Aufgepasst: Was sind echte passwortlose Technologien?

Aufgepasst: Was sind echte passwortlose Technologien?

New York, 13.11.2021

Eines der größten Sicherheitsrisiken in der modernen Geschäftswelt ist die massenhafte Verwendung von Passwörtern als wichtigste Authentifizierungsmethode für verschiedene Anwendungen. Als die Technologie entwickelt wurde, galten Passwörter sowohl für Privatpersonen als auch für Unternehmen als sicherer Weg, um den Zugang zu Systemen und sensiblen Daten zu sichern. Heute sind die Schwachstellen dieser Form der Authentifizierung jedoch glasklar: Sie machen nicht nur dem Benutzer das Leben schwer, sondern vermitteln auch ein falsches Gefühl von Sicherheit und lassen große Lücken in der Verteidigung eines Unternehmens.

Der „Verizon 2021 Data Breach Investigations Report“ hat herausgefunden, dass 61 Prozent der Sicherheitsverletzungen im letzten Jahr Anmeldedaten betrafen. Laut „haveibeenpwned“ sind derzeit mehr als 11 Milliarden Konten gefährdet.

Aus diesem Grund gehen viele Unternehmen dazu über, auf passwortlose Technologien umzusteigen. Es herrscht jedoch immer noch Verwirrung darüber, was genau als „kennwortlose“ Authentifizierung gilt. Einige Lösungen, die angeblich in diese Kategorie fallen, speichern und geben das Kennwort einfach im Namen des Benutzers ein oder ersetzen es durch etwas, das ebenfalls unsicher ist, wie einen magischen Link oder ein einmaliges Kennwort.

Man sollte also zunächst verstehen, was eine passwortlose Lösung wirklich ausmacht. Der grundlegende Fehler ist, dass Passwörter ein „gemeinsames Geheimnis“ sind. Das bedeutet, dass beide Seiten des Austauschs das Geheimnis (das Passwort) kennen und es gespeichert haben. Diese Passwörter werden von der Anwendung in einer Datenbank gespeichert, was sie zu einem bevorzugten Ziel für Cyberkriminelle macht. Passwörter werden zur stellvertretenden Kennung der Benutzer, und die Benutzer wählen oft Passwörter, die sich auf etwas in ihrem Leben beziehen, z. B. Namen und wichtige Daten, um sie sich leichter merken zu können. Dies macht es jedoch für Angreifer sehr einfach, die Passwörter zu erraten und sich Zugang zu sensiblen Daten zu verschaffen.

In den letzten Jahren ist es Kriminellen immer besser gelungen, ihre Opfer zur Herausgabe ihrer Anmeldedaten für verschiedene Konten zu verleiten. Sie haben gefälschte Websites eingerichtet, die eine echte Website imitieren, um das Passwort zu stehlen und den Hacker dann auf der legitimen Website einzuloggen. Sie haben auch Malware entwickelt, die auf dem Gerät des Benutzers läuft und die Anmeldedaten stiehlt, wenn der Benutzer sie eingibt. Wenn die Passwörter für mehrere Konten verwendet werden, kann der Diebstahl eines einzigen Passworts den Zugang zu mehreren Systemen ermöglichen. Weil die Nutzer oft leicht zu erratende Passwörter wie ihre Lieblingsfußballmannschaft oder Filmfigur verwenden, können Angreifer mit Brute-Force-Techniken , bei denen sie systematisch beliebte Passwörter in Anmeldeseiten einfügen,

sich Zugang verschaffen.

Einige Benutzer sind zwar dem Rat von Experten gefolgt und haben sich mit Hilfe eines Passwort-Generators für kompliziertere Passwörter entschieden, sind aber weiterhin gefährdet, da es den bereits erwähnten Techniken (Phishing-Seiten und Malware zum Diebstahl von Anmeldedaten) egal ist, ob das Passwort vier oder vierhundert Zeichen lang ist.

Selbst Passwort-Manager, die Passwörter sicher speichern, sind keine zuverlässige Lösung. Wenn eine Phishing-E-Mail in den Posteingang gelangt und ein Passwort automatisch über den Passwort-Manager an eine gefälschte Website übermittelt wird, haben die Kriminellen immer noch leichtes Spiel.

Geknackte Passwörter bedeuten immer eine Menge Ärger für ein Unternehmen. Allein die Rücksetzung von Passwörtern sowie die Wiederherstellung von Konten sind in der Regel mit einem hohen Zeitaufwand verbunden. Schon darum ist die Suche nach schlankeren und sichereren Methoden sinnvoll.

Dennoch ist Vorsicht geboten, wenn Alternativen in Betracht gezogen werden, die scheinbar „passwortlos“ sind. Jede Methode, die ein gemeinsames Geheimnis verwendet, kann gehackt werden. Die Hinzufügung eines weiteren Schutzes zu Passwörtern in Form von Multi-Faktor-Authentifizierung (MFA) ist mit einigen Herausforderungen verbunden. Abgesehen von den zusätzlichen, oft unbequemen Schritten, die dadurch für die Benutzer entstehen, verlassen sich herkömmliche MFA-Ansätze immer noch auf Passwörter als erste Sicherheitsüberprüfung, so dass die Schwachstelle in der Sicherheitskette nicht beseitigt wurde.

Cyberkriminelle können das Passwort und die MFA-Codes über Man-in-the-Middle- oder Man-in-the-Endpoint-Angriffe abfangen und dann eine betrügerische Sitzung starten. Zwei gemeinsam genutzte Geheimnisse sind nicht viel sicherer als eines. Jede MFA-Lösung, die sich auf einen zweiten Faktor stützt, der gestohlen werden kann, ist einfach nicht sicher genug, um moderne Angreifer zu überlisten.

Ein wirklich passwortloser Ansatz beseitigt sowohl die Sicherheitsrisiken von Passwörtern als auch von älteren MFA-Ansätzen, die auf Passwörtern oder anderen Formen von gemeinsam genutzten Geheimnissen beruhen. Ein vernünftiger Ansatz besteht darin, das Passwort aus dem Anmeldefluss, der Anwendungsdatenbank und dem Kontowiederherstellungsfluss zu eliminieren und es durch etwas inhärent Sicheres zu ersetzen.

Der zuverlässigste Weg, Passwörter zu ersetzen, ist die Verwendung bewährter öffentlich-privater Kryptographie, so dass keine gemeinsamen Geheimnisse ausgetauscht werden. Dies ist derselbe Ansatz, der zum Schutz von Finanztransaktionen über das Internet in Form von TLS verwendet wird.

Transport Layer Security (TLS), gekennzeichnet durch das Schloss-Symbol im Browser, beweist, dass der Benutzer mit dem legitimen Server kommuniziert und dass die Kommunikation über einen sicheren/privaten Kanal erfolgt. TLS verwendet Kryptographie mit öffentlichen/privaten Schlüsseln, um den Server zu validieren und den sicheren Kommunikationskanal einzurichten.

Bei der passwortlosen Authentifizierung auf der Grundlage der Verschlüsselung mit öffentlichen/privaten Schlüsseln wird der private Schlüssel sicher auf dem Gerät des Benutzers selbst gespeichert.

Die sichersten Lösungen speichern den Schlüssel in spezieller Hardware und sind auf modernen Geräten (PCs, Handys und Tablets) verfügbar, so dass der private Schlüssel das Gerät nie verlässt und für alle Beteiligten unbekannt bleibt. Der öffentliche Schlüssel wird den Anwendungen, auf die ein Benutzer zugreifen möchte, zur Verfügung gestellt, aber der öffentliche Schlüssel kann nicht für den Zugriff auf das System verwendet werden. Bei der Anmeldung wird ein mit dem privaten Schlüssel signiertes Zertifikat an den Server gesendet, wo der öffentliche Schlüssel verwendet wird, um zu bestätigen, dass das Zertifikat mit dem zugehörigen privaten Schlüssel signiert wurde, so dass der Benutzer sicher authentifiziert werden kann, ohne dass ein gemeinsames heiliges Geheimnis ausgetauscht wird. Nicht einmal der Benutzer selbst wird in den privaten Schlüssel eingeweiht, so dass nichts aufgezeichnet und versehentlich verloren oder weitergegeben werden kann.