Sichere Authentifizierung

Das Passwort ist nicht tot zu kriegen

| Autor / Redakteur: Alexis Fogel* / Peter Schmitz

In vielen Fällen ist ein gut gewähltes Passwort für den Schutz persönlicher Daten noch immer nahezu unschlagbar.
In vielen Fällen ist ein gut gewähltes Passwort für den Schutz persönlicher Daten noch immer nahezu unschlagbar. (Bild: TBIT - Pixabay / CC0)

Passwörter sind eine lästige Angelegenheit. Sie sollen möglichst kompliziert sein, jeweils nur für einen Account verwendet und möglichst nirgendwo gespeichert werden. Von Nutzerfreundlichkeit keine Spur. Warum konnte bisher keine andere Technologie als Schlüssel im Internet das Passwort ablösen?

Was Cyberkriminalität angeht markiert das Jahr 2016 einen bisherigen Höhepunkt. Viele Große Webportale und Unternehmen haben mit Angriffen von Hackergruppen zu kämpfen. Nutzer wurden mehrfach dazu aufgerufen, ihre Passwörter zu ändern. Laut einer Bitkom Studie von 2016 wurde bereits jeder zweite Deutsche Opfer eines Cyberangriffs.

Bereits 2004 prognostizierte Bill Gates das Aus für klassische Passwörter, da sie den zukünftigen Sicherheitsanforderungen nicht standhalten würden. Dass diese Vorhersage bisher nicht wahr geworden ist, weiß jede Person, die im Internet E-Mails abruft, Social-Media-Kanäle nutzt oder online Einkäufe erledigt. Das Gegenteil ist sogar der Fall: Heute werden noch viel häufiger Passwörter genutzt als vor 12 Jahren, denn mittlerweile gibt es mehr als 600 Milliarden Webseiten, die Logins verlangen – Tendenz steigend.

Doch das Passwort an sich ist nicht das Problem, es ist der Mensch. Aus Bequemlichkeit wird zumeist dasselbe, häufig unsichere Passwort auf mehreren Webseiten verwendet. Dieser Laxus gefährdet die Sicherheit der Daten enorm. Kann die biometrische Authentifikation hier Abhilfe schaffen?

In der Regel wird zwischen drei verschiedenen Kategorien der Authentifikation unterschieden: Die Kenntnis über eine persönliche Information (PIN, Passwort oder einer Sicherheitsfrage), der physische Besitz einer Information (Ausweisdokument, Bankkarten) und die erblichen physischen Charakteristika wie Fingerabdrücke oder die einzigartige Iris des Auges. Aus praktischen Gründen verwenden die am häufigsten besuchten Webseiten, wie Social Media-Netzwerke, für Konsumenten nur eine Stufe der Authentifikation, meist basierend auf einer E-Mail-Adresse und einem frei wählbaren Passwort.

Fingerabdrücke und Iris-Scanner

Die bekannteste, und die bis heute verbreitetste Form der biometrischen Authentifikation, ist der Fingerabdruck. Dabei hinterlegt der Nutzer seinen Fingerabdruck über einen Sensor auf dem Gerät und sobald eine Authentifizierung benötigt wird, muss der Nutzer den Fingerabdruck nachweisen. Damit ist die Identität bestätigt.

Der japanische Technologiekonzern Fujitsu entwickelte vor kurzem ein „smart eye tracking device“, mit dem durch einen Augen-Scan die Identifizierung einer Person möglich ist. Damit ist es Fujitsu gelungen, ein intelligentes Eye-Tracking-Gerät zu erstellen, das die individuelle Iris eines Benutzers erkennt. Bis wir diese Technologie jedoch auch auf mobilen Endgeräten nutzen können, ist es noch ein langer Weg. Bisher kann die Hardware nicht überall nahtlos in die portablen kleinen Geräte integriert werden.

Der große Vorteil von biometrischer Authentifikation ist es, dass sowohl die Identifikation, als auch die Authentifikation in einem Schritt möglich ist. Zum einen findet eine Identifikation, eine Auswertung bzw. Bewertung der Identität statt, zum anderen auch eine Authentifikation, eine Überprüfung, ob die Person das Recht besitzt, auf die Daten zuzugreifen. Vorteil: Der Nutzer muss sich seinen Fingerabdruck oder seine Iris-Struktur nicht merken. Auf den ersten Blick ist dies ein starkes Argument, dass für eine tatsächlich verlässliche Sicherung der Zugangsdaten spricht. Identitätsdiebstahl und Betrug scheinen so unmöglich, schließlich kann ein einzigartiger Fingerabdruck, im Gegenteil zu z.B. einer Kreditkarte, nicht gestohlen werden. Oder doch?

Beliebte Passwort-Manager im Überblick

Kennwortverwaltung

Beliebte Passwort-Manager im Überblick

01.02.17 - Programme zur Kennwortverwaltung sind praktisch und nehmen dem Anwender das Merken langer Zeichenkombinationen ab. Passwort-Manager gehören inzwischen ins Arsenal von IT-Profis. In diesem Artikel stellen wir mehrere Lösungen vor. Neben Cloud-basierten Applikationen und lokal installierten Managern zeigen wir drei Lösungen, die Kennwörter nicht speichern sondern bei Bedarf berechnen. lesen

Einzigartigkeit hat Grenzen

Biometrische Authentifizierung kann gehackt werden, wie jede andere Form der Authentifizierung auch. So gelang es dem Chaos Computer Club im Jahre 2014, bevor Apple das iPhone mit „Touch ID“ offiziell auf den Markt brachte, den Fingerabdruck der deutschen Verteidigungsministerin Ursula von der Leyen anhand von Fotos zu reproduzieren. Auch die Fingerabdrücke von Finanzminister Wolfgang Schäuble wurden vom CCC erfolgreich kopiert. Er hatte nach einer Rede sein benutztes Wasserglas im Raum gelassen. Der Fingerabdruck konnte auf dem Glas gesichert, in eine Plastikform geprägt und erfolgreich reproduziert werden. Auch Iris-Scanner können ausgetrickst werden. Jan Kissler, ebenfalls Mitglied des Chaos Computer Clubs, schaffte es mit Hilfe von Fotos aus dem Internet den Iris-Scanner zu täuschen.

Im Gegensatz zu Passwörtern können gestohlene biometrische Daten im Ernstfall nicht schnell geändert werden. Gestohlene Fingerabdrücke lassen sich vom Inhaber nicht einfach durch neue Finger ersetzen. Hier gilt der Diebstahl sozusagen für immer. Zusätzlich fatal ist es, wenn man z. B. alle Online-Konten mit den gleichen biometrischen Informationen geschützt hat. So werden alle Konten gleichzeitig verwundbar. Weitere Nachteile gegenüber dem klassischen Passwort: Biometrische Daten können nicht klassifiziert, z.B. in geschäftlich oder privat, noch anonymisiert werden. Außerdem ist die biometrische Authentifikation immer an eine teure unternehmensgebundene Hardware verknüpft und somit schwierig, als allgemeingültiger Standard etabliert zu werden. Das Passwort hingegen ist ein „low-tech“ Konzept, sicher, günstig und überall anwendbar.

Manko Anonymität

Heutzutage teilen sich Konsumenten häufig Online-Konten, geschäftlich und privat. Anonym teilen sie sich einen Zugang, z.B. zum Einkaufen, für Video-On-Demand- oder Wissensplattformen. Durch die Verwendung eines Passworts identifiziert sich der Nutzer nicht, sondern authentifiziert sich lediglich für den Zugriff, die Person bleibt anonym. Wird diese Anonymität durch eine eindeutige persönliche Identifizierung, z.B. durch einen Fingerabdruck, aufgegeben, wird die Privatsphäre, die Identität, des Nutzers angreifbar. Bei der Verwendung eines Passworts hingehen muss der Zusammenhang zwischen Passwort und konkreter Person durch den Dieb erst hergestellt und mühsam überprüft werden.

Letztes Jahr sorgte das Unternehmen Paypal mit der „Natural Body Identification“ für Aufsehen. Durch eine Implementation kleiner Sensoren in den menschlichen Körper sollen Passwörter ersetzt werden, die Anmeldung erfolgt dann via Chip. Wie dieser wiederum gestohlen werden kann, kennen wir bisher – und glücklicherweise - nur aus Agentenfilmen.

Kennwortverwaltung für Unternehmen

Enterprise Password Management

Kennwortverwaltung für Unternehmen

28.10.16 - Das Kennwort-Management im Unternehmen ist zu wichtig, um es über ein Excel-Dokument zu erledigen. In diesem Beitrag stellen wir sechs Passwort-Management-Lösungen für Teams, Firmen und externe Mitarbeiter vor, mit der Zugangsdaten sicher gespeichert und verschlüsselt getauscht werden können. Wahlweise aus der Cloud oder für die lokale Installation im Unternehmen. lesen

Die Lösung liegt in der Kombination

Die aufgezählten Nachteile der biometrischen Authentifikation wiegen schwer, per se schlecht ist diese Technik jedoch nicht. Vielmehr gilt es, sie im richtigen Verbund mit anderen Sicherheitstechnologien einzusetzen. Die sogenannte Multi-Authentifizierung, wie es Regierungen und große Unternehmen häufig tun, scheint hier das Nonplusultra zu sein, in dem die sensiblen Daten durch eine Kombination der genannten Authentifikation geschützt werden. Kommt Multi-Authentifizierung nicht in Frage, bleibt ein gut gewähltes Passwort nahezu unschlagbar, es schützt die persönlichen Daten derzeit immer noch am besten. Eine tatsächlich effektive Passwort-Management-Strategie ist jedoch für den einzelnen Menschen schwer umsetzbar.

Abhilfe bieten sogenannte Passwort-Manager-Technologien, die das „Handling“ für den Menschen übernehmen. In den USA längst gang und gäbe, erstellen diese Programme auf Wunsch Passwörter nach dem Zufallsprinzip, übertragen diese verschlüsselt und verwenden für jeden Account eine andere Zugangskombination. Das Passwort als Zugangssystem bleibt, nur der „Fehlerfaktor“ Mensch fehlt – sicherer und anonymer geht es derzeit nicht.

* Alexis Fogel ist Co-Gründer von Dashlane.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44414081 / Passwort-Management)