Passwörter – noch zeitgemäß oder Auslaufmodell?

Mal wieder ein „weg mit dem Passwort“-Beitrag?

Klare Antwort: Nein, dies wird kein Standpunkt der Art „Passwörter sind überflüssig, stattdessen her mit den modernen Alternativen“. Eine solche Entweder–oder-Diskussion halte ich für unzeitgemäß, nicht das Passwort als Authentisierungsfaktor an sich. Die mit unberechtigten Zugriffen bis hin zu Identitätsdiebstahl verbundenen Risiken sind mit zunehmender Digitalisierung viel zu hoch für so einseitiges Denken. Die Möglichkeiten der Angreifer werden ja ebenfalls kontinuierlich besser. Was heute z.B. an Deepfakes möglich ist, hat sich vor Jahren wohl kaum jemand als realistisch vorgestellt.

Persönlich hänge ich dabei nicht an „Login + Passwort“. Ob es akzeptabel handlich, etwas lästig oder eher unpraktisch ist, hängt von konkreten Rahmenbedingungen ab. Beispiel Passwort-Eingabe: An einer externen PC-Tastatur oder an der integrierten Notebook-Tastatur ist ein geeignet langes Passwort kein Problem. Auf einer Touch-Tastatur am Tablet wird das schon anders, da kommt es etwa auf den Winkel beim Treffen an. Ein hinreichend langes und komplexes Passwort an einer eher winzigen Smartphone-Tastatur korrekt und zügig einzugeben ist eine echte Herausforderung. Hier fragt man sich schon am ehesten: Muss das sein?

Am Smartphone ist da eine andere, etwa eine biometrische „Eingabe“ deutlich angenehmer. Neuere verfügbare Technik macht das zunehmend möglich. Früher reine SciFi-Phantasien, wie bei Star Trek die Computersteuerung durch eine per Stimme authentifizierte Person, sind jetzt Tastatur-lose Varianten über aktuelle integrierte Kameras bzw. Mikrofone machbar.

Auch hier zahlt man natürlich einen Preis, und den muss man für sich mit der Handhabung von Passwort-Qualität und -Management vergleichen: Kosten für die geeignete Ausstattung, Sauberhalten der Kamera, Akku-Management usw. Selbstverständlich muss das Prüfverfahren hinreichend sicher und pannenfrei realisiert sein. Bei Regeln zur Passwortgüte kann man da noch selber die eigene Wahl einschätzen. Bei biometrischen Prüfverfahren sind Technische Richtlinien des BSI, geprüfte Standards etc. als Basis nötig. So etwas muss bzgl. Spezifikationen und Realisierung reifen. Man muss sich bezüglich der erreichten Güte auf Experteneinschätzungen und Empfehlungen wie vom BSI verlassen.

Insgesamt: Schwarz-Weiß-Malerei bringt bei einer Abwägung „wann nimmt man was“ nichts.

MFA, und was kombiniert man dabei – das ist die richtige Entscheidungsfrage

Entsprechend sollte man Presseartikel oder News vom BSI genauer lesen und bewerten. So überschreibt das BSI etwa die Veröffentlichung https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html provokativ mit „Schafft die Passwörter ab?!“. Tatsächlich wird erläutert, dass Passkey als hinreichend sichere Alternative zum Passwort in Erwägung gezogen werden kann, und wie das grundsätzlich funktioniert. Vorteile, die Passkey gegenüber dem „Kopfwissen“-Faktor Passwort haben kann, werden genannt. Es wird jedoch auch auf die Notwendigkeit hingewiesen, den Zugang zum Passkey mit einer ergänzenden Vorkehrung gut zu schützen. Außerdem wird Passkey als ein Baustein in Richtung praxistauglicher Sicherheit eingeordnet. Eine Tendenz der Art „so wird Passkey das Passwort verdrängen oder sogar überflüssig machen“ findet man nicht.

Der Begriff „Baustein“ ist auch konsequent verwendet: In einer ähnlich aktuellen Veröffentlichung https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html gibt das BSI eine deutliche Empfehlung ab, bei Online-Diensten nach Möglichkeit Zwei-Faktor-Authentisierung zu nutzen. In so einem 2-Komponenten-Ansatz könnte dann, wenn vom Provider unterstützt(!), z.B. Passkey eine Komponente werden, statt Passwort. Die wichtigere Botschaft ist jedoch: Man sollte sich bei Authentisierung in bedeutenden Fällen nicht nur auf einen Faktor verlassen.

Auf Basis von mehr als 20 Jahren der Beschäftigung mit Sicherheitsthemen kann ich da nur zustimmen. Sich auf eine einzige Sicherheitsidee zu verlassen, ist immer riskant. Nachträglich erkannte Schwachstellen in Algorithmen und Protokollen, Schwächen bei konkreten Implementierungen, ungünstige Werkseinstellungen usw. kommen immer wieder vor. Das wird auch so bleiben. So etwas ist nicht reine Nachlässigkeit der Schöpfer solcher Lösungen. Kontinuierliches Dazulernen ist notwendiger Teil der Sicherheitspraxis. Außerdem: Selbst eine gute Sicherheitslösung kann angreifbar werden durch naiven oder leichtsinnigen Umgang damit. Witze der Art „die schlimme Schwachstelle an der Tastatur“ werden nie zu Ende erzählt sein.

Fun Fact:
Der in zeitgemäßen Sicherheitskonzeptionen typische Ansatz zur Kombination mehrerer technischer und organisatorischer Maßnahmen ist alles andere als eine moderne Idee. Das kannte man ebenfalls schon bei Star Trek etc. Echten Trekkies werden schnell Szenen einfallen, bei denen wichtige Kommandos mehrfach gegen Missbrauch geschützt wurden, z.B.: Aktivierung / Deaktivierung der Selbstzerstörungs-Prozedur eines Raumschiffes nur gemeinsam durch zwei korrekt per Stimme authentisierte Personen. Diese mussten dann zusätzlich noch einen persönlichen Autorisationscode aufsagen. Als Sicherheitsspezialist erkenne ich hier sogar Mehrfaktorauthentisierung (MFA) in Verbindung mit Vier-Augen-Prinzip. Warum wurde das im Drehbuch so konstruiert? Für den dramatischen Effekt „gelingt eine Abschaltung nach Wegfall des Grunds schnell genug, ehe alles explodiert?“ hätte die Abstützung auf zwei Personen gereicht. Mein „Verdacht“: Hier waren Drehbuchschreiber aus den 1990er Jahren bzgl. Vorsichtsprinzip = Risikostreuung instinktiv ihrer Zeit deutlich voraus.

Meinung: Login und Passwort – eine Komponente für den modernen Werkzeugkasten

Begreift man MFA beim Schutz wichtiger Informationen als notwendig, folgt man dem strategischen Ansatz der Risikostreuung bzgl. der vor dem Zugriff notwendigen Authentisierungsinformationen. Ich nehme noch die Aspekte User-Akzeptanz, Kosten für die Ausstattung und Verhalten von Providern, IT-Betreibern usw. bzgl. der angebotenen Methoden hinzu. Das führt mich zu folgender Einschätzung:

Mit anderen modernen Faktoren zusammen bleibt eine Passwortabfrage eine sinnvolle Option zur Bildung praxistauglicher und genügend sicherer Kombinationen.

Das Smartphone wird so nicht zwangsläufig zu einem entsprechend teuren „digitalen Fort Knox“, das alle Authentisierungsschätze verwahrt. Login + Passwort sind mindestens als Einstiegsfaktor und als Fallback noch nützlich, wenn ein alternativer Faktor gerade nicht zur Hand ist. Akzeptanz wird eine weitere wichtige Rolle spielen. Würden sich in absehbarer Zeit tatsächlich alle potenziellen Provider-Kunden oder firmeninternen User vom gewohnten Passwort zu Kombinationen aus immer gleich zwei „moderneren“ Faktoren umstellen wollen? Es ist unwahrscheinlich, dass z.B. auf einen breiten Kundenstamm ausgerichtete Provider da ein Risiko eingehen werden – und schon bleibt die Passwort-Thematik im Sicherheitsalltag erhalten.