Passwort Sicherheit – Warum Passwörter einfach keine gute Idee sind

Sie haben es vermutlich auch schon gehört: Es ist an der Zeit, Passwörter endgültig loszuwerden.

Inmitten der Schlagzeilen über spektakuläre Verletzungen des Datenschutzes in Großunternehmen und als Folge von Cyberanriffen, die Prominente ins Visier nahmen and darüber hinaus auch sogar  technische Autoren, haben Experten für den Datenschutz das Ende der Verwendung von Passwörtern gefordert.

Die übliche Verwendung von Kombinationen aus Benutzernamen und Passwort ist das Übel schlechthin und ermöglicht Hackern, Nutzerkonten zu kompromittieren und sie dann zu benutzen, um den Großteil solcher Cyberangriffe zu starten. Als Folge dieser Vorkommnisse haben viele Experten und technische Autoren dazu aufgerufen, Nutzern eine Zwei-Faktor-Authentifizierung zum Schutz ihrer Konten auf Webseiten und anderen Diensten anzubieten. Doch selbst dieser Ansatz ist überholt, wenn man die die Schwachstellen der meisten Zwei-Faktor-Authentifizierungstechnologien bedenkt.

Laut der Computersicherheitsfirma Trend Micro, die einen Angriff untersucht hatte, der eine Zwei-Faktor-Authentifizierung für das Online-Banking umging, sind „nun selbst fortschrittliche Sicherheitssysteme verwundbar“.

 

Schwachstellen von Passwörtern und Zwei-Faktor-Authentifizierungen

Die meisten Zwei-Faktor-Authentifizierungslösungen erfordern weiterhin Passwörter als ersten Authentifizierungsfaktor. Genau das aber verhindert, dass man das grundlegende Problem, nämlich  die Angreifbarkeit von Passwörtern angeht.

Wenn der Anmeldevorgang für Zwei-Faktor-Authentifizierungen weiterhin Passwörter verwendet, sind keine Konten oder Daten, die mit dieser Zwei-Faktor-Authentifizierung geschützt werden sollen, wirklich sicher. Hacker können immer noch Strategien wie Man-in-the-Middle-Angriffe oder dem Klonen von SIM-Karten anwenden, um Zwei-Faktor-Authentifizierungen zu umgehen und die Sicherheit der Daten zu gefährden.

Auch erfordern es die meisten Zwei-Faktor-Authentifizierungslösungen, dass Passwort und Einmalcode für die Authentifizierung über dieselbe Anmeldeverbindung und über eine Desktop- oder  eine mobile Tastatur eingegeben wird. Das heißt, während der Einmalcode zwar auf einem physisch separaten Gerät wie einem Smartphone empfangen wird, so muss der Code dennoch über die Anmeldemaske eingegeben werden, und damit qualifiziert sich der Sicherheitsstand hier nicht wirklich für eine Zwei-Faktor-Authentifizierung. Es werden keine verschiedenen Authentifizierungsfaktoren genutzt, die tatsächlich getrennt sind wie ein Passwort (Faktor Wissen), das über die Anmeldemaske eingegeben wird, und ein Softwareschlüssel, der auf einem Mobilgerät (physischer Faktor) gespeichert und verschlüsselt  und getrennt über eine mobile App verifiziert wird.

Stattdessen sind Passwort und Einmalcode nur zwei Wissensfaktoren, die beide auf dieselbe Art und Weise während des Anmeldevorgangs eingegeben werden.  Somit entspricht die Sicherheit lediglich einer zweistufigen Verifizierung, bei der für jeden Schritt derselbe Authentifizierungsfaktortyp genutzt wird. Dies ist also keine Zwei-Faktor-Authentifizierung, die zwei unterschiedliche Authentifizierungsfaktortypen erfordert. Stattdessen stellt sich bei dieser Art der zweistufigen Verifizierung das Problem, dass ein Angreifer diese auf Wissen basierenden Zugangsdaten ganz leicht abfangen kann, indem er z.B die Anmeldeoberfläche einfach fälscht oder die Eingaben des Nutzers auf der Tastatur mit Keylogger-Software ausspioniert. Sobald der Angreifer beide Zugangsdaten gestohlen hat, können sie dafür genutzt werden, um sich bei diesem bestimmten Dienst anzumelden.

Wenn zudem derselbe Nutzername und dasselbe Passwort von dem Nutzer für mehrere Konten/Dienste genutzt wird, kann die gestohlene Kombination von dem Angreifer entsprechend für den Zugriff auf diese anderen Konten/Dienste benutzt werden.

 

Wie Marktführer Passwörter beseitigen und Anmeldungen vereinfachen

Marktführer gehen das Passwortproblem an, indem sie bereits jetzt an neuen Technologien arbeiten, die ausgerichtet sind, um Passwörter durch fortschrittliche, sichere Authentifizierung und Kryptographie zu ersetzen, die es Hackern praktisch unmöglich macht, Nutzerkonten zu kompromittieren und sie für Datendiebstahl, den Einsatz von Schadprogrammen oder der Kompromittierung von Webseiten mit SQL-Injections zu missbrauchen.

Die FIDO Alliance, ein Konsortium aus Unternehmen, dem auch Google, Microsoft, PayPal, MasterCard, Visa, Samsung und die Bank of America angehören, hat Vorgaben erstellt, die die Entwicklung neuer Lösungen vorantreibt und die Schwachstellen in der Authentifizierung und somit Sicherheitsverletzungen und Cyberangriffen ein Ende bereiten sollen. Die erfolgreichsten Lösungen ersetzen Passwörter durch Public Key Cryptographie und stellen damit sicher, dass weder Passwörter noch andere Zugangsdaten während des Anmeldevorgangs eingegeben werden. Somit existieren auch physisch gesehen keine Zugangsdaten, die Angreifer während der Eingabe in das Anmeldefeld, während der Übertragung an den Server oder vom Authentifizierungsserver selber stehlen könnten.

Ein weiterer Vorteil ist, dass diese Technologien dem Nutzer den Anmeldevorgang erleichtern, da nun das Erinnern oder die Eingabe langer und komplexer Passwörter wegfällt.

 

Wie „starke“ Passwörter die Datensicherheit aufweichen

Bis vor kurzem lag der Fokus bei der sicheren Authentifizierung auf der Notwendigkeit, dass jeder Nutzer sich ein starkes Passwort ausdenken musste. Für die Datensicherheit muss ein starkes Passwort lang sein und viele Zeichen beinhalten. Vorzugsweise sollte es eine Kombination aus Buchstaben unter Verwendung der Groß- und Kleinschreibung, Nummern und Sonderzeichen sein. Selbstverständlich sollte der Nutzer für jede Webseite bzw. jeden Dienst ein eigenes Passwort benutzen und nicht dasselbe Passwort für verschiedene Seiten.

Viele Unternehmen und Dienste wie Apple Inc.’s Apple ID, fordern jetzt vom Nutzer, strenge Anforderungen bzgl. Passwortstärke und -komplexität zu erfüllen, bevor die Anmeldedaten des Nutzers von ihnen akzeptiert werden.

Die Idee dahinter ist, dass ein komplexes Passwort es Hackern erschwert, dieses durch manuelle Anmeldeversuche oder automatisierte Brute-Force-Angriffe zu erraten. Diese automatisierten Angriffe verwenden Botnets von „gekaperten“  Computern, Servern und Webseiten, die dann das „Durchraten“ im großen Stil vornehmen (angeführt von langen Listen der üblichen schwachen Passwörter und Datensätzen von Zugangsdaten, die bereits bei vorherigen Datendiebstählen erbeutet wurden. Indem man ein separates Passwort für jede Webseite und jeden Dienst benutzt, reduziert man die Wirksamkeit dieser Listen, weil erratene oder gestohlene Anmeldedaten dann nicht auch noch den Schaden vergrößern und für den Zugriff auf weitere Seiten und Dienste verwendet werden können.

Leider bedeuten Komplexität und Einzigartigkeit eines Passworts nicht unbedingt mehr Sicherheit oder Wirksamkeit. Auch sind längere Passwörter mit Sonderzeichen und Nummern nicht automatisch schwieriger zu erraten.

Wie Cormac Herley, ein Wissenschaftler bei Microsoft dem Wired Magazine kürzlich mitteilte, „weiß die auf dem Markt befindliche Spitzensoftware seit über einem Jahrzehnt über all diese Tricks Bescheid. Viele der Passwort-Richtlinien drängen die Leute nicht zum Verwenden des Zufälligkeitsprinzips und Passwörtern, die 10¹⁴  Rateversuchen widerstehen, sondern zu vorhersagbaren Strategien, die diesen Versuchen eben nicht standhalten.“

Außerdem bewahrt die Komplexität eines Passworts nicht davor, dass das Passwort dennoch mithilfe von Phishing-Angriffen, Schadprogrammen oder Einbrüchen auf Servern, auf denen die Passwörter gespeichert sind, gestohlen und benutzt wird.

Ganz gleich, wie komplex das Passwort ist: Es besteht für Angreifer immer die Möglichkeit, es während der Eingabe beim Anmeldevorgang oder der Eingabe auf einer gefälschten Webseite, die zu Phishing-Zwecken genutzt wird, zu stehlen, oder durch Diebstahl aus der Datenbank des Authentifizierungsservers zu entwenden.

Im Fall des Angriffs durch russische Hacker wurden z.B. mehr als 1,2 Milliarden Datensätze von Zugangsdaten von über 420.000 Webseiten und Servern als gestohlen gemeldet. Komplexität oder Einzigartigkeit der Passwörter haben diese hier nicht schützen können.

 

Wie komplexe Passwörter Nutzer belasten und die Sicherheit unterwandern können

Anforderungen an ein komplexes Passwort stellen auch eine beträchtliche Belastung für den Nutzer  dar. Dieser trägt nun die Verantwortung, all die komplexen und für jeweils nur eine Webseite verwendeten Passwörter zu erinnern, niederzuschreiben und/oder Listen dieser benutzten Passwörter anzulegen.

Weiterhin muss der Nutzer diese Passwörter bei jedem Anmeldevorgang eingegeben, was ausgesprochen lästig und schwierig werden kann, wenn die Passwörter Groß- und Kleinschreibung sowie Nummern und Sonderzeichen enthalten. Besonders problematisch kann dies für Nutzer sein, die sich über ein Mobilgerät wie Smartphone, Tablet oder der Fernbedienung eines Smart TVs oder einer Spielekonsole verbinden. Komplexe Passwörter bei diesen Oberflächen und der Hardware einzugeben ist anstrengend und zeitraubend und kann Nutzer davon abbringen, ausreichend komplizierte oder einmalige Zugangsdaten überhaupt zu erstellen und zu benutzen. Das vereitelt letztlich die Absicht von Passwortsicherheit, die ja dahinter steht.

Wie Donna Dodson vom National Institute of Standards and Technology  Wired Magazine mitteilte: „Die Belastung durch Sicherheitsmaßnahmen auf den Endnutzer zu legen und diese immer komplexer zu machen, funktioniert einfach nicht. Die Sicherheit muss für den Endnutzer auch benutzbar sein.“

 

Wieso auch Passwort-Manager und Passwort-Generatoren keine Lösung sind

Die Aufgabe, sich ein starkes und komplexes Passwort auszudenken und es zu benutzen, hat eine kleine Industrie mobilisiert, Lösungen zu entwickeln, die dem Nutzer die Aufgabe vereinfachen sollen, darunter Lösungen wie Passwort-Manager und Passwort-Generatoren.

Passwort-Generatoren bieten kostenlose Tools, die den Prozess zur Erschaffung starker und komplexer Passwörter, die Anforderungen an die Datensicherheit erfüllen, automatisieren können. Allerdings löst es nicht das Problem, eine große Zahl von einmaligen Passwörtern für all die unterschiedlichen Webseiten und Dienste, die ein Nutzer verwendet, zu pflegen, zu erinnern, zu speichern oder abzurufen.

Der Passwort-Manager wurde zur Lösung dieses Problems entwickelt. Der Nutzer kann ein kostenloses oder ein kostenpflichtiges Abo für einen Passwort-Manager-Service abschließen, um starke Passwörter zu erstellen und zu speichern und sie dann abzurufen, wenn sie gebraucht werden, oder wenn der Nutzer eines von ihnen vergessen hat.

Das reduziert die Passwörter, an die man sich erinnern muss, aber dennoch wird ein Passwort während des Anmeldevorgangs für Webseite und Dienst immer noch eingegeben. Das bedeutet auch, dass das Passwort des Nutzers mithilfe von Phishing, Schadprogrammen, Man-in-the-Middle-Angriffen oder SQL-Injections gestohlen werden kann.

Gleichfalls bedeutet es, dass die Passwörter weiterhin durch die Webseite oder die Dienste, die der Nutzer verwendet, auf einem Server gespeichert werden. Ebenfalls könnten die Passwörter durch die Software des Passwort-Managers  auf einem Server gespeichert worden sein. So ist es also einem Angreifer selbst bei der Verschlüsselung der gespeicherten Daten möglich, widerrechtlich auf den Server zuzugreifen, die Datenbank mit den Passwörtern zu stehlen und mit fortschrittlichen Tools die Daten zu entschlüsseln.

 

Wie kann Sicherheit bei der Anmeldung erreicht werden?

Um Sicherheit bei der Anmeldung und eine wirklich starke Authentifizierung zu bekommen, ist der wichtigste Schritt, Passwörter und andere sensible Zugangsdaten im physischen Sinne vollständig aus dem Anmeldevorgang zu entfernen. Damit werden die Daten beseitigt, die das Hauptangriffsziel von Cyberkriminellen darstellen, denn diese werden benötigt, um Nutzerkonten zu kompromittieren und z.B. für weitere Angriffe und Sicherheitsverletzungen zu missbrauchen. Nicht zuletzt wird dadurch auch der Anmeldevorgang für den Nutzer vereinfacht, denn dieser ist nun von dem Erschaffen, Erinnern und der Eingabe ellenlanger, komplizierter Passwörter erlöst.

Mit Public Key Kryptographie und mobiler Push-Authentifizierung können Entwickler und Profis in der Datensicherheit fortgeschrittene Technologie anwenden, die 2048 Bit verschlüsselte, asymmetrische Schlüsselpaare und eine simple mobile App zur Überprüfung des Nutzerzugangs verwendet. Der Nutzer kann sich innerhalb von Sekunden auf einer gesicherten Webseite bzw. einem gesicherten Dienst lediglich mit einem in dem Anmeldefeld einzugebenden, nicht vertraulichen Benutzernamen und einem einfachen mobilen Verifizierungsprozess anmelden. Letzterer erfordert die Eingabe einer vierstelligen PIN, eines Passcodes oder dem Scan des Fingerabdrucks über eine kostenlose mobile App.

Weder werden Passwörter noch andere sensible Zugangsdaten während des Anmeldevorgangs eingegeben, an einen Server übertragen oder auf einem solchen gespeichert. Es ist also schlichtweg nichts vorhanden, was ein Angreifer während Eingabe, Übertragung oder dem Versuch, den Authentifizierungsserver zu hacken, stehlen könnte.

Dieser Ansatz bietet eine Zwei-Faktor-Authentifizierung ganz ohne Passwörter und die aus ihnen resultierenden Schwachstellen, von denen die meisten Authentifizierungslösungen betroffen sind.

Ein ideales Beispiel für diesen neuen Ansatz biete die SecSign ID, eine kostenlose Zwei-Faktor-Authentifizierung von SecSign Technologies, eine Schwestergesellschaft der SecCommerce Informationssysteme GmbH, die mitgeholfen hat, in Europa den Weg für Public Key Kryptographie zu bahnen.

Die SecSign ID liefert eine umfassende und extrem sichere mobile Authentifizierungslösung, die es Entwicklern und Unternehmen erlaubt, ganz ohne Passwörter die größtmögliche Anmeldesicherheit zu erreichen, die auch den Richtlinien der FIDO Alliance entspricht.

Das Beste daran: Ob die Lösung nun kostenlos in der Cloud angewendet oder als Inhouse-Lösung installiert wird, die SecSign ID macht es Angreifern praktisch unmöglich,  Nutzerkonten durch Hacker- und Phishingangriffe oder Schadprogramme zu gefährden. Alle Daten, die von der SecSign ID geschützt werden, bleiben genau dort, wo sie auch hingehören: Auf Ihren Geräten und Servern anstatt in der Hand von Kriminellen.

Für weitere Informationen über die SecSign ID und der eingesetzten Sicherheit und Funktionalität sowie ein Einführungsvideo besuchen Sie bitte unsere SecSign ID Produkt-Seite. Wenn Sie eine kostenlose Beratung zur Integration fortgeschrittener Anmeldesicherheit für Ihre Webseite, Anwendungen, Dienste oder Netzwerke wünschen, besuchen Sie gerne unsere Kontaktseite auf SecSign Technologies. Die mobile SecSign ID App kann kostenlos über iTunes und Google Play heruntergeladen werden. Nutzer können den Anmeldevorgang auf der Seite Jetzt ausprobieren testen.