Die Lösung des Passwort-Problems Starke Authentifizierung im Internet

Autor / Redakteur: Jan Valcke, Vasco / Stephan Augsten

Der digitale Mensch von heute lebt nicht mit einem Online-Account allein: Persönliche Daten sind in der Cloud meist auf einer Vielzahl von Konten gespeichert. Fast alle sind mit einem statischen Passwort „gesichert“ – das bekanntermaßen nicht sicher ist.

Firmen zum Thema

Ein zweiter Faktor bei der Authentifizierung verhindert unerwünschte Zugriffe.
Ein zweiter Faktor bei der Authentifizierung verhindert unerwünschte Zugriffe.
(© Andrea Danti - Fotolia)

Wer sich einmal die Mühe macht, eine Inventur seiner Online-Accounts zu durchzuführen, kommt meist auf eine schwindelerregend hohe Zahl. Privat ist man auf Facebook, hat einen Online-Banking- PayPal-, eBay- und Webmail-Account. Hinzu kommen Informationsportale und nicht zu vergessen die zahlreichen Online-Shops.

Beruflich hat man natürlich den Zugang zum Firmen-LAN, zu XING, zur Kundendatenbank und zu elektronischen Fachzeitschriften. Alles in allem sind das meist 20 oder mehr Accounts – und das sind dann auch nur die, an die man sich noch erinnern kann.

Bildergalerie

Natürlich weiß jeder, dass persönliche Daten wirksam abgesichert sein müssen. Doch gerade in puncto Wirksamkeit stößt man in der Regel schnell an seine Grenzen. Denn bei der Absicherung von Zugängen aller Art wird heute meist noch genauso verfahren, wie zu Beginn des Computerzeitalters: mit Benutzernamen und Passwort.

Das Passwort-Dilemma

Möglichst kompliziert soll das Kennwort sein, rät so mancher „Experte“. Am besten 15-stellig, natürlich mit Zahlen und Sonderzeichen. Möglichst einfach muss es sein, meinen wieder andere, sonst kann man es sich ja nicht merken und muss es irgendwo notieren – vielleicht gar auf einem Klebezettel unter dem Keyboard. Und natürlich regelmäßig ändern nicht vergessen, bei allen Accounts, versteht sich; alles kein Problem – wenn man sonst nichts zu tun hat.

Der durchschnittliche User hat aber meist Wichtigeres tun, als sich um seine Passwort-Sammlung zu kümmern. Dementsprechend wenig kreativ ist er auch bei deren Auswahl: Statistiken belegen, dass man als Hacker mit der nicht eben schwer zu erratenden Kombination „123456“ schon einen Gutteil der Passwort-Absicherungen überwinden kann.

Wer das Geburtsdatum seines potenziellen Opfers kennt, oder weiß, wie dessen Frau oder Wellensittich heißt, hat ebenfalls sehr gute Chancen, auch ohne Brute-Force-Angriff auf den Account zu gelangen. Und hat man erst einmal ein Passwort, stehen meist gleich mehrere elektronische Türen offen, denn bei der Vielzahl der Accounts macht sich kaum jemand die Mühe, jedem ein anderes Passwort zuzuweisen.

Mit den beruflichen Zugängen wird kaum anders verfahren als mit den privaten. Viele Unternehmen zwingen die Anwender zwar dazu, ihr Passwort zum Beispiel alle 30 Tage zu ändern. Dies führt dann aber wieder zu vielen vergessenen Passwörtern, die den Support belasten – oder zu noch mehr Klebezetteln unter dem Keyboard.

Angriffsziel soziale Netzwerke

Man sollte sich nicht darauf verlassen, dass Cybercrime immer nur die anderen erwischt. Denn tatsächlich ist heute nahezu jeder im Netz verwundbarer, als er sich eingestehen will. Hier spielen gerade die sozialen Netzwerke eine entscheidende Rolle. Wer hat nicht mindestens einen Account bei Facebook, LinkedIn oder Twitter?

Die vermeintliche Anonymität der Eingabemasken verleitet dabei so manchen, mehr Informationen über sich preiszugeben, als zum Beispiel in einem persönlichen Gespräch. Über das hohe Missbrauchspotenzial macht sich kaum jemand Gedanken.

Mit der gigantischen Datenbasis der sozialen Netzwerke wollen aber nicht nur Zuckerberg und Co. Geld verdienen. Die Gefahren reichen von digitalem Mobbing über den Verlust von Firmengeheimnissen und Überwachung von Mitarbeitern durch externe Personen bis hin zum Identitätsdiebstahl.Natürlich sind auch hinterlegte Kreditkartendaten oder Sozialversicherungsnummern ein beliebtes Ziel von Hackern und Crackern.

Nicht zuletzt aus demografischen Gründen dürfte der Missbrauch von sozialen Netzen weiter steigen. Studien von Bitkom zeigen, dass 85 Prozent der 14- bis 29-Jährigen aktive Nutzer sind. Gerade diese Bevölkerungsgruppe tritt nun immer stärker ins Berufsleben – und damit auch ins Fadenkreuz der Schattenwirtschaft.

Zahlreiche Angriffsmöglichkeiten

Das Arsenal der Internet-Kriminellen umfasst zahlreiche und immer neue Gemeinheiten. Angesichts einfacher und mehrfach verwendeter Passwörter erfreuen sich Dictionary-Angriffe großer Beliebtheit. Dabei wird versucht, die Sicherungen mit dem Durchprobieren einer Liste der verbreitetesten Passwörter zu knacken.

Solche Listen werden ständig „optimiert“, je nach Land oder angegriffener Zielgruppe. Auch Phishing mit manipulierten Mails oder Umleitungen auf gefälschte Zugangsseiten führen mit schöner Regelmäßigkeit zum Erfolg.

Passwörter werden auch oft von so genannten Keyloggern ausgespäht. Diese registrieren jeden Tastendruck auf dem infizierten Rechner. Noch weiter geht Spyware. Sie protokolliert alle Aktionen auf dem PC und sendet sie an den Hacker, der sie gewinnbringend weiterverkauft.

Gerade im Bereich Spyware konnte in den letzten Jahren ein erheblicher Anstieg der Angriffe beobachtet werden, bei denen zum Beispiel e-Mail-Adressen oder Passwörter ausspioniert werden. Keylogger und Spyware gelangen meist als Trojanische Pferde auf den Rechner – als blinder Passagier praktischer Freeware Tools aus dubiosen Quellen.

Digitale Lauschangriffe werden oft als Man-in-the-Middle-Attacke aus geführt. Dabei klinkt sich ein Hacker unbemerkt in eine Kommunikation ein und kann dann die Nachrichten beider Seiten mitlesen oder gar manipulieren. Dies geschieht meist über eine gefälschte Webseite, ohne dass der Betroffene etwas davon merkt. Statische Passwörter sind gegen einen solchen Angriff wirkungslos.

Strong Authentication schafft Sicherheit

Alle eben geschilderten Probleme ließen sich mit Strong Authentication vermeiden. Dabei wird jedes statische Passwort durch ein dynamisches ersetzt. Strong Authentication wird auch als Zwei-Faktor-Authentisierung bezeichnet, da sie auf zwei Elementen basiert.

Wer sich einloggen will, muss etwas wissen – zum Beispiel einen PIN-Code – und er muss etwas besitzen: eine spezielle Hard- oder Software, die ein Einmal-Passwort (One Time Password, OTP) generiert. Nur wer PIN und Einmal-Passwort eingibt, erhält den Zugang. Dabei ist das Einmal-Passwort immer nur ein paar Sekunden gültig. Es auszuspionieren, ist also für den Hacker vergebliche Liebesmüh.

Verschiedene Arten der OTP-Authentifizierung

Technisch gesehen ist ein Einmal-Passwort das Ergebnis einer kryptografischen Berechnung aus einem geheimen Schlüssel und einem variablen Parameter. Der geheime Schlüssel stellt sicher, dass jedes Hardware- oder Software-Authentisierungs-Device unterschiedliche Einmal-Passwörter generiert, da ja jedes von ihnen mit einem individuellen Schlüssel agiert.

Der variable Parameter gewährleistet, dass ein und dasselbe Device zu verschiedenen Zeiten auch verschiedene Einmal-Passwörter produziert. Das ist wichtig, weil ja bei Strong Authentication für jedes Login ein neues Passwort eingesetzt wird.

Grundsätzlich lassen sich drei Arten von variablen Parametern unterscheiden: Zeit, Zähler oder Identitätsnachfrage, auch Challenge genannt. Im ersten Fall werden Datum und Uhrzeit mit dem geheimen Schlüssel verrechnet und so jederzeit ein individuelles OTP erzeugt. Nutzt man einen Zähler, wird dieser bei jeder Autorisierung um eins erhöht.

In diesen beiden Fällen werden bei jeder erfolgreichen Identifikation der Authentisierungs-Server und die das Einmal-Passwort generierende Hard- oder Software miteinander synchronisiert. Verwendet man die Challenge als variablen Parameter – dies geschieht nur im Banking-Umfeld –, gibt der Anwender eine Zahl ein und erhält eine Antwort.

Gleichzeitig wird die Challenge zurück an den Server geschickt, um zu verhindern, dass sie ein zweites Mal verwendet wird. Die kryptographische Operation ist dabei eine Verschlüsselung: eine Blockchiffre in 3DES oder AES.

Kosten und Aufwand: geringer als angenommen

Menschen tendieren auch bei Passwörtern zur einfachsten Lösung. Kryptische Bandwurm-Kennwörter erhöhen zwar den Support-Aufwand und ärgern den Anwender, können aber das Sicherheitsniveau nicht signifikant erhöhen. All das sind nicht unbedingt neue Erkenntnisse. Statische Passwörter sind prinzipiell unsicher, darüber sind sich die Experten längst einig.

Bleibt also die Frage: Warum ist Strong-Authentication nicht längst die Regel? Die einfache Antwort: weil viele sie immer noch für teuer und kompliziert in der Einführung halten. Von Herstellern wie Vasco Data Security gibt es inzwischen aber Authentisierungs-Server, die sich in jede bestehende Applikation integrieren lassen, ganz gleich auf welchem Datenmodell oder auf welcher Architektur sie basiert.

Auf dem Markt gibt es auch schon Plug-and-Play-Authentisierungs-Server, die die Einführung einer Zwei-Faktor-Authentisierung substanziell vereinfachen. Es werden auch Komplettpakete angeboten, die sämtliche erforderliche Authentisierungs-Hard- und -Software beinhalten.

Cloud-basierte OTP-Authentifizierung

Wer glaubt, die Einbindung und Wartung der Sicherheitssysteme koste ihn dennoch zu viel Mühe, greift am besten zu einer Cloud-Lösung. Dabei wird jede Login-Abfrage auf einen gehosteten Authentisierungs-Server umgeleitet, der die Identitätsprüfung übernimmt. Um die Verfügbarkeit und Skalierung des Systems muss man sich nicht kümmern.

Moderne Komplettangebote wie Digipass as a Service gehen sogar noch einen Schritt weiter und bieten auch die Installation und Aktivierung der Authentisierungs-Devices. Outsourcing macht den dabei den Prozess für den Anwender transparent. Sowohl die Meldungen als auch das Design der Authentisierungsgeräte können der CI des Kunden angepasst werden.

Mit einer Cloud-Lösung kann man sich ganz auf sein Kerngeschäft konzentrieren. Das gehostete System ist praktisch beliebig skalierbar und man zahlt nur die Kapazitäten, die man auch wirklich nutzt.

Standardisierung schafft Akzeptanz

Ein weiterer wichtiger Grund, warum sich Strong Authentication noch nicht auf breiter Front durchgesetzt hat, ist die mangelnde Zentralisierung und Standardisierung. Starke Authentifizierung heißt, der Anwender muss etwas besitzen. Bei geschätzten 20 Accounts wäre das allerdings ziemlich viel.

Der Anwender müsste einen ganzen digitalen Schlüsselbund mit den verschiedensten Hardware-Token mit sich herumschleppen oder entsprechend viele Applikationen auf seinem Rechner oder Handy installieren. Beides würden selbst sicherheitsbewusste Kunden nicht akzeptieren.

Das dürfte einer der Hauptgründe sein, warum zum Beispiel kaum ein Online-Shop Strong Authentication bietet – obwohl öffentlich gewordenen Hacks eigentlich Warnung genug sein müssten. Der erforderliche Aufwand auf Consumer-Seite stünde aber dennoch in keinem Verhältnis zur gefühlten Bedrohung.

Einfaches Shopping auf Kosten der Sicherheit

Wie man es – zumindest aus sicherheitstechnischer Sicht – nicht machen sollte, sieht man an so mancher zentralen Einkaufsplattform. Dort kann man oft einmal seine Bezahldaten hinterlegen und dann in verschiedensten Online-Shops mit einem Klick einkaufen.

Diese Idee eines zentralen Accounts kommt bei Verbrauchen wie Geschäftskunden gut an, da die Prozesse so deutlich vereinfacht werden. Über die Gefahren macht man sich aber zu wenig Gedanken. Letztlich sind selbst derart brisante Accounts meist nur mit einem statischen Passwort abgesichert.

Einen Ausweg aus diesem Dilemma bieten Single-Sign-on-Plattformen, zum Beispiel MyDigipass.com. Diese gehostete Consumer-Plattform kann die Vielzahl der Accounts in einem einzigen Login zusammenfassen. Mit nur einer OTP-geschützten Anmeldung erhält der Anwender einen Zugang zu allen Accounts, die das System unterstützen.

Anbieter und Kunden profitieren

Single-Sign-on-Plattformen bieten sowohl für den Betreiber einer Webseite als auch für den Endkunden viele Vorteile. Die Identitätsprüfung mit MyDigipass.com ist mit wenigen Handgriffen integrierbar. Der Betreiber hat also kaum zusätzlichen Aufwand, kann aber seinen Kunden ein deutlich höheres Sicherheitsniveau bieten.

Der Endkunde kann sich über eine zentrale Authentisierungsplattform freuen. Er meldet sich nur einmal an, anstatt seine Daten, zum Beispiel Name, Adresse und Telefonnummer, wieder und wieder eingeben zu müssen. Er braucht sich auch nicht permanent neue Passwörter auszudenken und diese im Gedächtnis zu behalten.

Wer den Wohnort wechselt, muss seine Adresse nur noch einmal ändern, und alle Accounts sind wieder auf dem neuesten Stand. Zur Generierung des erforderlichen Einmal-Passworts gibt es eine kostenlose Digipass for Mobile App, die der Kunde auf seinem Mobiltelefon installiert.

Wer die Einführung von Strong Authentication aus Kostengründen ablehnt, sollte bedenken, dass der Schaden durch einen Hackerangriff in aller Regel die Kosten für eine vernünftige Authentisierung um ein Vielfaches übersteigt. Starke Authentisierung kann aber nur flächendeckend eingesetzt werden, wenn sie sowohl vom Webseiten-Betreiber als auch von seinen Endkunden akzeptiert wird.

Benutzerfreundliche Server und gehostete Identifikationssysteme machen starke Authentifizierung für jedes Unternehmen erschwinglich und einsetzbar. Single-Sign-on-Plattformen könnten sich schnell beim Kunden durchsetzen. Damit steht einem wirklich praktikablen Sicherheitskonzept kaum mehr etwas im Wege.

Über den Autor

Jan Valcke ist seit 2002 President und COO bei Vasco Data Security in Belgien.

(ID:34899110)