Eine kurze Geschichte der Authentifizierung Vom Passwort zur Biometrie und darüber hinaus

Autor / Redakteur: Susanne Haase / Peter Schmitz

Zu jedem beliebigen Zeitpunkt finden weltweit Millionen von Authentifizierungsvorgängen statt. Meistens über die Eingabe von Passwörtern. Immer häufiger allerdings auch mithilfe biometrischer Verfahren oder eines einzigartigen, benutzerspezifischen Objekts. Inzwischen authentifizieren sich aber nicht nur Menschen, sondern auch Maschinen, und das in großem Umfang.

Firmen zum Thema

Die Zukunft der Authentifizierung liegt nicht mehr in den Methoden selbst, sondern im dynamischen Management von Identitäten und Authentifizierungsprozessen auf Unternehmensebene.
Die Zukunft der Authentifizierung liegt nicht mehr in den Methoden selbst, sondern im dynamischen Management von Identitäten und Authentifizierungsprozessen auf Unternehmensebene.
(Bild: gemeinfrei / Pixabay )

In ihrer simpelsten Form geht es bei der Authentifizierung um den Nachweis der Identität eines Benutzers. Der einfachste Weg ist es, sich auf ein "Geheimnis" zu einigen, das sich Benutzer und Maschine teilen. Auf diesem Prinzip basiert das probate Passwort. Die Technik der ersten Multi-User-Rechner in Universitäten – im Übrigen die ersten Mikrocomputer, die als Einzelbenutzer betrachtet wurden - brauchte das offensichtlich nicht.

Es dauerte allerdings nicht allzu lange, bis das Passwort an seine Grenzen stieß. Was passiert, wenn ein Passwort gestohlen wird? Wie können wir sicher sein, dass es nicht (zu leicht) zu erraten ist? Was tun wir, wenn Benutzer schwache Passwörter auswählen oder sie vergessen?

Hier hat sich ein ganzer Markt an dedizierten Tools entwickelt, vom Passwortsafe, der es erlaubt, Passwörter sicher auf einem Computer zu speichern, über Hardware-Sicherheitsmodule (HSMs) oder elektronische Boxen, die zufällige Passwörter generieren, bis hin zu Single Sign On (SSO)-Optionen, die mit einem einzigen Passwort eine Verbindung zu verschiedenen Anwendungen bezüglich des Authentifizierungsprozesses herstellen. Unternehmen haben begonnen, diese Tools und Technologien zu nutzen und eigene Passwortrichtlinien zu erstellen.

Solange Passwörter sich sozusagen auf die Räumlichkeiten des Unternehmens beschränkten, war es kein Problem eine breite Palette von Lösungen zu verwalten. Doch das Web hat seine Schleusen geöffnet, und damit werden die Dinge zusehends komplexer: Millionen von Benutzern haben die Möglichkeit auf Zehntausende von Online-Diensten zuzugreifen. Und alle brauchen ein Passwort. Datenbanken mit mehreren Millionen gespeicherter Passwörter sind anfällig für Angriffe und können gehacked (wie gerade in jüngster Zeit wieder geschehen) und Identitäten gestohlen werden. Cyberkriminelle haben schnell erkannt, dass Internet-Benutzer der Einfachheit halber oft genug ein und dasselbe Passwort bei verschiedenen Konten wiederverwenden. Damit verschärft sich das Problem zusätzlich.

Kurz gesagt, das Internet hat deutlich gezeigt, dass die Ära des Passworts ihrem Ende zugeht.

Ist das wirklich der Fall? Die Realität sieht ganz offensichtlich anders aus. Denn das Passwort hat immer noch zwei große Vorteile: seine Benutzerfreundlichkeit und die relativ einfache Implementierung. Nichtsdestotrotz suchte das Internet-Ökosystem nach Alternativen. Mit dem Entstehen der sozialen Netzwerke haben insbesondere einige Web-Giganten versucht, einen gemeinsamen Authentifizierungsstandard aufzustellen. Der sollte es jedem Kontoinhaber in einem sozialen Netzwerk erlauben, damit auch bei anderen Websites zu authentifiziert zu werden - das Prinzip, Identitäten mithilfe von Standards wie OAuth zusammenzuführen. Das Problem ist damit zwar nicht vollständig gelöst, aber die Vorgehensweise kommt der Benutzerfreundlichkeit zugute.

Gleichzeitig entwickelte sich die Multi-Faktor-Authentifizierung, die immer noch als eines der effektivsten Mittel gilt, um Passwörter zu verstärken. Der Benutzer erhält einen sehr kurzlebigen Validierungscode oder ein Einmal-Passwort (One Time Passcode, OTP) z.B. per SMS zugeschickt. Das stellt sicher, dass ein Angreifer, selbst wenn das Passwort gestohlen würde, keinen Zugriff auf das zugehörige Handy hat und den Authentifizierungsprozess nicht abschließen kann.

Dies funktionierte so lange, bis man erkennen mussten, dass Textnachrichten nie für Sicherheitsbelange ausgelegt waren. Jetzt verwendet die Branche fast ausschließlich Validierungscodes, die auf der Zeitsynchronisation mit einem Server basieren und auf einem Hardware Device wie RSA SecurID oder mit einer Smartphone-App generiert werden. Smartphone-Hersteller haben es auch (endlich) geschafft, die biometrische Authentifizierung mittels Fingerabdruck- und Gesichtserkennung der breitne Masse der Benutzer bereitszustellen. Damit verfügt immerhin ein großer Teil der Bevölkerung über einen zweiten, wirklich leistungsfähigen Authentifizierungsfaktor. Das Passwort ist noch da, aber es wird durch die biometrische Authentifizierung oder einen einmaligen Validierungscode solide bestätigt.

Es gibt Fortschritte...

Historisch betrachtet hat sich die Branche beim Thema Authentifizierung meistens von Fall zu Fall an veränderte Gegebenheiten angepasst und versucht, die Schwächen des Passworts zu beseitigen. Was noch fehlt, ist ein wirklich moderner Authentifizierungsstandard, der einfach zu verwenden ist, zuverlässig und allen zugänglich. Dieser Standard könnte durchaus FIDO (Fast Identity Online) sein, der in einer Allianz von Technologiegiganten wie Amazon, Google, Facebook, Paypal sowie Visa und Wells Fargo entwickelt wird. Die Anfänge dieser Allianz gehen auf das Jahr 2012 zurück.

Das Ziel von FIDO war es nie, das Verschwinden des Passworts zu besiegeln. Passwörter bleiben durchaus nützlich. Vielmehr geht es darum, die übrigen Optionen zur Authentifizierung genauso anwenderfreundlich zu gestalten und einen problemlosen Wechsel von einer Methode zur anderen zu erlauben.

FIDO unterstützt die Verwendung von Passwörtern genauso wie biometrische Verfahren (Gesichtserkennung und Fingerabdruck), Spracherkennung und Hardware Sicherheitsschlüssel. Heutzutage gestatten FIDO-Lösungen eine starke Authentifizierung auf einer Website oder bei einer App durch das Klicken auf einen mit dem Computer verbundenen USB-Stick, womit man gleichzeitig den Dienst selbst authentifiziert. Was wiederum den jeweiligen Benutzer vor Phishing-Angriffen schützt.

Authentifizierungsmethoden so einfach wie Passwörter – und warum das so wichtig ist

In dem hier betrachteten Zeitraum haben sich die Dinge rasant verändert: Apps werden zunehmend in die Public Cloud migriert, der Perimeter ist allmählich verschwunden, Mitarbeiter arbeiten zunehmend von ungesicherten Netzwerken aus, und nicht selten mit unzureichend geschützten Geräten. Es macht folglich wenig Sinn, eine einzige Authentifizierungsmethode zu favorisieren oder auszuwählen. Unternehmen müssen in der Lage sein, sich dynamisch an den Authentifizierungskontext anzupassen, indem sie die Identität des Benutzers in einer umfassenderen Risikoanalyse berücksichtigen. Dieses Konzept erlaubt es, sich zur richtigen Zeit für die richtige Methode zu entscheiden.

Die Zukunft der Authentifizierung liegt nicht mehr in den Methoden selbst: Die Branche hat mit dem guten alten Passwort Frieden geschlossen und will es nicht mehr um jeden Preis eliminieren. Vorausgesetzt, man hat eine andere Wahl! Die Zukunft liegt vielmehr im dynamischen Management von Identitäten und Authentifizierungsprozessen auf Unternehmensebene, und zwar auf pragmatische Art und Weise. Das Passwort hat sehr wohl noch seinen Platz. Dies zu verstehen und verschiedene andere Unterstützungsmechanismen zu nutzen, die die Sicherheit erhöhen, ist der Weg in die Zukunft.

Über die Autorin: Susanne Haase ist Senior Solutions Architect bei One Identity.

(ID:47021093)