Die digitale Transformation ist ohne Authentifizierung und vertrauenswürdige digitale Identitäten nicht möglich. Trotz ihrer Unzulänglichkeiten sind Passwörter weit verbreitet und in vielen Umgebungen immer noch das Hauptmittel zur Authentifizierung. Fast jeder Teil unseres digitalen Lebens und insbesondere unseres Arbeitslebens ist auf Passwörter angewiesen.

Wie die Geschichte zeigt, sind Passwörter in der Praxis recht schwer zu schützen; es werden schwache Passwörter gewählt, Passwörter werden für viele Anwendungen wiederverwendet und Organisationen haben Schwierigkeiten, sie sicher zu verarbeiten und zu speichern. Bei den meisten Datenpannen spielen gestohlene oder schwache Passwörter eine zentrale Rolle. Es wird sogar geschätzt, dass auf einigen grossen Online-Plattformen die Mehrheit der Anmeldeversuche durch Missbrauch gestohlener Anmeldedaten verursacht wird.

Seit einiger Zeit ist passwortlose Authentifizierung ein Schlagwort. Passwortlose Authentifizierung beseitigt offensichtlich das Problem der Verwendung von schwachen Passwörtern und kann die Benutzerfreundlichkeit erhöhen, da die Notwendigkeit entfällt, sich Passwörter zu merken und einzutippen. Und zumindest in der Theorie, wird das Problem der Speicherung von Passwörtern oder ihrer Repräsentationen (Hashes) vermieden, wodurch die Wahrscheinlichkeit von Datenlecks mit Anmeldeinformationen verringert wird. Das Abschaffen von Passwörtern für die Authentifizierung ist ein seit Langem bestehendes Ziel und es gibt eine wachsende Anzahl von Alternativen. Obwohl die vollständige Abschaffung von Passwörtern immer noch illusorisch ist, kann die Abhängigkeit von Passwörtern reduziert werden.

Authentifizierung

Authentifizierung ist ein Vorgang, bei dem eine Entität, beispielsweise ein Benutzer oder ein System, ein identifizierendes Element wie einen Benutzernamen oder ein Zertifikat vorlegt und dann beweist, dass dieses identifizierende Element zu ihr gehört. Bei der Verwendung von Passwörtern wird dieser Nachweis durch das Vorweisen eines Passworts erbracht, das nur dem Vorweisenden und dem Empfänger bekannt ist.

Authentifizierungsfaktoren

Eine klassische Kategorisierung von Authentifizierungsfaktoren ist die Unterscheidung zwischen etwas, das man weiss (Benutzernamen, Passwörter, PINs), etwas, das man hat (ein Gerät wie ein Hardware-Token) und etwas, das man ist (eine individuelle Eigenschaft, zum Beispiel ein Fingerabdruck oder eine Stimme).

Traditionelle Authentifizierungslösungen, die auf Benutzernamen und Passwörtern basieren, werden als Einfaktor-Authentifizierung bezeichnet, wobei das Passwort der eine Faktor ist. Heutzutage werden sie oft als veraltet und unbequem angesehen und gelegentlich als “high-friction” in Bezug auf die Endbenutzererfahrung bezeichnet.

Multifaktor-Authentifizierung

Die Authentifizierung mit Benutzernamen und Kennwörtern allein bietet keinen ausreichenden Schutz mehr. Ein naheliegender Ansatz zur Verbesserung der Authentifizierungssicherheit ist die Verwendung eines oder mehrerer weiterer Faktoren im Authentifizierungsprozess, zusätzlich zu Benutzernamen und Kennwörtern; daher der Begriff Multifaktor-Authentifizierung (MFA). Üblicherweise wird ein zusätzlicher Faktor wie ein Einmalpasswort (One Time Password, OTP) oder eine Push-Benachrichtigung verwendet, was als Zweifaktor-Authentifizierung (2FA) bezeichnet wird. Streng genommen verlangt die Multi-Faktor-Authentifizierung, dass die beiden Faktoren einer unterschiedlichen Kategorie angehören. Die Verwendung von zwei verschiedenen Faktoren desselben Typs wird daher zur Unterscheidung manchmal als Zwei-Schritt-Authentifizierung bezeichnet.

Heute ist die Zweifaktor-Authentifizierung mit einem Passwort und einem zusätzlichen Faktor der akzeptierte De-Facto-Authentifizierungsstandard zur Implementierung sogenannter starker Authentifizierung. Passwörter sind in solchen Verfahren jedoch immer noch Teil des Prozesses, aber es ist schwieriger, sie zu missbrauchen. Die Verwendung der Zweifaktor-Authentifizierung mit Passwörtern schützt nicht vor Passwort-Diebstahl, aber sie schützt vor dem Zugriff auf ein System ohne Verwendung des zweiten Faktors, wodurch Passwort-Lecks potenziell weniger schädlich sind. Übliche Massnahmen zur Passwortsicherheit müssen auch in solchen MFA-Szenarien angewendet werden, die Passwörter verwenden.

Zunehmend werden zusätzliche Faktoren wie Benutzerverhalten, Gerätetyp oder Geolocation hinzugenommen, um festzulegen, welche Authentifizierungsfaktoren für einen bestimmten Benutzer in einer bestimmten Situation anzuwenden sind. Die Stärke und die Anzahl der Faktoren, die für die Authentifizierung verwendet werden, verdeutlichen eine wichtige Eigenschaft: Authentifizierung ist nicht absolut, sondern weist einen Grad an Sicherheit oder Güte auf. Mit anderen Worten, sie muss für den beabsichtigten Authentifizierungszweck hinreichend gut, aber dennoch praktikabel sein.

Obwohl die Verwendung mehrerer Authentifizierungsfaktoren die Sicherheit erhöht, ist die Akzeptanz der traditionellen MFA immer noch nicht sehr weit verbreitet, auch wenn ihre Nutzung in den letzten Jahren deutlich zugenommen hat.

Passwortlose Authentifizierung

Als passwortlose Authentifizierung wird eine Gruppe von Methoden zur Identitätsüberprüfung bezeichnet, die nicht auf Passwörtern beruhen. In einem passwortlosen Authentifizierungsverfahren wird der Zugriff ohne Angabe eines Passworts gewährt und die behauptete Identität durch andere Formen von Beweisen nachgewiesen. Die passwortlose Authentifizierung wird oft als Teil von Multifaktor-Authentifizierungsmechanismen verwendet.

Technologien zur passwortlosen Authentifizierung fallen typischerweise in eine von drei Kategorien: Biometrie, womit Benutzer anhand eines physischen Merkmals wie Fingerabdruck, Gesichtsscan, Stimmabdruck oder eindeutigem Verhalten identifiziert werden, Token einschliesslich Hardware- und Softwareschlüssel und Geräteauthentifizierung, die den Benutzerzugriff von autorisierten Geräten aus ermöglicht.

Biometrische Verfahren wie Fingerabdrücke oder Gesichtserkennung werden häufig verwendet und haben sich im Bereich der mobilen Apps durchgesetzt. Bei diesem Ansatz werden zwei Authentifizierungsfaktoren verwendet: Etwas, das man ist (Biometrie) und etwas, das man hat, nämlich der PC oder das mobile Gerät, mit dem die Anmeldung erfolgt. Diese Form der passwortlosen Multifaktor-Authentifizierung kann hohe Sicherheit bieten und ermöglicht ein komfortables Benutzererlebnis, da der Benutzer kein zweites Gerät zur Hand nehmen oder einen Code per SMS oder Email erhalten muss.

Hersteller von biometrischen Authentifizierungslösungen müssen entscheiden, wo die biometrischen Daten, beziehungsweise das Template, das aus der biometrischen Eigenschaft berechnet wird, gespeichert und abgeglichen werden sollen. Durch die Verwendung asymmetrischer Kryptografie kann sichergestellt werden, dass biometrische Templates dezentral auf den mobilen Endgeräten der Benutzer verwendet werden, wodurch vermieden wird, biometrische Daten in Form von geteilten Geheimnissen (Shared Secrets) zu speichern und auszutauschen. Die Authentifizierung gegenüber einem Dienst erfolgt durch den Abgleich der biometrischen Eigenschaften mit dem lokal auf dem Endbenutzergerät gespeicherten Template. Wenn der Abgleich erfolgreich ist, kommuniziert das Gerät mit dem Dienst unter Verwendung von Token, wodurch die Übertragung von biometrischen Informationen vermieden wird. Auch hier müssen die privaten Schlüssel gut geschützt werden, idealerweise durch eine hardwarebasierte Lösung wie ein Trusted Platform Module (TPM), das viele moderne Geräte bereits eingebaut haben, oder durch einen Hardwareschlüssel.

Einer der bekanntesten Standards, der solche Mechanismen verwendet, ist der FIDO2-Standard. FIDO2 steht für Fast IDentity Online, ein übergreifender Begriff für die Web-Authentifizierungs-Spezifikation (WebAuthn) des World Wide Web Consortiums (W3C) und das Client-to-Authenticator Protocol (CTAP) der FIDO Alliance. FIDO2 ermöglicht die Verwendung eines Authentifizierungsverfahrens, bei dem die Anmeldedaten das Gerät des Benutzers nicht verlassen und nicht zentral gespeichert werden, wodurch die Risiken von Phishing, Passwortdiebstahl und Replay-Angriffen eliminiert werden.

Einige Lösungen, die als passwortlose Authentifizierungsmethoden angepriesen werden, sehen so aus, als würden sie Passwörter eliminieren, verbergen diese in Wirklichkeit aber nur hinter einem anderen Faktor. Beispielsweise verwenden mobile Anwendungen, die die Möglichkeit bieten, sich per Fingerabdruck anzumelden, manchmal nur den Fingerabdruck, um ein Passwort zu verwenden, das auf dem Gerät gespeichert ist. Bei der Anmeldung wird dieses lokal gespeicherte Kennwort dann an die App oder den Dienst übermittelt, wobei effektiv immer noch die gleiche, auf Benutzername und Kennwort basierende Einfaktor-Authentifizierung wie zuvor verwendet wird.

Ausblick

Es ist unwahrscheinlich, dass Passwörter in absehbarer Zeit verschwinden werden. Obwohl sie viele Schwachstellen haben, weiss jeder, wie man sie benutzt, was ein starker Vorteil gegenüber vielen technisch überlegenen Alternativen ist. Glücklicherweise geniesst die passwortlose Authentifizierung, wie Touch ID oder Face ID auf Smartphones, eine zunehmende Verbreitung und wird auch immer mehr im Unternehmenskontext für Endbenutzer und Mitarbeiter eingesetzt, was auch die steigende Nachfrage danach zeigt.

Drei Punkte, die für eine baldige Abkehr von Benutzernamen und Passwörtern sprechen:

• Es besteht eine reale Chance, die Benutzererfahrung erheblich zu verbessern, ein Schlüsselfaktor für die Einführung jeder neuen Authentifizierungsmethode.
• Die passwortlose Authentifizierung kann, wenn sie richtig implementiert ist, viel sicherer sein. Sie kann eine Reihe von Angriffsvektoren wie Credential Stuffing und Phishing-Angriffe wirkungslos machen.
• Es können potenziell kürzere Anmeldezeiten erreicht werden.

Natürlich gibt es keine Alternative ohne Risiken. Es wurden recht ausgeklügelte Angriffsmethoden entwickelt, um die Mehrfaktor-Authentifizierung auf Basis von herkömmlichen Methoden wie SMS-Codes oder Einmal-Passwörtern zu umgehen. Ausserdem kann ein biometrischer Identifikator, wenn er einmal kompromittiert wurde, nicht einfach ersetzt werden. Es ist praktisch unmöglich, den Fingerabdruck, das Gesicht oder die Netzhaut im Auge zu wechseln. Wenn biometrische Informationen offengelegt werden, sind die durch diese Authentifizierungsmethoden geschützten Ressourcen gefährdet.

Trotz der möglichen Nachteile und Schwächen der Multifaktor-Authentifizierung sind biometrische und passwortlose Mechanismen, wenn sie richtig implementiert sind, bessere Alternativen zur ausschliesslichen Verwendung von Benutzernamen und Passwörtern, die, wo immer möglich, vermieden oder ersetzt werden sollten. Insbesondere bei der Authentifizierung über verschiedene Vertrauensstufen hinweg, wie beispielsweise bei der Anmeldung an Diensten im Internet, beim Zugriff auf Unternehmensressourcen aus nicht vertrauenswürdigen Netzwerken, usw.

Leider bieten viele Anwendungen und Dienste immer noch nicht die Möglichkeit, modernere Authentifizierungsmethoden zu verwenden, obwohl sich die Situation verbessert und ältere Anwendungen sind oft passwortbasiert und können nicht angepasst werden. In Bereichen, in denen noch Benutzernamen und Passwörter verwendet werden müssen, ist es ratsam, dafür zu sorgen, dass diese Anmeldeinformationen nur in einem kleinen Umfang und idealerweise nur für diesen bestimmten Zweck gültig sind.

Keine einzige Form der Authentifizierung wird in allen Fällen optimal sicher, benutzerfreundlich und kosteneffizient sein, was dazu führt, dass meistens mehrere Verfahren eingesetzt werden. Der Übergang von der traditionellen passwortbasierten Authentifizierung zu moderneren Methoden ist in der Regel ein längerer Weg und kein einzelnes Projekt, hat aber das Potenzial, die Sicherheit und Benutzerfreundlichkeit deutlich zu verbessern.

Über den Autor

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)

Links

• https://2fa.directory/
• https://blog.1password.com/totp-for-1password-users/
• https://fidoalliance.org/fido2/
• https://fidoalliance.org/fido2/fido2-web-authentication-webauthn/
• https://fidoalliance.org/specifications/download/
• https://www.digitalshadows.com/blog-and-research/automating-2fa-phishing-and-post-phishing-looting-with-muraena-and-necrobrowser-2/
• https://www.openwall.com/presentations/PHDays2012-Password-Security/
• https://www.wired.com/story/what-is-credential-stuffing/