Passwörter sind sicher. Das behauptet inzwischen kaum jemand mehr. Aber es gibt ihn dennoch am 1. Februar wieder: den ominösen “Ändere dein Passwort”-Tag. Völlig überflüssig, denn die Zeit des Passworts ist ohnehin bald vorbei. Ein Kommentar von Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR.
Passwörter sind nicht sicher, egal wie oft man sie ändert. Wer anderes behauptet, der lügt. Das Passwort ist die Schwachstelle schlechthin. Schließlich sind fast alle Sicherheitsvorfälle auf gestohlene, ausgespähte oder zu schwache Passwörter zurückzuführen.
Für die Sicherheit wird das Passwort deshalb schon bald ausgedient haben. Der Consumer-Bereich gibt hier die Richtung vor. Immer stärker werden alternative Authentifizierungsmethoden genutzt, vor allem vollständig passwortlose Verfahren für die Anmeldung am PC oder beim Zugriff auf Webapplikationen. Warum? Sie sind einfacher, komfortabler und vor allem sicherer.
Auch Unternehmen werden diese Entwicklung nicht viel länger ignorieren können. Der User erwartet schließlich auch im Geschäftsalltag die gewohnte Usability aus seinem privaten Umfeld. Unternehmen sollten rechtzeitig darauf reagieren und eine passwortlose Richtung einschlagen.
Doch wie ist eine echte Passwortlosigkeit realisierbar, die eine hohe Sicherheit bietet? Ganz einfach: mit einem Smartphone als Authentifizierungskomponente und dem Public-Key-Verschlüsselungsverfahren, das Passwörter durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt. Dabei werden die privaten Schlüssel auf dem mobilen Gerät des jeweiligen Benutzers sicher gespeichert und die öffentlichen Schlüssel auf einem passwortlosen Authentifizierungsserver abgelegt. Für die Mitarbeiter startet so die passwortlose, starke Authentifizierung in Sekunden gleich beim PC-Login. Damit ist auch ein Schutz vor potenziellen Angriffen zum frühestmöglichen Zeitpunkt gewährleistet – sicher für das Unternehmen und einfach und komfortabel für den Nutzer.
Damit stellt sich auch die Frage: Wer braucht schon einen “Ändere dein Passwort”-Tag? Die Antwort ist klar: Niemand! Schließlich ist die Zukunft sowieso völlig passwortlos.