designer491 - stock.adobe.com
Mit passwortlosem Login zu mehr Sicherheit
Die Kombination aus Benutzernamen und Passwort gehört mit zu den ältesten Sicherungsansätzen in der IT. So alt wie diese Methode sind auch die Probleme, die sie verursacht.
Immer wieder sind die Nachrichten voll von Meldungen, die über Passwort-Leaks berichten. Anfang 2019 wurde bekannt, dass eine große Social-Media-Plattform ungefähr 2,2 Milliarden Passwörter an Kriminelle verloren hatte, die daraufhin im Darknet zum Verkauf angeboten wurden.
Im April 2019 gab Docker Hub, eine Online-Bibliothek und Community für Container-Images, den Hack von 190.000 Nutzerkonten bekannt, in dessen Folge Nutzer dazu aufgefordert wurden, ihre Passwörter umgehend zu ändern.
Aber auch ohne Datenlecks stellen Passwörter eine Sicherheitslücke dar. Der limitierende Faktor ist hierbei oft der Mensch selbst. Aus Bequemlichkeit werden Passwörter häufig mehrfach verwendet und am Arbeitsplatz mit Kollegen geteilt. In einer Ponemonstudie zur Passwortsicherheit (PDF) aus dem Jahr 2019 gaben 46 Prozent der 1761 befragten IT-Verantwortlichen in Deutschland, den USA, Großbritannien und Frankreich an, dass Passwörter in ihrer Organisation zwischen vier und sechsmal wiederverwendet werden. Darüber hinaus gaben 51 Prozent zu, geschäftliche Passwörter auch privat zu nutzen.
Viele Unternehmen haben erkannt, dass die Passwortpraktiken ihrer Mitarbeiter teilweise problematisch sind und deshalb Richtlinien für den Gebrauch von Zugangsdaten erlassen. Die beliebteste Maßnahme ist hierbei der regelmäßige Wechsel von Passwörtern, bei dem nach einem bestimmten Zeitintervall (meist ein Monat) ein neues, zufallsgeneriertes Passwort zugeteilt wird. 78 Prozent der befragten deutschen Unternehmen haben eine solche Richtlinie. 62 Prozent geben bei Passwörtern zudem eine Mindestlänge vor.
In einer repräsentativen Umfrage unter Internetnutzern kam heraus, dass gut ein Fünftel zu einfache Passwörter wie den Haustiernamen oder Zahlenfolgen nutzen. Diese sind mit ein wenig Aufwand für Kriminelle leicht zu knacken.
Passwörter werden aus diesen Gründen immer unbeliebter und Alternativen respektive Ergänzungen sind sicherer und wirtschaftlicher. Neben der immer beliebter werdenden Zwei- oder Multifaktor-Authentifizierung (2FA und MFA), bildet der passwortlose Login die beste Mischung aus Sicherheit und Nutzerkomfort.
Ohne Passwörter in die Zukunft
Am 4. März 2019 wurde WebAuthn vom World Wide Web Consortium (W3C) zum offiziellen Standard für die Authentifizierung erklärt. Bei WebAuthn handelt es sich um einen von der FIDO-Allianz (Fast Identity Online) entwickelten Standard zur passwortlosen Anmeldung. Zu dieser Allianz gehören unter anderem Google, Microsoft, Yubico und Infineon.
Mit diesem Standard ist eine passwortlose Anmeldung per Public-Key-Verfahren möglich, das auf dem Ausstellen, Verteilen und der Prüfung digitaler Zertifikate basiert. Der auf diese Weise verschlüsselte Informationsaustausch gilt als theoretisch in überschaubarer Zeit unknackbar.
Bei WebAuthn können anstatt der gängigen Login-Daten wie Benutzername und Passwort Authentifizierungsmechanismen wie Fingerabdrucks- und Netzhautscans oder auch Sicherheits-Token genutzt werden. Viele Online-Dienste und die meisten Webbrowser unterstützen den Standard bereits.
Viele moderne Endgeräte wie Notebooks und Smartphones verfügen bereits über eingebaute Fingerabdruckscanner, die hierfür genutzt werden können. Iris- oder Regebogenhautscanner sind seltener und meist an stationären Geräten mit besonders hohen Sicherheitsanforderungen angebracht.
Besonders bei Geräten, die werksseitig über keine derartigen Scanner verfügen wie ältere Notebooks und Smartphones, bieten sich Security Tokens an. Diese haben die Form bekannter USB-Speicher-Sticks und werden per USB A/C, NFC (Near Field Communication) oder Bluetooth mit dem Gerät verbunden.
Kein Passwort, kein Problem?
Ist der passwortlose Login erstmal aktiviert, hat das für den Nutzer beziehungsweise für das Unternehmen, indem er arbeitet, eine Reihe von Vorteilen.
- Wegfall langer und komplizierter Passwörter. Für die meisten Mitarbeiter ist es lästig, sich lange und damit sichere Passwörter zu merken, weshalb sich viele damit behelfen, diese mehrfach zu verwenden oder niederzuschreiben. Werden Passwörter durch Sicherheits-Tokens ersetzt, fällt dieser Faktor weg.
- Kosteneinsparungen. Die Infrastruktur, die um Passwörter herum aufgebaut und gewartet werden muss, kann teuer sein: 20 bis 50 Prozent der Helpdesk-Anrufe werden für Passwortrücksetzungen verwendet, was sie zur Nummer 1 der IT-Supportkosten macht. Bei der Einrichtung eines passwortlosen Logins fallen in den meisten Fällen nur einmalige Einrichtungskosten an.
- Arbeitsabläufe vereinfachen. Mitarbeiter neigen dazu, (komplexe) Passwörter zu vergessen. Dies ist ärgerlich für die Betroffenen, weil sie keinen Zugriff auf ihre Geräte, Anwendungen oder Daten haben, und für die IT-Abteilung des Unternehmens noch mehr, weil sie Zeit mit dem Zurücksetzen von Passwörtern verbringen müssen. Wenn Mitarbeiter eine kennwortlose Login-Lösung wie einen USB-Token verwenden, ist dieses Problem beseitigt. IT-Abteilungen und andere Mitarbeiter können sich auf wichtigere Dinge konzentrieren.
Herausforderungen beim passwortlosen Login beachten
Wenn die Hardware in einer raueren Umgebung oder in einer Umgebung eingesetzt wird, in der eine kontinuierliche Stromversorgung nicht gewährleistet ist, sind Schlüssel, die über NFC und USB kommunizieren, in der Regel robuster und benötigen keine interne Stromquelle, um zu funktionieren.
Darüber hinaus bedeutet der Umstieg auf die passwortlose Authentifizierung zumindest anfänglich einen erhöhten Aufwand für alle Beteiligten. Die Hardware muss eingerichtet und dann in einem zweiten Schritt allen Mitarbeitern erklärt werden. Dazu gehört zum Beispiel die Handhabung im täglichen Gebrauch oder die Aufklärung darüber, welche Maßnahmen bei Verlust des Tokens zu ergreifen sind. Gleichzeitig sollten die Vorteile, die die Umstellung auf das passwortlose Login mit sich gebracht hat, hervorgehoben werden, um die Akzeptanz sicherzustellen. In den meisten Fällen lohnt es sich jedoch, über eine solche Lösung nachzudenken.
„Es sollte auch einen Backup-Plan für eine passwortlose Authentifizierungslösung geben. Das bedeutet, dass bei Verlust eines Sicherheits-Tokens immer ein Ersatz-Token zur Verfügung steht.“
Alexander Koch, Yubico
Darüber hinaus sollte es auch einen Backup-Plan für eine passwortlose Authentifizierungslösung geben. Das bedeutet, dass bei Verlust eines Sicherheits-Tokens immer ein Ersatz-Token zur Verfügung steht. Gleichzeitig sollte seine Registrierung bei Konten und Geräten nach Bekanntwerden des Verlustes aufgehoben werden.
Bei einigen Token ist es nicht möglich, den Schlüssel auszulesen und auf angeschlossene Geräte oder Benutzerkonten zu schließen. Daher ist die Sorge, dass Fremde nach dem Auffinden des Tokens auf private Daten zugreifen könnten, unbegründet.
Fazit
Passwörter haben viele Nachteile und können heute effektiv durch andere Methoden zur Authentifizierung ersetzt werden, die sicherer und einfacher sind sowie in der Zeit nach ihrer Implementierung Zeit und Kosten sparen.
Entscheider sollten daher überlegen, wie sie die Sicherheit ihres Unternehmens mit Hilfe von passwortlosem Login und Multifaktorauthentifizierungen verbessern können. Dabei sollte darauf geachtet werden, dass die ausgewählte Lösung aktuelle Sicherheitsstandards unterstützt aber auch an die Anforderungen im eigenen Unternehmen angepasst sind. Dazu gehören passende USB-Standards, aber auch Anforderungen an die Mobilität der Lösung. Während einige Tokens beispielsweise vollkommen ohne Batterie respektive Akkus auskommen, benötigen andere eine interne Energieversorgung.
Über den Autor:
Alexander Koch ist VP Sales DACH und CEE bei Yubico.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.