Hat das Passwort noch eine Zukunft? Ohne Zweifel!

Die Zukunft sei passwortlos, propagieren Google, Apple und Microsoft, Anbieter von Authentifizierungsdiensten oder Gartner. Passwörter seien schwer zu merken und leicht zu knacken – mit anderen Worten: Sie erfüllten nicht die Anforderungen an die beiden wichtigsten Eigenschaften wirksamer Schutzmaßnahmen, Sicherheit und Komfort (Usability). Das verunsichert viele Unternehmen, denn nahezu alle haben viel Geld und Aufwand in passwortgestützte Authentifizierungslösungen investiert.

Deshalb fragen wir heute: Hat das Passwort tatsächlich keine Zukunft mehr? Müssen Unternehmen jetzt auf passwortlose Authentifizierung umsteigen? Wir schauen auf die Argumente hinter dem Abgesang aufs Passwort, stellen potenzielle Alternativen vor und begründen, warum aus unserer Sicht das Passwort trotzdem noch lange nicht tot ist.

TL;DR:  Für viele Use-Cases, insbesondere Webanwendungen, ist die passwortlose Anmeldung traditionellen Login-Verfahren überlegen. Anders sieht es bei der Windows-Anmeldung aus: Hier spielt das bewährte Passwort noch immer seine Stärken aus, wenn es richtig implementiert ist.

Das Passwort hat seine Tücken

Dass Passwörter ein potenzielles Risiko darstellen, zeigt die Praxis: Dem 2022er Data Breach Investigations Report von Verizon zufolge gelangen über 80 Prozent der erfolgreichen Angriffe auf Webanwendungen durch gestohlene oder erratene Anmeldedaten. Dazu gehören heutzutage keine besonderen Fähigkeiten mehr: Immer wieder werden schlecht gesicherte Server von Diensteanbietern gehackt, und im Internet kursieren riesige Datensammlungen mit Milliarden von Passwörtern – im Juni 2021 wurde beispielsweise eine 100 GB große Textdatei namens „rockyou2021.txt“ mit über acht Milliarden Passwörtern online gestellt. Hinzu kommt: Weil wir uns Anmeldeinformationen für immer mehr Konten merken müssen, tendieren die meisten Menschen dazu, es sich möglichst einfach zu machen. Sie nutzen Passwörter, die sie sich leicht merken und schnell eingeben können, und variieren diese nur wenig zwischen verschiedenen Diensten (vgl. die Studie „Psychology of Passwords 2022“ des Passwortmanager-Dienstes LastPass). Auch Phishing-Attacken, die Anwender dazu bringen, ihre Benutzernamen und Passwörter preiszugeben, sind ein wachsendes Problem.

Komfortablere Alternativen gesucht

Wenn lediglich eine Kombination von Username und Passwort zwischen einem Hacker und wertvollen Daten im Internet steht, sind Sicherheitsprobleme vorprogrammiert. Dies ließe sich allerdings durch Hinzunahme weiterer Authentifzierungsmethoden (Zwei- oder Multifaktor-Authentifzierung) entschärfen. Anmeldevorgänge sollen aber nicht nur sicher, sondern auch möglichst komfortabel sein, damit Nutzer nicht aus Bequemlichkeit die Sicherheit aushebeln (siehe oben), aber natürlich auch, um sie nicht von der Nutzung der angebotenen Onlinedienste abzuhalten. Seit 2012 betreibt insbesondere die FIDO Alliance („Fast IDentity Online“), der heute zahlreiche große Unternehmen inkl. Google, Apple und Microsoft, aber auch etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) angehören, die Entwicklung und Verbreitung komfortablerer Authentifizierungsmethoden. Dabei werden ganz verschiedene Technologien unterstützt, von herkömmlichen Methoden wie PINs über biometrische Verfahren bis hin zu Hardware-Security-Tokens (z. B. USB-Sticks) und kombinierten Software- und Hardware-Lösungen (z. B. Apps auf PCs mit TPM oder auf Mobilgeräten mit Secure Element).

Privates bleibt privat

Dafür entwickelte die FIDO Alliance eine Reihe von Standards für die passwortlose Authentifizierung: U2F und UAF (Universal Second Factor, Universal Authentication Framework, beides zuerst 2014) sowie CTAP (Client to Authenticator Protocol, 2017), das zusammen mit dem W3C-Standard WebAuthn (2016) das FIDO2-Projekt bildet. Die Basis dieser Standards ist ein Public-Key-Verfahren mit asymmetrischer Verschlüsselung (Challenge-Response). Der Client berechnet aus der Server-Anfrage (Challenge) mit Hilfe eines (intern oder extern) sicher gespeicherten geheimen Schlüssels (Secret) eine Antwort (Response), die der Server mit Hilfe eines öffentlichen Schlüssels verifizieren kann. Anders als traditionelle Zugangsdaten verlässt das Secret des Clients niemals die geschützte Umgebung. Dadurch ist gewährleistet, dass keine für die Zugangsberechtigung notwendigen und hinreichenden Informationen an den Server gesendet sowie dort gespeichert werden müssen.

Alle Methoden mit Vor- und Nachteilen

Dieser Prozess wird aktiviert, wenn sich eine Person erfolgreich authentisiert. Um ihre Identität nachzuweisen, kann sie verschiedene „Faktoren“ nutzen:

• etwas, das nur sie besitzt (ein Gerät, etwa Security Token oder Smartphone-App, das auch gleich die kryptografischen Operationen ausführt),
• etwas, das nur sie weiß (PIN/Passwort) oder
• ein einzigartiges, biometrisch erfassbares Merkmal (Gesicht, Iris, Stimme, Fingerabdruck).

Allerdings sind die Faktoren „Besitz“ und „Merkmal“ dem Faktor „Wissen“ nicht per se überlegen. Alle Faktoren können kompromittiert werden und haben ihre Vor- und Nachteile:

Wissen kann leicht erzeugt, gespeichert, geändert, mitgeführt und kommuniziert werden. Es kann aber, wie wir gesehen haben, auch in die falschen Hände geraten, etwa durch Diebstahl oder Erraten (Brute Force). Ist ein Passwort kompromittiert, kann im Gegensatz zu anderen Faktoren ohne großen Aufwand ein neues vergeben werden.

Besitz ist sehr flexibel realisierbar und bietet viel Funktionalität und Komfort. Er kann an andere weitergegeben, bei Verlust ersetzt, aber eben auch verloren oder gestohlen werden. Zudem sind die Kosten dieses Faktors (etwa für Erzeugung, Verteilung, Verwaltung) potenziell sehr hoch.

Biometrische Merkmale identifizieren eine Person (in der Theorie) eindeutig und gehen üblicherweise nicht verloren. Dafür können sie aber nicht weitergegeben, verteilt oder ersetzt werden. Ihre Erfassung und Abgleich sind aufwendig; trotzdem können motivierte Hacker sie oft austricksen. Sie erfordern spezielle Geräte sowie die Verteilung, Speicherung und den Schutz biometrischer Referenzdaten, was Datenschutzprobleme mit sich bringen kann. Weil die bei der Prüfung erfassten Daten nie mit hundertprozentiger Sicherheit einem gespeicherten Referenzdatensatz zugeordnet werden können, muss ein Kompromiss zwischen Sicherheit und Komfort gefunden werden.

Der Use-Case ist entscheidend

Dieser letzte Satz gilt auch für die Wahl des passenden Authentifizierungsverfahrens für eine gegebene Anwendung – oder besser, der optimalen Kombination von Verfahren bzw. Faktoren. Denn es steht außer Frage, dass eine starke Zweifaktor-Authentifizierung (2FA) oder Multifaktor-Authentifizierung (MFA) für kritische Daten und Systeme unabdingbar ist.

Die Anforderungen verschiedener Use-Cases an die Authentifizierung unterscheiden sich erheblich. Im Falle von Webanwendungen, für die die passwortlose Authentifizierung entwickelt wurde, ist diese oft besser, weil einfacher, komfortabler und gleichzeitig auch sicherer als die Nutzung und Verwaltung von Anmeldefunktionen für viele verschiedene Konten. Andere Anwendungen (etwa Bankzugänge) stellen hohe Anforderungen an die Sicherheit, sodass Komfortaspekte in den Hintergrund treten.

Wieder anders sieht es bei der Windows-Anmeldung in Unternehmen aus: Natürlich hat der Schutz von Daten, Systemen und Netzen oberste Priorität. Aber die Verantwortlichen müssen darüber hinaus bestimmte Rahmenbedingungen berücksichtigen: Wie aufwendig und teuer ist die Einführung neuer Verfahren? Kann man die Mitarbeiter ins Boot holen, die traditionelle Login-Verfahren gewohnt sind und Neuerungen häufig ablehnend gegenüberstehen? Lassen sich passwortgeschützte Legacy-Systeme überhaupt auf ein neues Verfahren umstellen? Und wie sieht es mit dem Datenschutz aus? Im Unternehmensumfeld sind Passwörter ein etabliertes Verfahren – es liegt aus praktischen Gründen nahe, seine Schwächen mit geeigneten Maßnahmen zu kompensieren und die Sicherheit mittels 2FA/MFA zu erhöhen.

Es lebe das Passwort!

Die eine optimale Authentifizierungslösung für alle Gelegenheiten gibt es nicht. Gerade im Windows-Umfeld ist das Passwort aber noch lange nicht tot, auch wenn Microsoft anderes propagiert. Es ist im Gegenteil noch immer das wichtigste Authentifizierungsverfahren.

Viele Entscheider zögern, viel Geld für Hardware-Tokens auszugeben, die verloren gehen können und dann ein Sicherheitsrisiko darstellen, oder flächendeckend in neue, biometriefähige Systeme zu investieren. Wer das Passwort als ersten Faktor beibehält, kann solche Umstellungen Schritt für Schritt angehen. Passwörter bieten dabei eine Reihe von Vorteilen: Sie können sehr einfach eingegeben werden; lokale Logins funktionieren ohne Kameras, Fingerabdruckscanner und zur Not auch ohne Internetverbindung. Passwortverfahren lassen sich in alle Arten von Systemen, auch Legacy-Anwendungen, leicht integrieren, um etwa Single-Sign-on zu realisieren. Und auch wer lieber primär auf passwortlose Authentifizierungsverfahren setzt, kann mit Passwörtern auf eine zuverlässige Backup-Lösung für unvorhergesehene Probleme zurückgreifen, etwa vergessene Tokens oder schlechte Lichtverhältnisse bei der Gesichtserkennung.

Vor allem aber ist das Passwort-Login ein ausgereiftes Verfahren, für das bewährte Best Practices zur Verfügung stehen, wie sie etwa in den Empfehlungen von NIST oder dem BSI formuliert werden. Mit Passwortrichtlinien für das Active Directory lassen sich sichere Passwörter durchsetzen, die trotzdem nicht so komplex sind, dass sie die Benutzererfahrung unnötig beeinträchtigen. Bei der sicheren und komfortablen Umsetzung solcher Best Practices helfen Lösungen wie Specops Password Policy, ergänzt um Services wie Breached Password Protection, die Sicherheit und Akzeptanz von Passwörtern wie auch den Komfort im Umgang mit ihnen zu verbessern.

Sie können Specops Password Policy in Ihrem Active Directory kostenlos und jederzeit testen. Nehmen Sie am besten noch heute Kontakt zu uns auf. Gemeinsam sorgen wir dafür, dass Ihre Passwörter und Passwortrichtlinien den aktuellsten Empfehlungen entsprechen!