Das Ende des Passwortes in der digitalen Welt
Sind Passwörter heutzutage noch zeitgemäß? Lesen Sie in diesem Beitrag, welche Probleme und Risiken durch die gesteigerte Cyberkriminalität auftreten. Können Zwei-Faktoren-Authentifizierung und Passwortmanager hier Abhilfe schaffen?
Passwörter sind eines der typischsten Authentifizierungsverfahren überhaupt. Im Zeitalter der stetig steigenden Rechenleistung und des immer präsenter werdenden Quanten-Computers ist es allerdings fraglich, ob diese Form des sicheren Zugriffs überhaupt noch zeitgemäß ist, gerade im Hinblick darauf, dass Passwörter zu häufig einen persönlichen Bezug aufweisen.
Es stellt sich also die Frage, ist das Passwort noch zeitgemäß? Nicht selten hat sich der klassische Benutzer schon darüber geärgert, dass neue Identifikations- bzw Zugriffsverfahren schleichend oder auch rasch in den Alltag integriert wurden. Tatsächlich sprechen mittlerweile gewichtige Gründe gegen die Verwendung alpha-, numerischer-, kryptischer oder sonst wie komplexer Passwörter. Das Problem dabei ist, in jedem Fall handelt es sich dabei lediglich um die Kombination von Zeichen, Zahlen, Buchstaben und Sonderzeichen. Gerade durch die Eindimensionalität der Zeichen lassen sich diese gelegentlich erraten, jedenfalls aber entwenden, vor allem im Hinblick darauf, dass durch neue Technologien, aber auch durch Schadprogramme und Ähnliches Datendiebstähle nicht ohne Weiteres ausgeschlossen werden können. Vor allem Passwörter aus Namen, Geburtsdaten, Ehepartner, Wohnort öffnen im Falle des Diebstahls bzw „Erratens“ Tür und Tor zum Einbruch in andere Systeme, wodurch nicht selten eine Kettenreaktion mit unabschätzbaren Folgen entstehen kann. In der Regel werden Passwörter auch nicht so häufig gewechselt, als damit eine Erhöhung der Sicherheit verbunden wäre. Egal, ob im E-Mail-Account, beim Onlinebanking oder auf Amazon, es wird leider aus Gründen der Einfachheit häufig dasselbe Passwort gewählt und oft über lange Perioden beibehalten. Bereits die Verwendung des gleichen Passworts auf einer dubiosen Seite oder im Falle eines Datendiebstahls ermöglicht häufig das Eindringen in sämtliche damit geschützten Bereiche.
Wie war das Passwort nochmal?
Im Dschungel der schier endlosen Passwörter kann das Vergessen eines Passworts ebenso einen Datenverlust bescheren wie ein zu simples Passwort, das Böswilligen ihre Absichten erleichtert. Nicht in jedem Fall lassen sich Zugänge wiederherstellen, wenn die Erinnerung einmal aussetzen sollte. Doch schon fast seit der Nutzung von Passwörtern selbst besteht häufig die Möglichkeit, ein Passwort mittels vorher festgelegter „Geheimfrage“ wieder zu erneuern, vorausgesetzt, man hat auch nicht die Antwort hierfür vergessen. Dies kann als Vorläufer der immer häufiger werdenden Zwei-Faktoren-Authentifizierung betrachtet werden, ebenso wie die Herstellung über einen E-Mail-Account, der ebenso passwortgesichert ist.
In diesen Fällen muss zusätzlich zum Passwort für den Login (und dem Benutzernamen, Account oder wie immer das im konkreten System bezeichnet wird) ein weiteres Identifizierungsmerkmal preisgegeben werden. Dies kann unter anderem etwa ein einmaliger Code sein (häufig als TAN bezeichnet, gerade im Bankwesen), der dem Nutzer auf sein Smartphone gesendet wird. Mittels App oder anderen physischen Gegenständen kann dann der jeweilige Code abgerufen werden.
Die höhere Sicherheit der Zwei-Faktoren-Authentifizierung bildet sich aus einer Kombination von Besitz (zB Chipkarte) oder Biometrie (zB Irisscan oder Fingerabdruckscan).
Eine kleine Besonderheit in diesem Zusammenhang ist die Zwei-Faktor-„Authentisierung“. Hier besteht ein Unterschied zur „Authentifikation“, denn mit der Authentisierung identifiziert sich der Nutzer als derjenige, der alleine über die eindeutigen Anmeldeinformationen verfügt. Im Anschluss authentifiziert das System die Gültigkeit der Nutzerdaten. Erst danach erhält der Nutzer Zugang zu den angeforderten Inhalten.
Löst die Zwei-Faktoren-Authentifizierung das Problem denn wirklich?
Letztlich bleibt das Problem des unsicheren Passwortes offen, ausgenommen der Fall, ein Authentifizierungssystem nutzt ausschließlich biometrische Daten in Kombination mit einmal vergebenen PINS (die übrigens gelegentlich nach einer kurzen Zeit der Nichtnutzung ihre Gültigkeit verlieren). Leider bewirkt sogar die Beantwortung einer „Geheimfrage“ letztlich nur die Eingabe einer anderen Art von Passwort, wodurch der Vorteil überschaubar bleibt. Verdeutlicht wird dies durch die Tatsache, dass viele Nutzer absolute Standardpasswörter wählen, wie einfachste Zahlenkombinationen oder bei Sicherheitsfragen das Geburtsdatum, somit ist keine Lösung in Sicht.
Es ist Usus, dass neuere IT-Systeme das selbsttätige Erstellen eines hoch komplexen Passworts fordern, wobei es auch möglich ist, dieses in verschlüsselter Form im System zu speichern, ohne eine erneute Eingabe erforderlich zu machen. Nicht gelöst ist aber das Folgeproblem, nämlich der Verlust des Passwortes für den Masterzugang. Ohne das Kennwort, mit dem das System überhaupt erst hochfährt, bleibt der Bildschirm finster. In diesem Fall hilft auch im System behaltenes Passwort nicht weiter.
Ein Passwortmanager ist die Lösung! Oder etwa nicht?
Ähnlich ist die Situation bei so genannten „Password-Managern“. Diese helfen bei der Erinnerung bzw Speicherung aller Passwörter des Nutzers, unabhängig vom Grad der Komplexität. Es gibt für Teams oder IT-Unternehmen Lösungen auf Servern oder in der Cloud – wobei sich hier auch schon eine der Schwächen dieses Konzepts abzeichnet. Meist sind diese Passworttresore allerdings selbst mit einem Hauptpasswort geschützt, womit sich die Katze in den Schwanz beißt, obwohl das Merken eines komplexen Passworts dennoch Vorteile bietet im Vergleich zu vielen, der Verlust dieses einen aber umso mehr schmerzt. Außerdem hängt der Zugriff via Cloud oder wie auch immer online deponierte Passwortsysteme von einer aktiven Datenverbindung ab, neben der grundsätzlichen Erreichbarkeit des Systems selbst. Im Fall der Fälle sieht es also unter Umständen auch hier übel aus.
Trotz aller gut gemeinten Versuche hilft nur eine Mehr-Faktoren-Authentifizierung. Diese empfiehlt sich praktisch überall. Bei der Verwendung von Passwort-Managern ist ganz besonders auf die Seriosität des Anbieters zu achten, und darauf, ob es Support, Updates und die Möglichkeit gibt, eine Kopie der Daten lokal abzulegen. Dies beugt auch dem oben genannten Problem vor. Es ist dringend zu raten, das Master-Passwort hoch komplex zu gestalten und auch noch an einem physisch sicheren Ort aufzubewahren. Der Verlust des Hauptpasswortes kann im schlimmsten Fall die Existenz des Unternehmens gefährden.
Digitale Identität: Aus- oder Irrweg?
Selbstverständlich tangiert das Thema „digitale Identität“ auch die Frage, ob die Verwendung von Passwörtern überhaupt noch notwendig ist. Die immer häufiger werdende Authentifizierung mittels App auf dem Smartphone ist eine der aktuellen Entwicklungen, die in diese Richtung gehen, wobei aus Sicherheitsaspekten nichts dagegen spräche. Zu Recht wird dabei aber kritisiert, dass dadurch der Bürger immer gläserner wird und im Fall der Fälle die Macht über die Nutzer zu groß wird, gerade im Hinblick auf die dadurch verbundenen massiven datenschutzrechtlichen Bedenken, mag eine etwaige Lösung auch DSGVO-konform gestaltet sein.
Ein Resümee
Ein absolut sicheres IT-System existiert nicht und wird auch nie existieren. Passwörter haben ebenso Schwächen wie biometrische, PIN-basierte oder andere Authentifizierungsverfahren. Alle Systeme sind von ihrer Natur her verwundbar und nicht immer zuverlässig oder schlichtweg nicht funktionstüchtig. Die bloße Nutzung von Passwörtern hat aber gerade in wichtigen Angelegenheiten zu viele Nachteile und wohl langfristig keine Zukunft.