{"id":179647,"date":"2020-04-27T07:15:25","date_gmt":"2020-04-27T06:15:25","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=179647"},"modified":"2021-04-15T12:09:34","modified_gmt":"2021-04-15T11:09:34","slug":"warum-braucht-man-immer-noch-ein-kennwort","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/de\/news\/warum-braucht-man-immer-noch-ein-kennwort\/","title":{"rendered":"Warum braucht man (immer noch) ein Kennwort?"},"content":{"rendered":"

\"Was<\/p>\n

Kennw\u00f6rter bereiten uns tagt\u00e4glich Kopfzerbrechen und stellen aufgrund der Tatsache, dass sie durch den Faktor Mensch erstellt werden, f\u00fcr Unternehmen eine bedeutende Verwundbarkeitsquelle dar. Regelm\u00e4\u00dfig wird also das nahe Ende der Kennw\u00f6rter angek\u00fcndigt. Doch sind die vorgeschlagenen Alternativen wirklich verl\u00e4sslich? Kann man wirklich ohne Kennw\u00f6rter auskommen?<\/strong><\/p>\n

 <\/p>\n

Der Identit\u00e4tsbetrug mit Kennw\u00f6rtern bleibt weiterhin der Hauptvektor bei Hacker-Angriffen. Die allj\u00e4hrlich vom amerikanischen Telekommunikationsbetreiber Verizon<\/a> durchgef\u00fchrte Umfrage hat vor kurzem aufgezeigt, dass 29 % der unerw\u00fcnschten Angriffe auf gestohlenen Kennw\u00f6rtern beruhen und dass in 80 % der F\u00e4lle schwache Kennw\u00f6rter der Grund daf\u00fcr waren. Jedes Jahr gibt es bl\u00fchende Bewertungen der \u201eschlechtesten Kennw\u00f6rter\u201c, die immer wieder ein L\u00e4cheln hervorrufen oder f\u00fcr Verzweiflung in den IT-Abteilungen<\/a> sorgen.<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Vom gro\u00dfen Klassiker \u201e123456\u201c bis zum auf Ged\u00e4chtnisst\u00fctzen beruhenden \u201efalsch\u201c \u2013 die Frage nach dem Kennwort ist heikel, weil die Notwendigkeit der Sicherheit h\u00e4ufig an der Realit\u00e4t ihrer t\u00e4glichen Benutzung scheitert. Die doppelte Notwendigkeit, sich an eine mehr oder weniger komplexe Kombination aus Zahlen und Gro\u00df- und Kleinbuchstaben zu erinnern und diese Kombination in regelm\u00e4\u00dfigen Abst\u00e4nden zu erneuern, bereitet dem Benutzer h\u00e4ufig Kopfzerbrechen. Und die Versuchung, sein Kennwort auf einem Post-it zu notieren oder bei allen Anwendungen ein- und dasselbe Kennwort zu verwenden, ist gro\u00df (dies betrifft einer von Harris Interactive f\u00fcr CaptainCyber durchgef\u00fchrten Untersuchung zufolge 78 % der Mitarbeiter). Dem allgemeinen Reifemangel der einzelnen Personen und Mitarbeiter ist somit noch der Bedarf nach \u201epraktischer Benutzbarkeit\u201c hinzuzuf\u00fcgen.<\/p>\n

Vor diesem Hintergrund werden immer wieder das \u201eEnde der Kennw\u00f6rter\u201c und die Entstehung einer \u201epasswordless<\/em>\u201c Benutzung verk\u00fcndet, w\u00e4hrend auf der anderen Seite Biometrie als vielversprechende L\u00f6sung in h\u00f6chsten T\u00f6nen gelobt wird. Auch die doppelte Authentifizierung wird immer wieder als eine effiziente Erg\u00e4nzung zu Kennw\u00f6rtern angef\u00fchrt. Was ist von diesen unterschiedlichen Alternativen zu halten? Wird man in den n\u00e4chsten Wochen\/Monaten\/Jahren immer noch ein Kennwort ben\u00f6tigen<\/strong>? Braucht man angesichts der Tatsache, dass Sicherheit und Einschr\u00e4nkung Hand in Hand gehen, vielleicht weniger Passw\u00f6rter, doch kr\u00e4ftigere?<\/p>\n

 <\/p>\n

Biometrie: praktisch, doch nicht unfehlbar<\/h2>\n

Biometrische Identifizierungen wie beispielsweise der Scan des Fingerabdrucks, der Gesichtsgeometrie oder die Iris-Erkennung) wurden schnell als Alternativen zu herk\u00f6mmlichen Kennw\u00f6rtern<\/a> angef\u00fchrt. Das Smartphone l\u00e4sst sich tats\u00e4chlich schneller und m\u00fcheloser mit dem Fingerabdruck als mit einem aus mehreren Zahlen bestehenden Code entsperren. Au\u00dferdem stimmt es, dass die einzelnen physischen Eigenschaften, n\u00e4mlich diejenigen, die zu den Benutzern geh\u00f6ren und einmalig sind, interessante M\u00f6glichkeiten zur Erstellung von Signaturen bieten. Nach der Retina-Authentifizierung, die in Filmen sehr beliebt ist, wird auch der Rest des K\u00f6rpers zur Authentifizierung herangezogen. Amazon hat vor kurzem ein Patent nur Analyse der Handvenen- und Handlinienstruktur zu Authentifizierungszwecken angemeldet. Der japanische Riesenkonzern Hitachi seinerseits untersucht einen Prozess, der die Analyse der Blutgef\u00e4\u00dfe, des Venensystems, das einmalige Strukturen aufweist, erm\u00f6glicht.<\/p>\n

F\u00fcr diese Unternehmen erweisen sich die anderen biometrischen Identifizierungen als verl\u00e4sslicher als Fingerabdr\u00fccke oder die Gesichtserkennung, die ebenfalls Grenzen hat. Einem Forscherteam der Universit\u00e4t New York ist es vor kurzem gelungen, eine Technik zu entwickeln, die die Erzeugung \u201euniverseller\u201c Fingerabdr\u00fccke und damit das Austricksen der auf 70 % der Smartphones enthaltenen Sensoren erm\u00f6glicht. Wenn Fingerabdr\u00fccke nicht gef\u00e4lscht werden k\u00f6nnen, so k\u00f6nnen sie doch gestohlen (wie es 2015 bei einem Cyber-Angriff auf die US-Notenbank, die FED, der Fall war) und auf Marktpl\u00e4tzen, die sich auf den Verkauf biometrischer Daten spezialisiert haben, angeboten werden. 2019 hatten Fingerabdr\u00fccke von mehr als 60.000 Benutzern dazu gedient, GenesisStore, einen Marktplatz des Darknet, zu versorgen. Bez\u00fcglich der Gesichtserkennung hat der Journalist Thomas Brewster von Forbes bewiesen, dass es m\u00f6glich war, Smartphones mit einem 3D-Ausdruck des Gesichts<\/a> auszutricksen. Nur schwerlich l\u00e4sst sich dabei eine Assoziierung mit der Deepfake-Technologie vermeiden, mit der sehr wirklichkeitsgetreue Videos entwickelt und damit m\u00f6glicherweise Sensoren ausgetrickst werden k\u00f6nnen. Es ist somit einfach zu verstehen, dass die Experimente in Bezug auf Biometrie florieren, dass aber die Risiken des Identit\u00e4tsbetrugs weiterhin bestehen bleiben.<\/p>\n

Die Risiken k\u00f6nnten zumindest eine Kombination aus zwei biometrischen Faktoren wie beispielsweise einem Fingerabdruck und dem Venensystem oder auch einem Fingerabdruck und einer Gesichtserkennung beschr\u00e4nkt werden. Doch diese L\u00f6sung wird durch die Kostenfrage verhindert; Sensoren sind teuer und eine Verallgemeinerung von mit doppelten Biometriesensor ausgestatteten Ger\u00e4ten, ohne dass deren Preise in astronomische H\u00f6he schnellen, l\u00e4sst sich nur schwer vorstellen. Schlussfolgerung: Biometrische Identifizierungsverfahren alleine sind nicht ausreichend verl\u00e4sslich.<\/p>\n

 <\/p>\n

FIDO2 : Vorteile und Grenzen der passwordless<\/em> Benutzung<\/h2>\n

Im Februar 2020 entfachte eine Mitteilung von Microsoft<\/a> \u00fcber die Einbindung der passwordless<\/em> Benutzung in seiner AzureAD-Umgebung die Debatte \u00fcber das angek\u00fcndigte Ende der Kennw\u00f6rter. Die Technologie FIDO2 erm\u00f6glicht tats\u00e4chlich eine \u00dcberpr\u00fcfung der Benutzeridentit\u00e4t. Sie st\u00fctzt sich dabei auf einen starken Authentifizierungsschl\u00fcssel, der auf einem materiellen Datentr\u00e4ger implantiert wurde. Der FIDO-Token kann somit als ein weiterer Authentifizierungsfaktor verwendet werden. Der Vorteil der FIDO2-Technologie liegt in ihren geringen Kosten, wodurch sie sowohl f\u00fcr Privatbenutzer als auch f\u00fcr Unternehmen zug\u00e4nglich wird.<\/p>\n

 <\/p>\n

Doppelte Authentifizierung: Versprechen und Grenzen<\/h2>\n

Immer noch Microsoft zufolge erm\u00f6glicht es die doppelte Authentifizierung sogar, 99 % der Angriffsversuche aufzuhalten<\/a>. Dennoch bleibt der FIDO-Stick vor allem ein materieller USB-Tr\u00e4ger, was nicht alle Einschr\u00e4nkungen aufhebt. Zwar passwordless<\/em>, doch noch nicht painless<\/em><\/strong>. Was macht man beispielsweise bei Diebstahl, Verlust oder wenn man den USB-Stick ganz einfach vergisst? Das Smartphone dient h\u00e4ufig als Back-up, um einen \u00fcber SMS oder E-Mail \u00fcbertragenen kurzen \u201eToken\u201c zu erhalten. Vor kurzem durchgef\u00fchrte Umfragen haben n\u00e4mlich aufgezeigt, dass Hacker diesen zweiten Authentifizierungsfaktor umgehen k\u00f6nnen, wie es die Malware Cerberus gezeigt hat.<\/p>\n

Diese L\u00f6sung ist somit nicht unfehlbar, vor allem dann nicht, wenn man den FIDO-Stick nicht immer bei sich tr\u00e4gt. Sie erh\u00f6ht auf alle F\u00e4lle jedoch das Sicherheitsniveau, vor allem bei kritischen Netzwerken oder Infrastrukturen.<\/p>\n

 <\/p>\n

Kennw\u00f6rter versus Kennsatz<\/h2>\n

Die neuesten Entwicklungen tragen offensichtlich zum Komfort der Benutzer bei, doch sie untermauern keinesfalls und insbesondere nicht in bei der doppelten Authentifizierung die Aufhebung des Kennworts. Was ist dann aber genau ein starkes Kennwort? Die Standards, die sich auf ein gutes Komplexit\u00e4tsniveau beziehen, beinhalten im Allgemeinen eine Kombination aus Gro\u00df- und Kleinbuchstaben, Zahlen und Sonderzeichen und deren regelm\u00e4\u00dfigen Wechsel.<\/p>\n

Ein neuestes Dokument des NIST<\/a> (Nationales Standard- und Technologie-Institut in den Vereinigten Staaten) hat diese Gewissheiten jedoch verunsichert, was durch ein weiteres, vom deutschen Bundesamt f\u00fcr Sicherheit (BSI) in der Informationstechnik unterzeichnetes Dokument<\/a> fortgef\u00fchrt wurde. Vom NIST-Institut befragten Forschern zufolge ist die gro\u00dfe Komplexit\u00e4t bestimmter Kennw\u00f6rter im allt\u00e4glichen Gebrauch, wobei man eine Zeichenkombination mehrmals t\u00e4glich eingeben muss, nicht existenzf\u00e4hig. Sie empfehlen folglich die Verwendung eines Kennsatzes, an den man sich einfacher erinnern kann und der doch gleichzeitig komplex genug ist, um eventuelle Hacker abwehren zu k\u00f6nnen, weil es zahlreiche Kombinationsm\u00f6glichkeiten f\u00fcr die einzelnen W\u00f6rter gibt. Es stellt sich an dieser Stelle jedoch die Zusatzfrage, wie weit man in Bezug auf die Anzahl der W\u00f6rter gehen sollte? Das Dokument \u00e4u\u00dfert sich diesbez\u00fcglich nicht. Dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik zufolge hat die Agentur ihre Empfehlungen in Bezug auf die regelm\u00e4\u00dfige \u00c4nderung der Wortkombinationen korrigiert. \u201eSie k\u00f6nnen dasselbe Kennwort bedenkenlos mehrere Jahre lang benutzen<\/em>\u201c, betont sogar einer der deutschen Forscher. Die Position der deutschen Agentur ist einfach: Die regelm\u00e4\u00dfigen Kennwort\u00e4nderungen sind eher sch\u00e4dlich als n\u00fctzlich, weil die Benutzer dadurch schwache und gem\u00e4\u00df einem bestimmten Schema gebildete Kennw\u00f6rter verwenden w\u00fcrden \u2013 die ab dem Punkt f\u00fcr einen Cyber-Angreifer dann recht einfach vorstellbar sind.<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Weniger, doch besser<\/h2>\n

Auch wenn es unm\u00f6glich ist, eine biometrische Authentifizierung oder einen FIDO2-Stick verwenden zu k\u00f6nnen, so ist es doch immer noch m\u00f6glich, eine einfache Regel einzuhalten: weniger, doch daf\u00fcr sicherere Kennw\u00f6rter auszuw\u00e4hlen. Unter Bezugnahme auf die Empfehlungen des deutschen Bundesamts f\u00fcr Sicherheit in der Informationstechnik ist es beispielsweise m\u00f6glich, f\u00fcnf komplexe Kennw\u00f6rter auszuw\u00e4hlen und diese Website-Gruppen zuzuweisen, die bereits im Vorfeld je nach ihrer Wichtigkeit klassifiziert wurden. Eine Technik, die den Vorteil bietet, dass sie f\u00fcr alle Benutzer zug\u00e4nglich ist.<\/p>\n

Es ist damit einfach zu verstehen, dass wir Kennw\u00f6rter weiterhin \u2013 auch bei einer starken Authentifizierung - ben\u00f6tigen werden. Es gibt dabei jedoch zahlreiche Kombinationsm\u00f6glichkeiten f\u00fcr eine optimale Sicherheit. Eine Empfehlung k\u00f6nnte darin bestehen, sich bei der Sicherheit systematisch auf folgende Aspekte zu st\u00fctzen:<\/p>\n