Vasco-Kommentar zur Authentifizierung im Internet Passwortkrieg – alles klar zum Gefecht

Autor / Redakteur: Jan Valcke, Vasco / Stephan Augsten

Verschiedenste Unternehmen – zuletzt auch der Suchmaschinen-Riese Google – haben den Passwörtern den Krieg erklärt. Da werden allerhand biometrische und andere ausgefeilte Authentisierungsgeräte in die Schlacht geworfen. Aber braucht es wirklich so viel neues und schweres Geschütz?

Firmen zum Thema

Mit einem dynamischen Passwort lassen sich diverse Internet-Zugänge absichern.
Mit einem dynamischen Passwort lassen sich diverse Internet-Zugänge absichern.
(Bild: Andrea Danti - Fotolia.com)

Jan Valcke ist President und COO bei Vasco Data Security, Belgien.
Jan Valcke ist President und COO bei Vasco Data Security, Belgien.
(Bild: Vasco)
2012 war das Jahr der geknackten Zugangscodes. Dabei wissen wir nun wahrlich nicht erst seit gestern, dass statische Passwörter unsicher sind. „Hitlisten“ mit den am häufigsten verwendeten Kombinationen kursieren in verschiedensten Medien. Wieder und wieder wird davor gewarnt, dass 90 Prozent aller Passwörter für Hacker angreifbar sind, dass acht Zeichen lange Passwörter nicht ausreichen.

Im Internet lauert der Feind überall. Das ist eigentlich jedem klar, aber keiner glaubt, dass es auch ihn erwischen könnte. Doch getroffen hat es schon viele: Zahlreiche Accounts wurden gestohlen, Unzählige haben schon ihr digitales Leben verloren – zum Glück nur das digitale.

Statische Passwörter sind im Kampf gegen Hacker und Cracker eine stumpfe Waffe: Sind sie zu einfach, können Ganoven sie auch einfach überwinden. Sind sie zu komplex, kann man sie schwerlich im Gedächtnis behalten – sie werden vergessen oder landen auf einem Klebezettel unter der Tastatur. Hier die richtige Balance zwischen Sicherheit und Praktikabilität zu finden, ist mehr als schwierig.

Friendly Fire an allen Fronten

Der durchschnittliche Computeranwender will seine Kreativität nicht dafür opfern, immer neue Passwort-Monster zu erschaffen. Schließlich muss er sich mehrmals am Tag irgendwo einloggen – und er hat Wichtigeres zu tun, als mit ellenlangen Codes zu jonglieren. Stattdessen verwendet man lieber den Namen von Frau, Kind und Hund oder gängige Keyboard-Muster wie etwa den Allzeit-Quotenhit 123456.

Ein und dasselbe Passwort wird für verschiedenste Accounts eingesetzt – und dabei unterscheiden viele Anwender nicht einmal zwischen privaten und beruflichen Zugängen. Damit bietet die Firmen-IT den Hackern nach wie vor eine weit offene Flanke.

Dem Admin im Unternehmen bleibt nur das Sperrfeuer, mit der Anweisung, die Passwörter nach einer festgelegten Zeitspanne (zum Beispiel nach 30 Tagen) zu ändern. Aber die Salve trifft nicht selten auch die eigenen Reihen: Ständig wechselnden Passwörter werden oft vergessen, das Passwort-Management dient als Beschäftigungstherapie für die EDV-Abteilung.

Die Zukunft ist dynamisch

Sollen wir das Passwort also am besten ganz abschaffen? Nein, ganz im Gegenteil. Im Vasco-Hauptquartier ist man nach wie vor davon überzeugt, dass das Kennwort eine Zukunft hat – allerdings nur die dynamische Variante, kurz OTP (One Time Password, Einmal-Passwort). Der Name ist Programm – die Kennwörter gelten nur einmal und auch nur für wenige Sekunden.

Einmal-Passwörter braucht der Anwender nicht selbst zu erfinden. Sie sind das Ergebnis eines Zwei-Faktor-Authentisierungsprozesses. Man muss etwas haben (im Falle der Vasco-Lösung zum Beispiel ein Digipass-Device, mit dem das Einmal-Passwort erzeugt wird) und etwas wissen (zum Beispiel eine PIN oder ein statisches Passwort).

Diese beiden Authentisierungsfaktoren bilden ein schlagkräftiges Team, das nur den rechtmäßigen Besitzer an den Account lässt. Ein digitaler Hinterhalt bleibt erfolglos. Ausspionierte Einmalpasswörter sind für den Angreifer nutzloser Datenmüll, da sie ja nicht ein zweites Mal eingesetzt werden können.

Der Benutzer darf kein Opfer sein

Ein Sicherheitskonzept muss aber auch komfortabel sein, sonst wird es vom Anwender nicht akzeptiert. Eine gehostete Consumer-Plattform wie MyDigipass.com macht es den Kunden einfach. Diese verwendet eine starke Mehrfaktor-Authentisierung für ein sicheres Login.

Eine spezielle Hardware muss sich der Endkunde nicht anschaffen. Er installiert einfach eine kostenlose Anwendung auf seinem Mobilgerät. Diese App übernimmt anschließend die Berechnung der dynamischen Passwörter. Damit muss der Anwender nicht länger eine ganze Litanei verschiedener Passwörter für verschiedene Accounts im Kopf behalten.

Ein einziger Login eröffnet den Zugang zu jeder auf der Plattform registrierten Anwendung. Die privaten Daten braucht man nur ein einziges Mal einzugeben. So ist auch dafür gesorgt, dass Persönliches persönlich bleibt. Name, Geburtsdatum und Wohnort werden nur einmal zentral gespeichert. Sie müssen nicht wieder und wieder eingegeben und nach einem Umzug an zig verschiedenen Orten aktualisiert werden.

Dass nun immer mehr Global Player gegen die Schattenwirtschaft zu Felde ziehen wollen, kann Vasco nur begrüßen. Die Waffen für die „Good Guys“ brauchen allerdings nicht immer wieder neu erfunden zu werden. Single-Sign-on-Plattformen wie MyDigipass.com sind längst einsatzbereit – im Krieg gegen Hacker und Cracker sind wir durchaus kampferfahren.

Über den Autor

Jan Valcke ist seit 2002 President und COO bei Vasco Data Security in Belgien.

(ID:37902660)