitsfragen eingerichtet oder beantwortet, die beispielsweise nach dem Namen des Haustieres oder des Lieblingskünstlers fragen. Während die Forschung (bei Google) gezeigt hat, dass solche Fragen nicht für die Wiederherstellung oder Authentifizierung von Passwörtern geeignet sind, verwenden viele Dienste diesen Ansatz immer noch, um die Wiederherstellung von Konten zu vereinfachen - und einige erfordern tatsächlich, dass Sicherheitsfragen und -antworten festgelegt werden.

Um zu vermeiden, dass man Antworten verwendet, die über das eigene Social-Media-Profil leicht zugänglich sind, empfiehlt es sich, falsche oder sogar zufällig generierte Antworten zu nutzen. Diese Antworten sind aber konzeptionell den Anmeldeinformationen für Passwörter sehr ähnlich und sollten auf die gleiche Weise geschützt werden.

Biometrische Daten kann man nicht updaten

Biometrische Daten sind ohne Frage eine bequeme Alternative zu Passwörtern - aber genau wie Passwörter können auch sie gestohlen werden. Fingerabdrücke zum Beispiel bleiben auf allem zurück, was wir berühren.

Letztes Jahr warnten japanische Wissenschaftler davor, dass unter anderem die neuen hochauflösenden Kameras von Smartphones hier zum Risiko werden können. Denn die Forscher waren in der Lage, Fingerabdrücke auf der Grundlage von Fotos zu kopieren, die drei Meter vom Motiv entfernt aufgenommen wurden.

Forschern der Michigan State University gelang es wiederum, mittels eines Tintenstrahldruckers und speziellen Papiers hochwertige Fingerabdruckscans in gefälschte 3D-Fingerabdrücke umzuwandeln, die auch Smartphones täuschten - und das alles mit Geräten, die weniger als 500 Dollar kosten. So wird aus einem harmlosen, mit den Fingern geformten Peace-Zeichen eine potenzielle Sicherheitslücke.

Und vor Hackern sind biometrische Daten genau so wenig sicher wie Passwörter. 2014 verschafften sich Hacker, die für die chinesische Regierung arbeiteten, Zugriff auf die Computersysteme des United States Office of Personnel Management (OPM) , dem Amt für Personalverwaltung der USA, und stahlen sensible personenbezogene Daten von Angestellten und Auftragnehmern der Regierung, darunter die Fingerabdrücke von 5,6 Millionen Menschen. Und anders als für Passwörter gibt es für Fingerabdrücke und auch andere biometrische Merkmale eben kein Reset.

Auch das Manipulieren von Gesichtserkennung ist in Zeiten von Instagram und Co. ein gutes Stück einfacher geworden. Ein futuristisch anmutender Ansatz ist der Einsatz flexibler biometrischer Daten wie "Passthoughts". Dabei denkt man an eine bestimmte Sache oder einen bestimmten Moment, und ein Sensor zeichnet die dabei entstehenden Gehirnströme auf.

Während ein solch komplexes System sicherlich eine Daseinsberechtigung in hochsensiblen Bereichen hat, scheint es für den Zugang zu einem privaten Email-Konto auch mittelfristig überdimensioniert.

Biometrische Daten sind an Geräte gebunden

Unser Lebensstil ist mobil und vernetzt, und wir greifen von immer mehr Geräten auf unsere Accounts zu. Passwörter bleiben dabei unabhängig von Gerät und Standort konsistent, während biometrische Daten im Moment - und wahrscheinlich für absehbare Zeit - nur über passende Geräte wie Kameras oder Fingerabdruck-Sensoren nutzbar sind.

Während zum Beispiel das neueste iPhone über die fortschrittlichsten Gesichtsabbildungs-Sensoren verfügt und Nutzern die Möglichkeit bietet, ihr Gerät allein mit ihrem Gesicht zu entsperren, erfordert die Technologie bei der Einrichtung immer noch ein Passwort, um die Daten im internen Speicher des Telefons zu kodieren. Die Eingabe des Passworts ist auch bei jedem Neustart des Telefons ein Muss - oder dann, wenn die Authentifizierung über Biometrie aus irgendeinem Grund nicht funktioniert.

Deswegen kommen auch neue Identifizierungsmethoden wie Mobile Connect letztendlich nicht ohne Passwort aus. Darüber hinaus ist in den meisten modernen biometrischen Anwendungen die Erfassung systembedingt lokal und kann auch nur sensible Daten dieses bestimmten Geräts offenbaren. Denn es gibt - glücklicherweise - keine allgemeine Datenbank, die Biometrie zur zentralen Authentifizierung verwendet. Und damit entfällt das biometrische Verfahren vollständig als Alternative zum Backup-Passwort oder der PIN.

Biometrische Erfassung ist nicht immer neutral

Die Erfassung biometrischer Daten ist keineswegs so wertneutral wie man annimmt. Zum Beispiel fanden MIT-Forscher heraus, dass Gesichtserkennungssysteme im Wesentlichen auf weiße Männer abgestimmt sind. Rund 35 Prozent der dunkelhäutigen Frauen wurde bei einem Versuch das falsche Geschlecht zugeordnet. Auch asiatische Systeme erkennen asiatische Gesichter deutlich besser als europäische.

Passwörter dagegen sind von Natur aus neutral. Und anders als bei der Gesichtserkennung hat man Kontrolle über sie. Darüber hinaus ist nicht jede Person in der Lage, alle biometrischen Merkmale zu nutzen - es gibt verschiedenste Umstände, die eine augenbasierte Biometrie oder Fingerabdruck-Erfassung unmöglich machen können. Letztendlich funktionieren nur wenige biometrische Messungen - wie DNA-Sequenzen - wirklich universell.

Daten lassen sich mittels Biometrie nicht verschlüsseln

Während die Biometrie als effektiver Torwächter für sensible Daten fungieren kann, ist die Technologie eingeschränkt: Sie kann den Zugang zwar gewähren oder verweigern, aber nicht einfach für andere Sicherheitsmaßnahmen wie Verschlüsselung genutzt werden. Denn um Daten wirklich sicher zu schützen, müssen sie verschlüsselt werden - und Passwörter sind manchmal die einzigen Hüter von Geheimnissen.

Nicht zuletzt sind Passwörter die bislang einzige Methode, die allgegenwärtig verfügbar und in jedem Kontext, auf jedem Gerät und an jedem Standort funktioniert und komplett unvoreingenommen ist, wenn es um die betroffene Person geht. Da die passwortbasierte Authentifizierung aus Entwicklersicht sehr einfach umzusetzen ist, wird sie wahrscheinlich noch etwas länger bestehen bleiben.

Tatsächlich werden Passwörter oder PINs auch in Zukunft weiterhin eine Rolle spielen, sei es für Multifaktor-Szenarien oder als Notfall-Authentifizierungsmethoden. Bei der Verwendung eines Passworts hat der Benutzer die volle Kontrolle über seine Sicherheit - noch besser ist es natürlich, einen professionellen Passwortmanager zu nutzen, der eine zusätzliche Sicherheitsebene bietet. (PC-Welt)