Passwortmanager sind bei Unternehmen und Privatleuten gleichermaßen beliebt, wenn sie die Passwortsicherheit ihrer Konten verbessern wollen. Passwort-Management-Lösungen erlauben es dank fortschrittlicher Verschlüsselung, Unternehmensdaten für Online- und Offline-Anwendungen sicher zu speichern und zu verwalten. Soweit die Theorie.
In der Realität bleiben die Anbieter von Passwort-Management-Lösungen ein äußerst attraktives Ziel für Cyberkriminelle – allein aufgrund des Wertes der gespeicherten Informationen. Trotzdem gehen die meisten Cyber-Sicherheitsexperten davon aus, dass Passwortmanager weitgehend sicher zu verwenden sind. Auch wenn die jüngsten Sicherheitsverletzungen bei beliebten Diensten wie denen von LastPass und Norton, die sich gleich mit einer Reihe von Hackerangriffen konfrontiert sahen, diese Sichtweise durchaus in Frage stellen. Bei Letzterem waren über eine Million Anwender betroffen. Das hat Bedenken hervorgerufen, wie sicher die Infrastruktur von Passwort-Management-Systemen tatsächlich ist.
Grundsätzlich hat eine Sicherheitslücke das Potenzial alle Beteiligten einem massiven Risiko auszusetzen. Dabei sollen Passwortmanager ja genau das verhindern. Möglicherweise fangen die Probleme damit erst an, mit denen wir uns dieses Jahr und in Zukunft werden auseinandersetzen müssen.
Vor- und Nachteile
Als Spezialisten für den Bereich Identity und Access Management, sollten wir der Fairness halber die positiven Aspekte von Passwortmanagern nicht unerwähnt lassen. Passwortmanager sind sehr gute Tools und erfüllen ihre eigentliche Aufgabe: Sie erstellen komplexe Passwörter oder verschlüsselte Kennwörter. Systeme wie LastPass machen es überflüssig, ein komplexes Passwort beispielsweise für Ihre Bankgeschäfte zu erstellen, das bekommen Sie automatisch. Das Passwort wird analysiert, um sicherzustellen, dass ähnliche nicht bereits benutzt werden oder im Dark Web veröffentlicht wurden (sollte das der Fall sein, lässt sich das betreffende Passwort ändern).
Das Problem bei Angriff auf LastPass war, dass im oben beschriebenen Fall, die Core-Datenbank des Unternehmens angegriffen wurde. Bei der Erstellung eines LastPass-Kontos wird ein sehr komplexes Passwort entwickelt, das dann gehasht wird. Und genau diese Core-Datenbank wurde angegriffen. Das Hashing von Passwörtern (im Gegensatz zum Speichern als reiner Text) bietet zwar ein gewisses Maß an Schutz, aber keine absolute Sicherheit. Ein ausgeklügelt vorgehender, hartnäckiger Angreifer könnte diese Daten mit einer automatisierten Angriffsmethode wie dem Quantencomputing so lange angreifen, bis er das Passwort entschlüsselt und somit die gesamte Datenbank eines LastPass-Benutzers extrahiert hat. Das bedeutet, dass in diesem Fall dann das Master-Passwort sowie alle dort verwalteten Passwörter geändert werden müssen.
Das ist offensichtlich ein Problem. Dennoch wäre es naiv anzunehmen, dass nur LastPass betroffen ist. Die Besonderheiten der Sicherheitslücke, über die Entwickler angegriffen werden, deutet zwar darauf hin, dass LastPass mehr für die Multi-Faktor-Authentifizierung hätte tun müssen. Trotzdem ist wohl jedem, der sich im Bereich Sicherheit auskennt, ein grundlegender Aspekt klar: LastPass und Norton sind wohl kaum die einzigen Passwortmanager, bei denen eine Sicherheitslücke entstanden ist. Angreifer wissen sehr wohl um den hier schlummernden Informationsschatz und nehmen Passwort-Management-Lösungen aktiv ins Visier. LastPass ist lediglich das Unternehmen, das diese Sicherheitslücke entdeckt offengelegt und beseitigt hat.
Zunehmend veraltet?
Die Diskussion, wie zweckmäßig Passwortmanager sind sollte jetzt geführt werden, und sie wird wohl auch für die nächsten Jahre nicht überflüssig werden. Betrachtet man den Stellenwert eines Passwortmanagers allerdings auf lange Sicht, sind die Perspektiven etwas weniger vielversprechend.
Diskussionen über andere, flexiblere und sicherere Methoden der Authentifizierung sind bereits ein wichtiger Bestandteil der Debatte. Passwortlose Systeme, die von Zero-Trust-Modellen angetrieben werden, sind schon jetzt Teil der Sicherheits- und Identitätslandschaft, ebenso wie die Diskussion u kontenlosen Systemen. Wenn ein Konto nur in einem bestimmten, zeitlich begrenzten Fenster existiert, damit der Benutzer nach dem JIT-Prinzip (just in time) auf eine Anwendung zugreifen kann, und der Zugang dann deaktiviert wird, kann das deaktivierte Konto der Definition nach nicht gehackt werden, weil es nicht existiert.
Auch biometrische Identity-Lösungen entwickeln sich zu ernsthaften Konkurrenten von Passwörtern. Technologien, die physische oder biologische Faktoren wie den Standort eines Geräts oder den Gang einer Person, die ihr Telefon in der Tasche bei sich trägt, auswerten können, gelten als sicherere Formen der Authentifizierung.
Grundsätzlich ist es eine natürliche Entwicklung, dass sich die Identitätssicherheit in Richtung eines passwortlosen Ansatzes bewegt. Ein solches System erfordert jedoch nicht nur gute Multifaktor-Authentifizierungsverfahren (MFA), sondern auch Lösungen wie Privilege Access Management (PAM) und Identity Governance and Administration (IGA).
Fazit: Es ist noch nicht vorbei
Alternative Formen der Authentifizierung schlagen in Sicherheitskreisen durchaus hohe Wellen. Dennoch sind Passwörter aktuell immer noch die am häufigsten verwendete Methode der Authentifizierung. Das mag sich in fünf Jahren ändern. Aber fünf Jahre sind eine lange Zeit, um unsicheren Methoden bei der Passwortverwaltung weiterhin treu zu bleiben. Es liegt an den Anbietern von Passwortmanagern, auf bewährte Methoden zu setzen, um Sicherheitslücken zu vermeiden. Außerdem liegt es an uns allen, Best Practices zu nutzen, um die Folgen solcher Sicherheitslücken in Grenzen zu halten, sollte es dennoch dazu kommen.
Autor: Dan Conrad, IAM Strategist bei One Identity
www.oneidentity.com