Authentifizierung

Am Ende bleibt das Passwort

| Autor / Redakteur: Martin Kuppinger / Peter Schmitz

Passwörter haben sich bereits zu stark in den Köpfen eingebrannt, um sie schnell loszuwerden. Biometrie ist zwar Passwortfrei, aber technisch extrem anspruchsvoll und daher nicht in jedem Fall umsetzbar.
Passwörter haben sich bereits zu stark in den Köpfen eingebrannt, um sie schnell loszuwerden. Biometrie ist zwar Passwortfrei, aber technisch extrem anspruchsvoll und daher nicht in jedem Fall umsetzbar. (Bild: TBIT - Pixabay / CC0)

Schon oft wurden Passwörter in der IT-Welt für risikoreich und tot erklärt. Doch obwohl das erste Merkmal zutrifft, werden sie vermutlich alles andere überleben. Ansätze für sicherere Alternativen gibt es längst. Sie sind aber entweder technisch anspruchsvoller zu realisieren oder sie beanspruchen mehr Zeit als die Eingabe von Passwörtern und stoßen von daher auf weniger Akzeptanz bei den Anwendern.

Mehr Sicherheit als Passwörter allein bietet Multi-Faktor-Authentifizierung. Hierbei finden mindesten zwei der drei allgemein gängigen Authentifizierungsmethoden Anwendung. Diese drei beantworten 1. was man weiß, 2. was man hat, 3. wer man ist.

Der heute meistgenutzte Faktor ist der erste (Something you know). Passwörter und Persönliche Identifikationsnummer (PINs) spielen hier eine zentrale Rolle, genauso wie etwa Sicherheitsabfragen nach dem Vornamen der Mutter oder dem Geburtsort.

Auch beim zweiten Faktor (Something you have) kommen Passwörter zum Einsatz, etwa beim Smartphone, wenn der Besitzer sich mit seinem Nutzernamen und Passwort anmeldet, um einen Code auf sein Device gesendet zu bekommen, mit dem er sich authentifizieren kann.

Aktuell streitet man sich allerdings darüber, wie sicher dieser Weg wirklich ist. Der Vollständigkeit halber sei hier erwähnt, dass es sich bei dem dritten Faktor (Something you are) vorwiegend um biometrische Authentifizierungsverfahren handelt. Dazu gehören etwa der Fingerabdruck und Retina- und Gesichtsscans. Passwortfrei, aber technisch extrem anspruchsvoll und daher nicht in jedem Fall umsetzbar. Außerdem funktioniert Biometrie selbst mit entstehenden Standards wie denen der FIDO Alliance nicht immer einwandfrei.

Bei der Adaptiven Authentifizierung prüft das System, auf das ein Nutzer zugreifen möchte, zudem den Kontext des Logins (von wem, wo, mit welchem Gerät etc.) und entscheidet dann, welche der drei oben genannten Faktoren verwendet werden. Einfach und bequem, bleibt das Passwort auch hier immer eine Option für die Einwahl, gelegentlich auch in Form von OTPs (One Time Passwords). Einmalpasswörter sind allerdings längst nicht so anwenderfreundlich. Zudem sind sie teuer und ihre Logistik ist komplex. Im Fall einer fortlaufenden Authentifizierung lassen sich Passwörter schließlich auch während einer Session periodisch immer mal wieder zwischendurch anfordern. Das kann aber für Anwender schnell zur ermüdenden und lästigen Angelegenheit werden.

Ergänzendes zum Thema
 
Das Passwortdilemma

Starke Online-Identitäten als Herausforderung

Starke Online-Identitäten setzen sich zusammen aus Identifikations- und Authentifikationstechnologien sowie Datenspeichermöglichkeiten für persönliche Identitätsmerkmale. Sie ermöglichen starke und widerstandsfähige Verbindung digitaler Identitäten mit einer bestimmten physikalischen Person, Einheit oder Organisation, um eine vertrauensvolle Interaktion und Kommunikation zwischen Individuen und Organisationen zu ermöglichen. Im Idealfall behält der Nutzer dabei die volle Hoheit und Kontrolle über all seine Daten und eingegebenen Informationen. Allerdings existiert bislang so eine Lösung noch nicht am Markt. So bereiten starke Online-Identitäten im Alltag heute noch Kopfzerbrechen. Ob es jemals eine einheitliche Identity-Lösung gibt, die alle genannten Anforderungen erfüllt, ist fraglich.

Aber auch die schwachen Varianten wie Geräte-IDs oder Identifier von Dingen im Internet of Things (IoT) machen Nutzernamen und Passwörter nicht überflüssig, selbst bei Einsatz mehrerer Authentikatoren gleichzeitig. So muss es für den Fall, dass für eine bestimmte Transaktion nicht ausreichend Authentikatoren zur Verfügung stehen, oft immer noch Passwörter zur Reserve geben.

Martin Kuppinger: „Am Ende bleibt nur die Option, Passwörter regelmäßig zu wechseln statt sie komplett durch andere Verfahren zu ersetzen.“
Martin Kuppinger: „Am Ende bleibt nur die Option, Passwörter regelmäßig zu wechseln statt sie komplett durch andere Verfahren zu ersetzen.“ (Bild: KuppingerCole)

Kein Anbieter wird schließlich einen Anwender ausschließen wollen. Allein auf starke Online-Identifizierungsverfahren zu setzen, könnte sie sonst Kunden und damit profitables Geschäft kosten. Passwörter haben sich bereits zu stark in den Köpfen eingebrannt, um sie schnell loszuwerden. Und nicht nur dort: Viele in Unternehmen seit Jahren bestehende Systeme und Nutzerkonten lassen für den Zugang nur Passwörter zu. Das Gleiche gilt für viele mobile Anwendungen, Webseiten und Dienste. So bleibt am Ende zur Sicherheit nur die Option, Passwörter regelmäßig zu wechseln statt sie komplett durch andere Verfahren zu ersetzen.

* Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44243149 / Passwort-Management)