Am diesjährigen World Password Day, der traditionell im Mai stattfindet, kündigten drei der größten Tech-Riesen, Google, Microsoft und Apple, ihre Pläne für eine passwortlose Zukunft an.
Der neue Standard wird von der FIDO Alliance in Zusammenarbeit mit dem World Wide Web Consortium (W3C) entwickelt, das grob gefasst definiert, wie das moderne Internet aussieht und funktioniert. Es handelt sich hierbei um einen ernsthaften Versuch, Passwörter zugunsten einer Smartphone-basierten Authentifizierung für immer aus dem Hier und Jetzt zu verbannen.
Obwohl die Abschaffung von Passwörtern bereits seit etwa einem Jahrzehnt diskutiert wird, haben frühere Versuche, diese hoffnungslos unzuverlässige Methode der Benutzerauthentifizierung abzuschaffen, bislang zu Nichts geführt. In diesem Beitrag möchten wir Ihnen einen kleinen Einblick in die Vorteile des neuen FIDO/W3C-Standards geben, wobei wir zunächst die Frage klären sollten, welche allgemeinen Probleme Passwörter mit sich bringen.
Das Problem „Passwort“
Der größte offensichtlichste Nachteil von Passwörtern ist die Leichtigkeit, mit der sie in die falschen Hände geraten können. In den frühen Anfängen der Internet-Ära, als die so gut wie gesamte Kommunikation zwischen Computern noch unverschlüsselt stattfand, wurden Passwörter im Klartext übermittelt. Mit der Ausbreitung von Zugangspunkten zu öffentlichen Netzwerken – in Cafés, Bibliotheken und im ÖVPN – entwickelte sich dies jedoch zu einem echten Problem, da Kriminelle unverschlüsselte Passwörter so ganz unbemerkt abfangen konnten.
So richtig explodierte das Problem des Passwortdiebstahls jedoch Anfang bis Mitte 2010, nachdem große Internetdienste mit dem großflächigen und hochkarätigen Diebstahl von E-Mail-Adressen und Benutzerpasswörtern zu kämpfen hatten. Wir können Ihnen übrigens mit Sicherheit sagen, dass all Ihre Passwörter von vor zehn Jahren irgendwo in der Öffentlichkeit herumschwirren. Auf HaveIBeenPwned können Sie sich selbst davon überzeugen.
Heutzutage enthalten Leaks natürlich weniger Klartext-Passwörter und viele Internetdienste haben längst erkannt, dass das unverschlüsselte Speichern sensibler Benutzerinformationen das Erfolgsrezept für eine Katastrophe mit Ankündigung ist. Passwörter werden deshalb meist gehasht, d. h. verschlüsselt gespeichert.
Das Problem hierbei ist, dass ein schwaches Passwort durch das Ausprobieren aller möglichen Kombinationen (Brute-Force-Methode) oder durch einen sogenannten Wörterbuchangriff noch immer aus einer verschlüsselten Datenbank extrahiert werden kann. Gehashte Passwörter wie „geheim“ oder „123123“ zu entschlüsseln ist somit ein Kinderspiel. Damit wären wir bereits beim zweiten Problem: Um sich Kennwörter besser merken zu können, verwenden viele Nutzer sehr schwache Passwörter, die sich leicht aus einer geleakten Datenbank extrahieren lassen – selbst, wenn sie verschlüsselt sind.
Dieser Wunsch nach Einfachheit und Bequemlichkeit führt auch schon zum dritten Problem: Die Verwendung desselben Passworts für verschiedene Konten und Dienste. Datenlecks eines alten Online-Forums können so beispielsweise zum Verlust Ihres Haupt-E-Mail-Kontos führen.
Passwort Plus
Dieses Problem ist alles andere als neu, sodass die meisten Dienste nicht mehr nur auf ein einziges Passwort setzen, sondern eine Art Multi-Faktor-Authentifizierung verwenden. Wenn Sie sich bei Internetdiensten, sozialen Netzwerken, beim Online-Banking usw. anmelden, werden Sie normalerweise nach der Eingabe Ihrer Anmeldeinformationen zur Eingabe eines Einmalcodes aufgefordert. Dieser Code erreicht Sie per Textnachricht, in der Banking-App selbst oder über eine spezielle Authentifizierungs-App wie Google Authenticator. Sehr komplexe Systeme verwenden einen Hardwareschlüssel, der per USB, Bluetooth oder NFC abgerufen werden kann.
In einigen Fällen benötigen Sie überhaupt kein Passwort. Wenn Sie sich beispielsweise bei einem Microsoft-Konto anmelden, wird Ihnen per E-Mail ein Einmalkennwort zugesandt. Standardmäßig verwendet auch die Messaging-App Telegram eine auf Einmalcodes basierende Authentifizierungsmethode, ohne die Notwendigkeit eines Passworts (obwohl Kennwörter als zusätzliche Sicherheitsmaßnahme empfohlen werden).
In den allermeisten Fällen existieren Passwörter jedoch immer noch als Backup-Form der Authentifizierung. Sich ausschließlich auf textbasierte Kennwörter zu verlassen (bei weitem die gebräuchlichste und benutzerverständlichste Form der 2FA) ist dennoch aus vielerlei Gründen keine gute Idee. Es ist seit langem klar, dass Passwörter keine langjährige Zukunft mehr haben. Und mit den Ankündigungen der 3 Tech-Riesen scheint es ganz so, als stünde uns eine passwortlose Zukunft schon ganz bald bevor.
Passwortlose Authentifizierung nach FIDO/W3C
Um es auf den Punkt zu bringen: Der neue passwortlose Authentifizierungsstandard macht das Passwort (oder besser gesagt den Passkey, ein Satz privater und öffentlicher Kodierungsschlüssel) zu einem rein technischen Element, das der Benutzer nicht mehr zu Gesicht bekommt. Dies ermöglicht die Verwendung starker, eindeutiger Schlüssel und leistungsstarker Kryptografie. Dies wiederum macht Cyberkriminellen das Leben schwerer und gewährleistet, dass bei der Kompromittierung eines Kontos kein weiteres Konto beeinträchtigt wird.
Für den Nutzer sieht es so aus, als würde er seine Anmeldung bei einem sozialen Netzwerk, E-Mail-Konto oder Online-Banking-Dienst über sein Smartphone bestätigen. Der Ablauf ähnelt dem einer Online-Zahlung: Sie entsperren das Gerät über die PIN, die Gesichtserkennung oder den Fingerabdruck und bestätigen die „Transaktion“ – nur, anstatt eine Zahlung zu tätigen, melden Sie sich bei Ihrem Konto an. Hört sich gut an!
Darüber hinaus verfügt der von FIDO entwickelte Standard über ein zusätzliches Feature in Form einer Bluetooth-Authentifizierung auf mehreren Geräten. Beispielsweise ist die Kontoanmeldung auf einem Laptop schneller, wenn das Gerät ein vertrauenswürdiges Smartphone in der Nähe „entdeckt“. Dieses aufregende Authentifizierungssystem wird für die überwiegende Mehrheit der Benutzer funktionieren, außer vielleicht für diejenigen, die aus Prinzip weiterhin ein Tastentelefon verwenden. Und mit dem Support von drei Internetgiganten wird diese Funktion in naher Zukunft schon bald universell werden. Wird all das also auch ein positiver Schritt in Richtung mehr Sicherheit sein? Werfen wir einen Blick auf die Vor- und Nachteile dieser neuen Technologie.
Vorteile der passwortlosen Authentifizierung
Die Unterstützung von Google, Apple und Microsoft bietet Grund zur Annahme, dass große Dienste wie Gmail, YouTube, iCloud, Xbox und alle iOS-, Android- und Windows-Geräte bald auf die passwortlose Authentifizierung umstellen werden. Da der Standard einheitlich ist, sollte die Authentifizierung auf jedem Gerät identisch funktionieren. Darüber hinaus soll es die Möglichkeit geben, Geräte ganz einfach zu wechseln. Haben Sie Ihr iPhone gegen ein Samsung Galaxy getauscht? Kein Problem: Sie können das neue Smartphone ganz einfach als Ihr aktuelles Login-Verifizierungsgerät festlegen.
Der Hauptvorteil der neuen Methode besteht darin, dass sie Phishing erheblich erschwert. Herkömmlicher Passwortdiebstahl funktioniert, indem Kriminelle beispielsweise eine gefälschte Banking-Website erstellen und ihr Opfer auf diese Seite locken. Gibt der Nutzer dort seine Zugangsdaten ein, erlangt der Angreifer Zugriff auf das Bankkonto. Neben der Authentifizierung des Nutzers, überprüft der neue Standard auch die Authentizität des Dienstes selbst. Das einfache Senden einer Authentifizierungsanfrage für die Webressource einer anderen Person funktioniert so nicht mehr. Und auch geleakte Passwörter werden in Zukunft keine Bedrohung mehr für Nutzer darstellen.
Zudem verspricht das neue System eine einfache und intuitive Handhabung. Bei richtiger Implementierung sollte das Ersetzen von Passwörtern selbst für bestehende Konten sehr einfach sein, und die versprochene Unterstützung auf Betriebssystemebene in Smartphones erfordert nicht einmal die Installation einer App. Sie müssen lediglich die gewünschte Seite öffnen, Ihre Kennung eingeben und die Anfrage auf Ihrem Smartphone bestätigen. Et voila!
Probleme, die auch ohne Passwörter bestehen bleiben
Viele werden sich jetzt vermutlich folgende Frage stellen: Was passiert, wenn jemand mein Smartphone in die Hände bekommt und die Anmeldung für alle meine Konten genehmigt? Die Antwort ist ganz einfach: In einem realistischen Sicherheitsmodell gibt es keine bombensicheren Lösungen. Alles kann gehackt werden – die Frage ist nur, welche Ressourcen der Kriminelle bereit ist, dafür auszugeben. Denn selbst wenn Sie Ihre 128-stelligen aleatorischen Passwörter ausschließlich in Ihrem Kopf speichern, können selbst solche Kennwörter mit bewährten Methoden aus Ihnen herausgekitzelt werden.
Es wird sicher Versuche geben, einzelne Smartphones zu hacken, um Zugang zu Konten zu erhalten. Aber solche Hacks werden individuell sein und sehr wahrscheinlich nur auf hochkarätige Objekte abzielen. Wenn es um den Massenmarkt geht – also reale alltägliche Bedrohungen – ist der Diebstahl von Passwörtern um Längen weiter verbreitet als der Diebstahl von Smartphones und die Nutzung ihrer digitalen Inhalte. Und genau dieses Problem soll die neue Technologie lösen.
In diesem Zusammenhang möchten wir noch einmal daran erinnern, dass ähnliche Zweifel auch über die Masseneinführung biometrischer Daten geäußert wurden. Damals waren viele Leute ähnlich besorgt, dass jemand ihren Fingerabdruck stehlen und ihr Smartphone entsperren könnte. Troy Hunt, Schöpfer von HaveIBeenPwned, schrieb letztes Jahr einen ganzen Artikel zu einem verwandten Thema: In einem realistischen Sicherheitsmodell ist Biometrie stärker als Passwörter.
Der neue Standard ermöglicht es, das Authentifizierungssystem von einem Gerät auf ein anderes zu übertragen. Am einfachsten geht das, wenn Sie zwei Geräte besitzen – zum Beispiel ein altes und ein neues Smartphone. Wenn das alte Handy verloren geht, müssen Sie zweifellos eine Art Backup-Methode verwenden, um Ihre Identität erneut nachweisen zu können. Um welche Backup-Methode es sich dabei handelt, ist allerdings noch unklar.
Abschließend lohnt es sich, die Frage zu stellen, ob das neue System Nutzer nicht abhängiger von der Funktionalität ihrer Google- bzw. Apple-Konten macht. Führt die Sperrung eines Google-Kontos generell zum Verlust des Zugriffs auf alle Online-Ressourcen?
Eine vielversprechende Zukunft
Selbst Skeptiker müssen sich eingestehen, dass eine passwortlose Zukunft deutlich mehr verspricht als die aktuelle Kennwort-Methode. Das in die Jahre gekommene Passwortkonzept bedarf seit langem einer Überarbeitung. Der passwortfreie Standard von FIDO verspricht viel Positives, obwohl einiges letztendlich von Google, Apple, Microsoft und Co. abhängt. Gehen die Entwickler jedoch den richtigen Weg, wird unser digitales Leben ein Stück weit einfacher und sicherer. Das dies nicht über Nacht geschieht ist selbstverständlich: Denn Passwörter sind im heutigen Internet so tief verwurzelt, dass es viele Jahre dauern wird, sie vollständig aus unserem Leben zu verbannen – selbst mit einem neuen, verbesserten System.