Cyber Security: Zwei Schlüssel für mehr Sicherheit
Author: Markus Strehlitz
Die Authentifizierung per Passwort birgt Risiken und ist für viele Anwender kaum noch beherrschbar. Doch es gibt Alternativen. Besonders Passkeys bieten mehr Schutz im Internet und sind dazu noch nutzerfreundlich.
Im Alltag ist man mit einer Flut von Passwörtern konfrontiert. Nicht nur beim Online-Banking oder beim Zugriff auf das IT-System am Arbeitsplatz muss man sich authentifizieren. Fast jeder Online-Dienst und nahezu jede Website, die man besucht, verlangt ein Login. Und in den allermeisten Fällen geschieht dies auf die klassische Weise: per Nutzername und Passwort. Doch mit der Zahl an Passwörtern wächst auch das potenzielle Risiko. Denn das Authentifizierungskonzept weist große Schwächen auf.
Häufig werden beim Umgang mit Passwörtern nicht einmal die wichtigsten Grundregeln befolgt. Wie diese aussehen, erklärt Andy Schweiger, der bei DEKRA als Senior Vice President für den Bereich Global Cyber Security Services zuständig ist. „Um Passwörter als halbwegs sicher zu betrachten, sollten sie mindestens 16 Zeichen lang sein. Und für jeden Account sollte man ein anderes Passwort verwenden“. Und damit sei dann auch klar: „Für jeden, der mehr als drei Accounts hat, ist ein Passwortmanager unumgänglich.“
Angriff von Cyberkriminellen abwenden
Aber selbst, wenn diese Regeln befolgt werden, bietet ein Schutz per Passwort noch viel Angriffsfläche. Beim Phishing versuchen Cyberkriminelle an die Zugangsdaten ihrer Opfer zu kommen, indem sie beispielsweise gefälschte E-Mails verschicken. Diese sollen dann die Empfänger dazu verleiten, ihren Nutzernamen und ihr Passwort preiszugeben.
Aber auch bei den Web-Diensten sind die sensiblen Informationen nicht sicher. Deren Datenbanken können zum Ziel von Online-Angriffen werden. Große Mengen an Zugangsdaten geraten dann in die Hände von Hackern. Eine weitere Bedrohung stellen so genannte Brute-Force-Attacken dar. Dabei werden alle möglichen Kombinationen durchprobiert, bis das richtige Passwort gefunden ist.
Zwei-Faktor-Authentifizierung ist sicher, aber aufwändig
Doch es gibt Alternativen, die mehr Sicherheit bieten können. Dazu zählt die Zwei-Faktor-Authentifizierung, wie sie etwa vom Online-Banking bekannt ist. Neben dem Passwort wird dabei ein weiterer Faktor zur Authentifizierung verlangt. Das kann zum Beispiel ein zusätzliches Einmalpasswort sein, das über eine App generiert wird, oder eine Zahlenkombination, die per SMS verschickt wird. Der Zugriff auf das Passwort reicht dann allein nicht mehr aus, damit sich ein Krimineller Zugang zum Account verschaffen kann. Der Nachteil ist, dass gerade viele kleinere Online-Dienste eine solche Methode noch nicht anbieten. Hinzu kommt, dass der Anmeldeprozess dadurch etwas aufwändiger wird und länger dauert.
Noch etwas mehr Aufwand, dafür aber auch mehr Sicherheit ist mit der Multi-Faktor-Authentifizierung verbunden. Bei diese kommen noch weitere Faktoren bei der Anmeldung hinzu. Das können zum Beispiel biometrische Merkmale sein – also der Scan des Fingerabdrucks oder die Gesichtserkennung.
Die Authentifizierung per Biometrie stellt auch für sich allein eine Alternative zum Passwortschutz dar. Die körperlichen Merkmale kann man schließlich nicht vergessen und man hat sie stets bei sich. Doch auch die Anmeldung per Fingerabdruck birgt ein Risiko, sagt Schweiger. „Theoretisch kann jemand einen Fingerabdruck kopieren, den ein Nutzer auf seinem Smartphone oder einem anderen Gegenstand hinterlassen hat, und die Nachbildung dann verwenden, um sich Zugang zu einem Account zu verschaffen.“
Keine Chance für Phishing
Diese Gefahr besteht bei der Authentifizierung per Passkey nicht. Diese stellt eine weitere Alternative zum Passwortkonzept dar. Die Funktionsweise: Bei der Registrierung oder Anmeldung zu einem Dienst, der Passkeys unterstützt, wird ein Schlüsselpaar auf dem Gerät des Benutzers erstellt. Der private Schlüssel bleibt sicher auf dem diesem Gerät – zum Beispiel einem Smartphone oder Computer. Der öffentliche Schlüssel wird an den Server des Dienstes gesendet. Wenn der Anwender sich nun anmelden möchte, sendet der Server des Web-Dienstes eine Authentifzierungsanfrage an das Endgerät. Der Nutzer genehmigt die Anfrage per Biometrie oder Geräte-PIN. Die beiden Schlüssel können nun miteinander abgeglichen werden und der Zugang wird gewährt.
Diese Methode bietet eine ganze Reihe von Vorteilen. Passwörter können nicht gestohlen werden, da es keine gibt. Somit stellen auch Phishing-Aktionen oder Datenangriffe keine Gefahr dar. Das gleiche gilt für Brute-Force-Attacken. Passkeys sind außerdem nutzerfreundlich. Denn der Anwender muss sich keine komplizierten Passwörter merken oder sich mit deren Verwaltung beschäftigen. Wobei Passwortmanager auch in diesem Fall nützlich sein können. Sie helfen etwa dabei, Passkeys über verschiedene Geräte hinweg zu synchronisieren.
Neue Technologien brauchen Zeit
Die großen IT-Anbieter wie Apple, Google und Microsoft unterstützen Passkeys bereits. Doch darüber hinaus ist diese Methode noch nicht sehr weit verbreitet. Den Hauptgrund dafür sieht Schweiger darin, dass es immer eine gewisse Zeit brauche, bis sich neue Technologien durchsetzen. Und sowohl die Endanwender als auch die Unternehmen seien die klassische Authentifizierung per Passwort gewohnt.
Inwieweit noch radikalere Ansätze wie Mikrochip-Implantate oder die Identifizierung anhand von individuellen Verhaltensmustern künftig die Authentifizierung verändern können, sei derzeit noch nicht absehbar, so Schweiger. Er hält die Nutzung von Passkeys für die derzeit praktikabelste Methode.
Der Sicherheitsexperte empfiehlt daher Unternehmen, sich mit dieser und den weiteren Passwortalternativen zu beschäftigen. Unterstützung erhalten Firmen dabei auch von DEKRA. Die Expertenorganisation bietet unter anderem Audits und Risikobewertungen sowie Schulungen für Mitarbeitenden, um diese über die Risiken von Passwörtern aufzuklären und die Vorteile neuer Technologien aufzuzeigen.