Microsoft verzichtet künftig auf Passwörter – so lautet eine aktuelle Schlagzeile. Schön und gut, aber das wird für die meisten Anwender wohl ein reines Marketingversprechen bleiben, meint Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR.
Zwar „ersetzen“ bei Windows Hello eine PIN oder ein Fingerabdruck die ständige Passworteingabe, allerdings bleibt die Anmeldung mit dem Kennwort über die Hintertür möglich, wenn in den Unternehmen nicht von zentraler Stelle auf eine tatsächlich passwortlose, beispielsweise zertifikatsbasierte Anmeldung umgestellt wird.
Mit einer PIN oder biometrischen Geste können sich Anwender sehr komfortabel auf ihren Geräten anmelden. Doch das Anmeldepasswort existiert dort weiterhin, sodass sich im Hinblick auf die Angreifbarkeit eines PCs zur Freude von Cyberkriminellen wenig ändert. Ist der Desktop dann entsperrt, geht es mit der vermeintlich passwortlosen Authentifizierung direkt weiter: Sie erfolgt zum Beispiel über eine Authenticator-App. Der Nutzer kann damit zwar auf Windows, Outlook oder OneDrive ohne explizite Passworteingabe zugreifen, aber fast alle heute verfügbaren Authenticator-Apps basieren ebenfalls auf sogenannten Shared Secrets. Das heißt: Im Hintergrund verbirgt sich eine gar nicht so passwortlose Anmeldung, die auf gespeicherte Credentials (Login-Daten) in einer zentralen Datenbank zurückgreift.
Und genau darin liegt das Problem: Zentrale Datenbanken stellen ein erhebliches Sicherheitsrisiko dar, da sie Hackern einen Zugriff auf zahlreiche Anmeldeinformationen bieten – und nicht nur auf die Zugangsdaten einzelner Personen oder Geräte.
Viele Sicherheitsanbieter werben deshalb derzeit mit der Passwortlosigkeit – völlig klar, da Passwörter weder komfortabel noch sicher sind. Zugangsdaten stehen nach wie vor ganz oben auf der Angriffsliste von Hackern. Doch viele dieser vermeintlich passwortlosen Lösungen sind es eben nur auf den ersten Blick. Nutzer wiegen sich damit in einer falschen Sicherheit.
Ist vollständige Passwortlosigkeit also ein Ding der Unmöglichkeit? Keineswegs, es existieren bereits Lösungen, die das Passwort endgültig überflüssig machen. Sie ersetzen Kennwörter durch sichere kryptografische, asymmetrische Schlüsselpaare. So ermöglicht etwa Windows Hello for Business – wie der Name schon sagt für Unternehmen, die hierfür eine zentrale Konfiguration durchführen können – eine sichere schlüssel- oder zertifikatbasierte Authentifizierung. Ein weiteres Beispiel ist die hochsichere Authentifizierung an PC-Systemen auf Basis von Smartcards und Public-Key-Kryptografie. Dieses Verfahren wird allerdings kaum genutzt. Es erfordert spezielle Lesegeräte und verursacht einen hohen Administrationsaufwand.
Generell an Bedeutung gewinnen derzeit vor allem FIDO-basierte Authentifizierungslösungen. FIDO steht für Fast Identity Online, einen Standard, der von einer nichtkommerziellen Allianz bereits 2012 ins Leben gerufen wurde. Er bietet eine komfortable und sichere Multi-Faktor-Authentifizierung (MFA). Dabei werden Passwörter, PINs oder SMS-Codes durch eine Public-Key-Kryptografie ersetzt. Die zur Authentifizierung erforderlichen Zertifikate werden für jeden Anwendungsfall individuell generiert. Dabei verbleiben die privaten Schlüssel jederzeit beim Benutzer, sicher gespeichert auf der Hardwareebene eines Smartphones oder USB-Security-Keys. Die öffentlichen Schlüssel werden in einer solchen Lösungsumgebung auf einem passwortlosen Authentifizierungsserver abgelegt.
Wer nicht voreilig dem Marketingversprechen der passwortlosen Authentifizierungslösung vertrauen möchte, sollte also immer genau prüfen, ob nur eine anwenderorientierte oder eine echte Passwortlosigkeit besteht.
www.hypr.com