Sichere Zugangsdaten sind eine Frage der Perspektive Ist Passwort-Authentifizierung alternativlos?

Autor / Redakteur: Martin Kuppinger / Stephan Augsten

LinkedIn und Yahoo sind nur zwei der ganz großen Fälle, in denen Hacker kürzlich Zugangsdaten ausgespäht haben. Dies lenkt die Aufmerksamkeit wieder einmal auf Sicherheit – oder besser Unsicherheit – von Kennwörtern. Bedeutet das nun das Ende der Passwörter?

Firma zum Thema

Martin Kuppinger: „Viele Passwort-Alternativen mögen sicherer sein, sind aber auch umständlicher.“
Martin Kuppinger: „Viele Passwort-Alternativen mögen sicherer sein, sind aber auch umständlicher.“

Jedwede Vorschläge, dass man auf Kennwort-basierende Sicherheit verzichten sollte, helfen erst einmal wenig. Ganz so einfach geht es leider meistens nicht, wenn überhaupt.

Viele der Alternativen mögen zwar sicherer sein, sind dafür aber auch viel umständlicher. Es bietet sich also an, die Problematik aus verschiedenen Perspektiven zu betrachten.

Da ist zunächst der Benutzer. Kennwörter sind eine Last für den normalen Anwender, wenn er sich bei unzähligen Websites und Anwendungen registriert. Neben den Benutzerdaten muss er dann eben auch einen Benutzernamen und ein Kennwort wählen. Die Tendenz zur Wiederholung kann daher nicht überraschen.

Im Gegenzug sind die Alternativen zur wiederholten Nutzung der gleichen Benutzernamen und Kennwörter auch limitiert: Natürlich kann man unterschiedliche Benutzer und Kennwörter verwenden. Da sich kaum jemand all diese Informationen merken kann, muss man andere Lösungen finden. Man könnte sich also …

  • immer wieder über die „Kennwort vergessen“-Funktion ein neues Kennwort senden lassen. Das ist allerdings lästig und zeitaufwändig.
  • die Kennwörter aufschreiben, sei es auf Papier oder in einer Liste auf dem Computer. Das birgt das Risiko, dass diese Liste in die falschen Hände kommt.
  • die Kennwörter im Browser speichern lassen. Das funktioniert, solange man nicht mit verschiedenen Systemen arbeitet.
  • auf eine lokale Single Sign-On-Anwendung stützen. Nur: Wie schützt diese die gespeicherten Credentials?
  • die Verwendung von Webseiten mit kennwortbasierender Authentifizierung schenken. Und damit die meisten Dienste im Internet.

Die Liste zeigt, dass es kaum eine Alternative zu Kennwörtern gibt. Und jede Alternative ist weniger bequem bis unbequem in der Nutzung und nicht unbedingt sicherer. Letztlich kann der Anwender nur versuchen, die größten Risiken zu vermeiden: mit starken und nur einmal verwendeten Kennwörtern für die kritischsten Dienste wie Paypal, mit dem Verzicht auf die Nutzung von Websites, die das vergessene Kennwort auch noch im Klartext zurückliefern oder der Verwendung von stärkeren Authentifizierungsfunktionen, sofern diese angeboten werden.

Klar ist auch: Wenn man sich an einem Dienst anmeldet und mit dessen ID bei anderen authentifiziert, muss das nicht besser sein – zumindest nicht, wenn man dort auch nur Benutzernamen und Kennwort verwendet, selbst wenn das Kennwort ein bisschen stärker gewählt ist. Abgesehen davon: Will man, dass Facebook, Twitter oder derartige Dienste potenziell mitbekommen, welche anderen Anwendungen man noch verwendet?

Standards lassen auf sich warten

Die zweite Perspektive ist die des Dienstanbieters. Hier liegt natürlich die Forderung nahe, stärkere Mechanismen zur Authentifizierung einzuführen. Nur: Wenn diese nicht genutzt werden, bringt das auch nicht viel. Die Nutzung von Logins anderer Dienstanbieter wie eben Facebook, Twitter oder LinkedIn ist oft schon aus wettbewerblichen Gründen nicht erwünscht.

Was Dienstanbieter aber in jedem Fall machen müssen, ist ein guter Schutz der Kennwörter. Das Speichern von Zugangsdaten im Klartext ist in jedem Fall ein gravierender Fehler. Wenn diese als Hash abgelegt werden, werden Risiken deutlich verringert.

Außerdem sollten Dienstanbieter Alternativen anbieten, indem sie Standards wie Oath unterstützen oder andere Varianten einer stärkeren Authentifizierung. Eine Herausforderung dabei sind die Kosten. Dienste wie Verisign VIP (Verisign ID Protection) oder andere OTP-Lösungen in Verbindung mit Smartphones versuchen Kosten. Das funktioniert nicht mit jedem Geschäftsmodell. Andererseits hat Sicherheit eben ihren Preis.

Klar ist aber auch: Dienstanbieter sind heute das schwächste Glied in der Kette, wenn es um Sicherheit geht. Zu viele Internet-Plattformen offenbaren gravierende Mängel im Bereich der Sicherheit. Leider sind darunter, wie es die bekannt gewordenen Fälle der vergangenen Monate zeigen, auch viele große Namen.

Standardmäßig in der Breite verfügbare starke Authentifizierungsmechanismen lassen ebenfalls noch auf sich warten – trotz eines elektronischen Personalausweises in Deutschland oder der NSTIC-Initiative in den USA. Und auch hier wird es nicht die eine Lösung geben, die weltweit perfekt funktioniert.

Unternehmen haben es einfacher

Für ein Unternehmen, das die Authentifizierung von Mitarbeitern, Geschäftspartner und auch Kunden gewährleisten muss, stellt sich die Situation dagegen schon etwas anders dar. Hier bietet die Identity Federation oft sinnvoll nutzbare Kopplungsmöglichkeiten zu Geschäftspartnern oder vom Unternehmen genutzten Anwendungen, mit denen erneute Authentifizierungen vermieden werden.

Enterprise Single Sign-On und Web Single Sign-On sind nicht nur etabliert, sondern lassen sich auch zunehmend flexibel mit unterschiedlichen Authentifizierungsmechanismen verbinden, so dass man hier das Konzept der „versatile authentication“ umsetzen kann und unterschiedliche Mechanismen nach Bedarf und für verschiedene Benutzergruppen einklinken kann.

Insgesamt gibt es hier genug Möglichkeiten, um die Probleme in akzeptabler Weise deutlich zu reduzieren; beispielsweise mit einer initialen starken Authentifizierung, die auf Einmal-Kennwort-Generatoren (Hard Token, Smartphone) basiert und Single Sign-On sowie Federation unterstützt.

Passwörter sind nicht überall wegzudenken

Im Ergebnis gilt: Unternehmen können heute, richtig gemacht, auf stärkere Mechanismen der Authentifizierung wechseln, zumindest für Mitarbeiter und Geschäftspartner. Wenn es um die Masse der Kunden geht, bleibt die Balance aus Sicherheit, Kosten, Zeit für die Logistik, Akzeptanz und anderen Faktoren schwierig. Das wichtigste Stichwort hier heißt „versatile authentication“.

Dienstanbieter müssen zumindest dafür sorgen, dass die Kennwörter nicht unverschlüsselt in ihren Systemen liegen und die gesamte Authentifizierung ausreichend gut geschützt ist. Und sie sollten daran arbeiten, stärkere Alternativen und Schnittstellen zu Authentifizierungsprovidern anzubieten. Dies setzt Architekturen voraus, bei denen unterschiedliche Authentifizierungsverfahren flexibel genutzt werden können. Auch hier geht es um „versatile authentication“.

Endanwender können hingegen nur versuchen, die Risiken für sich zu minimieren. Denn die Hoffnung, dass wir schnell allgemein akzeptierte, erschwingliche, einfach verwendbare Verfahren für eine stärkere Authentifizierung haben werden, ist gering.

Natürlich muss das Ziel lauten: Wenige Verfahren für die Endanwender. Und flexible Architekturen bei Unternehmen und Kunden, mit denen sie diese Verfahren einbinden können. Aber bis dahin ist es noch ein langer Weg. Die gleichermaßen einfache und perfekte Lösung für das Kennwort-Dilemma gibt es aber nicht, gleich was Anbieter versprechen mögen.

Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance ) und Cloud Computing beschäftigt.

(ID:34830950)