Kennwörter bereiten uns tagtäglich Kopfzerbrechen und stellen aufgrund der Tatsache, dass sie durch den Faktor Mensch erstellt werden, für Unternehmen eine bedeutende Verwundbarkeitsquelle dar. Regelmäßig wird also das nahe Ende der Kennwörter angekündigt. Doch sind die vorgeschlagenen Alternativen wirklich verlässlich? Kann man wirklich ohne Kennwörter auskommen?
Der Identitätsbetrug mit Kennwörtern bleibt weiterhin der Hauptvektor bei Hacker-Angriffen. Die alljährlich vom amerikanischen Telekommunikationsbetreiber Verizon durchgeführte Umfrage hat vor kurzem aufgezeigt, dass 29 % der unerwünschten Angriffe auf gestohlenen Kennwörtern beruhen und dass in 80 % der Fälle schwache Kennwörter der Grund dafür waren. Jedes Jahr gibt es blühende Bewertungen der „schlechtesten Kennwörter“, die immer wieder ein Lächeln hervorrufen oder für Verzweiflung in den IT-Abteilungen sorgen.
Vom großen Klassiker „123456“ bis zum auf Gedächtnisstützen beruhenden „falsch“ – die Frage nach dem Kennwort ist heikel, weil die Notwendigkeit der Sicherheit häufig an der Realität ihrer täglichen Benutzung scheitert. Die doppelte Notwendigkeit, sich an eine mehr oder weniger komplexe Kombination aus Zahlen und Groß- und Kleinbuchstaben zu erinnern und diese Kombination in regelmäßigen Abständen zu erneuern, bereitet dem Benutzer häufig Kopfzerbrechen. Und die Versuchung, sein Kennwort auf einem Post-it zu notieren oder bei allen Anwendungen ein- und dasselbe Kennwort zu verwenden, ist groß (dies betrifft einer von Harris Interactive für CaptainCyber durchgeführten Untersuchung zufolge 78 % der Mitarbeiter). Dem allgemeinen Reifemangel der einzelnen Personen und Mitarbeiter ist somit noch der Bedarf nach „praktischer Benutzbarkeit“ hinzuzufügen.
Vor diesem Hintergrund werden immer wieder das „Ende der Kennwörter“ und die Entstehung einer „passwordless“ Benutzung verkündet, während auf der anderen Seite Biometrie als vielversprechende Lösung in höchsten Tönen gelobt wird. Auch die doppelte Authentifizierung wird immer wieder als eine effiziente Ergänzung zu Kennwörtern angeführt. Was ist von diesen unterschiedlichen Alternativen zu halten? Wird man in den nächsten Wochen/Monaten/Jahren immer noch ein Kennwort benötigen? Braucht man angesichts der Tatsache, dass Sicherheit und Einschränkung Hand in Hand gehen, vielleicht weniger Passwörter, doch kräftigere?
Biometrie: praktisch, doch nicht unfehlbar
Biometrische Identifizierungen wie beispielsweise der Scan des Fingerabdrucks, der Gesichtsgeometrie oder die Iris-Erkennung) wurden schnell als Alternativen zu herkömmlichen Kennwörtern angeführt. Das Smartphone lässt sich tatsächlich schneller und müheloser mit dem Fingerabdruck als mit einem aus mehreren Zahlen bestehenden Code entsperren. Außerdem stimmt es, dass die einzelnen physischen Eigenschaften, nämlich diejenigen, die zu den Benutzern gehören und einmalig sind, interessante Möglichkeiten zur Erstellung von Signaturen bieten. Nach der Retina-Authentifizierung, die in Filmen sehr beliebt ist, wird auch der Rest des Körpers zur Authentifizierung herangezogen. Amazon hat vor kurzem ein Patent nur Analyse der Handvenen- und Handlinienstruktur zu Authentifizierungszwecken angemeldet. Der japanische Riesenkonzern Hitachi seinerseits untersucht einen Prozess, der die Analyse der Blutgefäße, des Venensystems, das einmalige Strukturen aufweist, ermöglicht.
Für diese Unternehmen erweisen sich die anderen biometrischen Identifizierungen als verlässlicher als Fingerabdrücke oder die Gesichtserkennung, die ebenfalls Grenzen hat. Einem Forscherteam der Universität New York ist es vor kurzem gelungen, eine Technik zu entwickeln, die die Erzeugung „universeller“ Fingerabdrücke und damit das Austricksen der auf 70 % der Smartphones enthaltenen Sensoren ermöglicht. Wenn Fingerabdrücke nicht gefälscht werden können, so können sie doch gestohlen (wie es 2015 bei einem Cyber-Angriff auf die US-Notenbank, die FED, der Fall war) und auf Marktplätzen, die sich auf den Verkauf biometrischer Daten spezialisiert haben, angeboten werden. 2019 hatten Fingerabdrücke von mehr als 60.000 Benutzern dazu gedient, GenesisStore, einen Marktplatz des Darknet, zu versorgen. Bezüglich der Gesichtserkennung hat der Journalist Thomas Brewster von Forbes bewiesen, dass es möglich war, Smartphones mit einem 3D-Ausdruck des Gesichts auszutricksen. Nur schwerlich lässt sich dabei eine Assoziierung mit der Deepfake-Technologie vermeiden, mit der sehr wirklichkeitsgetreue Videos entwickelt und damit möglicherweise Sensoren ausgetrickst werden können. Es ist somit einfach zu verstehen, dass die Experimente in Bezug auf Biometrie florieren, dass aber die Risiken des Identitätsbetrugs weiterhin bestehen bleiben.
Die Risiken könnten zumindest eine Kombination aus zwei biometrischen Faktoren wie beispielsweise einem Fingerabdruck und dem Venensystem oder auch einem Fingerabdruck und einer Gesichtserkennung beschränkt werden. Doch diese Lösung wird durch die Kostenfrage verhindert; Sensoren sind teuer und eine Verallgemeinerung von mit doppelten Biometriesensor ausgestatteten Geräten, ohne dass deren Preise in astronomische Höhe schnellen, lässt sich nur schwer vorstellen. Schlussfolgerung: Biometrische Identifizierungsverfahren alleine sind nicht ausreichend verlässlich.
FIDO2 : Vorteile und Grenzen der passwordless Benutzung
Im Februar 2020 entfachte eine Mitteilung von Microsoft über die Einbindung der passwordless Benutzung in seiner AzureAD-Umgebung die Debatte über das angekündigte Ende der Kennwörter. Die Technologie FIDO2 ermöglicht tatsächlich eine Überprüfung der Benutzeridentität. Sie stützt sich dabei auf einen starken Authentifizierungsschlüssel, der auf einem materiellen Datenträger implantiert wurde. Der FIDO-Token kann somit als ein weiterer Authentifizierungsfaktor verwendet werden. Der Vorteil der FIDO2-Technologie liegt in ihren geringen Kosten, wodurch sie sowohl für Privatbenutzer als auch für Unternehmen zugänglich wird.
Doppelte Authentifizierung: Versprechen und Grenzen
Immer noch Microsoft zufolge ermöglicht es die doppelte Authentifizierung sogar, 99 % der Angriffsversuche aufzuhalten. Dennoch bleibt der FIDO-Stick vor allem ein materieller USB-Träger, was nicht alle Einschränkungen aufhebt. Zwar passwordless, doch noch nicht painless. Was macht man beispielsweise bei Diebstahl, Verlust oder wenn man den USB-Stick ganz einfach vergisst? Das Smartphone dient häufig als Back-up, um einen über SMS oder E-Mail übertragenen kurzen „Token“ zu erhalten. Vor kurzem durchgeführte Umfragen haben nämlich aufgezeigt, dass Hacker diesen zweiten Authentifizierungsfaktor umgehen können, wie es die Malware Cerberus gezeigt hat.
Diese Lösung ist somit nicht unfehlbar, vor allem dann nicht, wenn man den FIDO-Stick nicht immer bei sich trägt. Sie erhöht auf alle Fälle jedoch das Sicherheitsniveau, vor allem bei kritischen Netzwerken oder Infrastrukturen.
Kennwörter versus Kennsatz
Die neuesten Entwicklungen tragen offensichtlich zum Komfort der Benutzer bei, doch sie untermauern keinesfalls und insbesondere nicht in bei der doppelten Authentifizierung die Aufhebung des Kennworts. Was ist dann aber genau ein starkes Kennwort? Die Standards, die sich auf ein gutes Komplexitätsniveau beziehen, beinhalten im Allgemeinen eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und deren regelmäßigen Wechsel.
Ein neuestes Dokument des NIST (Nationales Standard- und Technologie-Institut in den Vereinigten Staaten) hat diese Gewissheiten jedoch verunsichert, was durch ein weiteres, vom deutschen Bundesamt für Sicherheit (BSI) in der Informationstechnik unterzeichnetes Dokument fortgeführt wurde. Vom NIST-Institut befragten Forschern zufolge ist die große Komplexität bestimmter Kennwörter im alltäglichen Gebrauch, wobei man eine Zeichenkombination mehrmals täglich eingeben muss, nicht existenzfähig. Sie empfehlen folglich die Verwendung eines Kennsatzes, an den man sich einfacher erinnern kann und der doch gleichzeitig komplex genug ist, um eventuelle Hacker abwehren zu können, weil es zahlreiche Kombinationsmöglichkeiten für die einzelnen Wörter gibt. Es stellt sich an dieser Stelle jedoch die Zusatzfrage, wie weit man in Bezug auf die Anzahl der Wörter gehen sollte? Das Dokument äußert sich diesbezüglich nicht. Dem Bundesamt für Sicherheit in der Informationstechnik zufolge hat die Agentur ihre Empfehlungen in Bezug auf die regelmäßige Änderung der Wortkombinationen korrigiert. „Sie können dasselbe Kennwort bedenkenlos mehrere Jahre lang benutzen“, betont sogar einer der deutschen Forscher. Die Position der deutschen Agentur ist einfach: Die regelmäßigen Kennwortänderungen sind eher schädlich als nützlich, weil die Benutzer dadurch schwache und gemäß einem bestimmten Schema gebildete Kennwörter verwenden würden – die ab dem Punkt für einen Cyber-Angreifer dann recht einfach vorstellbar sind.
Weniger, doch besser
Auch wenn es unmöglich ist, eine biometrische Authentifizierung oder einen FIDO2-Stick verwenden zu können, so ist es doch immer noch möglich, eine einfache Regel einzuhalten: weniger, doch dafür sicherere Kennwörter auszuwählen. Unter Bezugnahme auf die Empfehlungen des deutschen Bundesamts für Sicherheit in der Informationstechnik ist es beispielsweise möglich, fünf komplexe Kennwörter auszuwählen und diese Website-Gruppen zuzuweisen, die bereits im Vorfeld je nach ihrer Wichtigkeit klassifiziert wurden. Eine Technik, die den Vorteil bietet, dass sie für alle Benutzer zugänglich ist.
Es ist damit einfach zu verstehen, dass wir Kennwörter weiterhin – auch bei einer starken Authentifizierung - benötigen werden. Es gibt dabei jedoch zahlreiche Kombinationsmöglichkeiten für eine optimale Sicherheit. Eine Empfehlung könnte darin bestehen, sich bei der Sicherheit systematisch auf folgende Aspekte zu stützen:
- Etwas, dass man kennt (Sicherheitsaspekt Kennwort);
- Etwas, das man besitzt (Sicherheitsaspekt FIDO2-Stick);
- Etwas, das man ist (biometrisches Element).
Die Herausforderung für IT-Abteilungen besteht darin, dafür zu sorgen, dass jeder den für sich geeigneten Sicherheitskompromiss findet, d. h. die Methode, die Angriffe möglichst optimal abwehrt und im Alltag gleichzeitig existenzfähig ist. Denn wie man es anhand des Phänomens der Schatten-IT sieht, je mehr Einschränkungen man auferlegt, umso größer ist die Versuchung für die Benutzer, diese zu umgehen.
