IT-Sicherheit – muss es immer ein Passwort sein?
Seit Jahrzehnten sind Passwörter unsere festen Begleiter im digitalen Leben. Vor etwa zwei Jahren änderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) grundlegend seine Empfehlungen zum Umgang mit Passwörtern, worüber wir in unserem Beitrag vom 10.03.2020 berichtet hatten. Dem BSI ging es dabei allerdings eher um das „wie“ als um das „ob“, denn grob zusammengefasst war die damalige Aussage, dass sich die Sicherheit von Passwörtern durch höhere Komplexität steigern lässt. Im Gegenzug für sicherere Passwörter könne dann auf die Änderung der Passwörter in regelmäßigen Intervallen verzichtet werden.
Die Verwendung von Passwörtern bleibt also auch nach dem vorgenannten Paradigmenwechsel des BSI das Mittel der Wahl. Zur Erhöhung der Sicherheit werden sie mittlerweile regelmäßig ergänzt durch weitere Maßnahmen wie die sogenannte Multi-Faktor-Authentisierung (MFA), die den Zugang zu IT-Ressourcen nicht nur anhand eines Faktors (Passwort) ermöglicht, sondern mindestens einen weiteren Faktor zur Gewährung des Zugangs zu einer Ressource verlangt. In der Regel ist in der Praxis mittlerweile die Zwei-Faktor-Authentisierung (2FA) anzutreffen. Ein häufig anzutreffendes Beispiel hierfür ist die Eingabe einer nur temporär gültigen PIN, die per SMS an eine vereinbarte Mobilfunknummer geschickt oder über einen entsprechenden Generator erzeugt wird und zusätzlich zu einem Passwort eingegeben werden muss, sofern auf ein Online-Konto (welcher Art auch immer) zugegriffen werden soll.
Es gibt jedoch nach wie vor Sicherheitsprobleme bei der Sicherung des Zugangs zu IT-Ressourcen mittels eines Passworts. Denn Passwörter werden oft vergessen, so dass der Zugang zu einem Dienst unter Umständen nicht mehr möglich ist. Oder sie werden zu schlecht gewählt und können sehr leicht erraten werden. Es ist kaum zu glauben, aber „123456“ ist immer noch eines der am häufigsten gewählten Passwörter (s. hierzu auch die Liste des Hasso Plattner Instituts für das Jahr 2021). Die Passwörter werden oft nicht sicher aufbewahrt und kleben manchmal sogar einfach am Monitor, was ebenfalls nicht gerade im Sinne der IT-Sicherheit ist. Im Endergebnis ist der Faktor Mensch mit seinen Schwächen, insbesondere seiner Bequemlichkeit, immer noch ein großes Risiko für die IT-Sicherheit.
Gibt es Alternativen zu einem Passwort?
Doch was kann man dagegen unternehmen? Gibt es Methoden, den Zugang auch ohne ein (lästiges) Passwort zu sichern?
Die Antwort lautet zum Glück: Ja, solche Methoden gibt es. Beispielsweise existieren biometrische Zugangsverfahren, wie der Fingerabdrucksensor oder aber auch die seit Jahren etablierte Methode der Gesichtserkennung, durch die eine Zugangskontrolle jeweils sichergestellt werden kann. Doch all diese Verfahren sind nicht wirklich standardisiert und so kann es dazu kommen, dass wenn ein Systemhersteller vom Markt verschwindet, das ganze System wertlos werden kann, da es weder gewartet noch mit (Sicherheits-)Updates versorgt wird. Unter Umständen muss es sogar komplett ersetzt werden, was für den System-Anwender sehr kostspielig werden kann, insbesondere wenn mehrere Standorte eines Unternehmens, die mit dem System ausgestattet waren, auf eine Alternative umsteigen müssen.
Glücklicherweise gibt es inzwischen jedoch aber standardisierte Verfahren, die auf dem sogenannten FIDO-Standard basieren, der mittlerweile in der Version 2.0 erschienen ist. Dieser Standard wurde durch die nichtkommerzielle FIDO-Allianz (FIDO steht für „Fast IDentity Online“, schnelle Online-Identifizierung) im Jahr 2013 offiziell mit dem Ziel gegründet, offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln.
Mittels des FIDO-Standards soll die Authentifizierung im Internet sicher und schnell, jedoch aber auch einfach ermöglicht werden, so dass Benutzer*innen nicht mehr auf zahlreiche verschiedene sichere Kennwörter zurückgreifen müssen.
Die zertifizierten Produkte (Hard- und Software) können sowohl in Betriebssysteme oder aber auch in Webbrowser oder Apps integriert werden. So kündigte Microsoft zum Beispiel bereits 2015 an, dass der FIDO-Standard 2.0 künftig vom neuen Betriebssystem Windows 10 unterstützt werde.
Wie funktioniert die Sicherheit nach dem FIDO-Standard?
Zur Authentifizierung nach dem FIDO-Standard werden verschiedene Faktoren nach dem MFA-Verfahren (s.o.) kombiniert. Im Rahmen der Registrierung zu einem Dienst wird ein Schlüsselpaar generiert. Dabei gibt es einen öffentlichen und einen privaten Schlüssel. Der private Schlüssel bleibt grundsätzlich im Besitz der Benutzer*innen und wird nicht auf öffentlichen bzw. fremden Servern gespeichert. Als Schlüssel zum Zugang zu einem Dienst dient dabei oft nicht nur ein in der Software generierter Schlüssel, sondern ein physisches USB-Dongle evtl. auch mit einem Fingerabdruck-Scanner, welcher dann ein zusätzlicher Sicherheitsfaktor ist. Auch ein Gerät, beispielsweise ein Smartphone kann als Hardware zur Authentisierung benutzt werden. So die Idee. Doch gerade das führte im Endeffekt dazu, dass das Verfahren für viele Nutzer, die unterschiedliche Geräte zur Authentisierung nutzten, in organisatorischer Hinsicht viel zu kompliziert war (ähnlich wie die Verschlüsselung einer E-Mail mit PGP, die sich in der Praxis aufgrund der technischen Hürden für die Nutzer*innen kaum durchgesetzt hat). Die generierten Schlüssel mussten durch die Nutzer*innen wiederum sicher verwaltet werden. Das ist eine nicht so ganz triviale Aufgabe und die USB-Dongles können verloren gehen und müssen dann gesperrt werden.
So entstand die Idee, die Synchronisierung der Schlüssel in die Cloud zu verlagern, um das Verfahren benutzerfreundlicher zu machen, so dass sich sowohl der öffentliche als auch der private Schlüssel nicht mehr auf den Geräten der Nutzer*innen, sondern auf den Servern des jeweiligen Dienstanbieters sich befinden sollten. Die Anwender*innen müssen sich nicht mehr um die Verwaltung der Schlüssel kümmern, sondern benötigen lediglich die entsprechende Soft- und Hardware, um sich anzumelden.
Die Implementierung kann einerseits auf der Ebene des Betriebssystems stattfinden. Aber auch die Anbieter der Systeme und Anwendungen, an denen die Anmeldung mittels FIDO erfolgen soll, müssen mitziehen. Nach Angaben der an der FIDO-Allianz beteiligten Unternehmen (und dazu gehören die meisten Big-Player, wie zum Beispiel Microsoft, Google, Apple, etc.) sind diese fest entschlossen, den viel versprechenden und bequemen Standard innerhalb vergleichsweise kurzer Zeit zu implementieren. In circa 1,5 Jahren soll die auf dem FIDO-Standard basierende Technologie flächendeckend Einzug in die Geräte und Anwendungen gefunden haben.
Ein Fingerabdruck per Touch-ID und/oder Gesichtserkennung per Face-ID auf dem Smartphone würden genügen, um sich bei einem Dienst oder auf einem Gerät anzumelden. Es handelt sich hierbei um das „Phone as a Token“-Prinzip. Das kann sowohl bei Apps als auch im Rahmen der Nutzung von Online-Diensten umgesetzt werden.
Gibt es im Rahmen des Einsatzes von FIDO Risiken?
Die gibt es leider, und zwar im Zusammenhang mit der Verlagerung der Sicherheitsschlüssel in die Cloud. Der FIDO-Standard macht bislang keine Vorgaben, wie die Cloud-Speicherung des privaten Schlüssels erfolgen muss, damit er vor den neugierigen Blicken des Systemanbieters selbst geschützt ist. Wenn die privaten Schlüssel so aufbewahrt werden, dass der Zugriff darauf durch den Systemanbieter möglich ist, so ist nicht auszuschließen, dass die sensiblen Nutzerdaten dem Zugriff des Systemanbieters ausgesetzt sein könnten. Aktuell wird die Ende-zu-Ende-Verschlüsselung der Passwörter in der Cloud nur durch Apple mit seiner sogenannten Keychain umgesetzt. Die anderen „Großen“ sind nach unserer derzeitigen Information noch nicht so weit. Zudem ist zu beachten, dass die privaten (geheimen) Schlüssel bei einem Dienstanbieter von Hackern entwendet und missbraucht werden könnten. Wobei dieses Problem auf der Seite der Nutzer*innen durchaus auch auftreten kann. Für die einzelnen Nutzer*innen wären die Folgen vermutlich identisch, allerdings wären bei den „Großen“ bei einem (vermutlich schwieriger durchzuführenden) Einbruch dann eben nicht nur einzelne Nutzer*innen in Gefahr, sondern eine sehr große Anzahl.
Fazit
Durch den FIDO-Standard wird es für die Nutzer*innen viel einfacher, eine passwortlose Anmeldung umzusetzen. Verlorene USB-Dongles wären kein Problem mehr und ein neues Gerät ließe sich durch die Cloud-Anmeldung deutlich einfacher authentisieren.
Durch die weite Verbreitung der Smartphones als ein mobiler Sicherheitsschlüssel, der stets dabei ist, wären die Nutzer*innen nicht überfordert. Allerdings ist immer fraglich, wie gut das eigene Smartphone geschützt ist und es ist immer eine Sache des Vertrauens, wenn Nutzer*innen ihre privaten Sicherheitsschlüssel einem Dienstanbieter und seiner Cloud anvertraut.
HINWEIS:
Übrigens, über das Thema FIDO-Standard als Passwortersatz haben wir auch in einer Folge unseres Podcasts gesprochen, welche hier abgerufen werden kann. Hören Sie doch einfach mal rein…
