In Hackerforen gibt es riesige Datenbanken, in denen so viele gestohlene Anmeldedaten wie möglich gesammelt werden. Egal, ob man sich für lange, komplizierte Passwörter, Zwei-Faktor-Authentifizierung, Passwortmanager oder Single Sign-On entscheidet, das Passwort bleibt die Achillesferse des Internets. „Passwörter sind von Natur aus unsicher“, erklärt Patrick McBride, Chief Marketing Officer von Beyond Identity.
Heute sind Hunderte von Milliarden Passwörter im Umlauf, und diese Zahl wächst weiter. Laut einer Studie von NordPass gibt es weltweit etwa 4,5 Milliarden Internetnutzer, und jeder von ihnen hat durchschnittlich 100 Passwörter. „Das macht es fast unmöglich, sichere Passwörter zu verwenden, denn man kann sie sich nicht alle merken“, weiß McBride. „Daher sind Passwörter immer unsicher und das schwache Glied für die Datensicherheit fast jeder Organisation.“
Geteilte Geheimnisse
Das Problem mit Passwörtern ist, dass sie „geteilte Geheimnisse“ sind. „Es handelt sich um Daten, die nur den an einem scheinbar sicheren Austausch beteiligten Parteien bekannt sind. Gemeinsamer Austausch bedeutet aber per Definition, dass mindestens zwei Parteien beteiligt sind. Bei Passwörtern ist eine dieser Parteien eine Software, die das Passwort kennt und es in einer Datenbank speichert, die anfällig für Verlust oder Diebstahl ist“, betont Patrick McBride. Längere, stärkere Passwörter mit Sonderzeichen sind nicht wirksam. Die Passwort-Phishing-Malware, die von Angreifern entwickelt wurde, stiehlt mit Leichtigkeit ein vier- oder vierhundertstelliges Passwort mit Sonderzeichen.
2FA – scheinbar sicher
Die Zwei-Faktor-Authentifizierung (2FA) scheint ein starker Schutz gegen Cyberkriminelle zu sein, denn zusätzlich zu der Frage, wer Sie sind (Benutzername) und was Sie wissen (Passwort), fragt der „zweite Faktor“ auch nach dem, was Sie haben (ein Telefon oder Token). Bei der Anmeldung wird ein Feld hinzugefügt, in das der Nutzer einen Code eingibt, den er per SMS oder über ein anderes Gerät erhält, z. B. einen Code-Rechner von der Bank. „Cyberkriminelle wissen inzwischen, wie sie dies relativ leicht umgehen können, indem sie Anmeldeseiten nachbilden, die von echten Seiten, auf denen die Benutzer den Code eingeben, nicht zu unterscheiden sind“, sagt McBride. „Darüber hinaus ist die Verwendung von 2FA für die Benutzer oft frustrierend. Man muss das Telefon oder den Taschenrechner bei sich haben und manchmal muss man lange auf eine Textnachricht warten.“
Von Passwortmanagern zur Single-Sign-on-Technik
Passwortmanager sind Apps, die besonders starke Passwörter generieren und verschlüsselt speichern. Der Nutzer muss sich also keine Passwörter merken, sondern meldet sich einmal an und die App füllt dann überall die richtigen Anmeldedaten ein. „Passwortmanager wie LastPass und KeePass sind sehr beliebt und das wissen auch die Cyberkriminellen“, erklärt McBride. „Aber wenn ein Passwort-Manager Ihr Passwort in Ihrem Namen in eine Phishing-E-Mail eingibt, spielt es keine Rolle, ob es länger und stärker ist. Wenn es in solch ein Feld eingegeben wird, wird es letztendlich gestohlen werden.“
Single Sign-on (SSO) ist eine Technik, bei der sich der Benutzer einmal anmeldet und dann Zugang zu mehreren Systemen hat. „Dies ist ein guter erster Schritt in Richtung einer benutzerfreundlichen Lösung, da der Benutzer nicht mehr für jede Anwendung ein eigenes Passwort eingeben muss“, sagt McBride, betont aber, dass SSO nicht das zugrunde liegende Sicherheitsproblem löst. Das Sitzungs-Token, das die Authentifizierung für andere Systeme ermöglicht, kann gehackt werden. Viele Sitzungs-Tokens sind außerdem so konfiguriert, dass sie länger als eine Sitzung aktiv bleiben. Auf diese Weise muss sich der User nicht erneut anmelden, wenn er es sie erneut verwendet. „Das ist sehr benutzerfreundlich, aber auch sehr anfällig. Und schließlich sind die Passwörter, die den Zugang zu SSO ermöglichen, oft noch auf Servern gespeichert und somit für Cyberkriminelle zugänglich“, gibt McBride zu bedenken.
Passwörter nützen nichts
Das ernüchternde Fazit von McBride lautet daher: „Machen wir uns nichts vor: Passwörter nützen nichts. Sie führen nur zu Reibungsverlusten und Frustration beim Einloggen, denn wer kann sich schon eine zufällige Folge von 20 Zahlen, Buchstaben und Symbolen merken? Cyberkriminelle kaufen aber diese Dateien und setzen sie für automatisierte Angriffe ein.“
Diese Dateien werden im Übrigen immer größer. Anfang Juni 2021 tauchte in einem Hackerforum die Datei RockYou2021 auf, eine Datenbank mit 8 Milliarden E-Mail-Adressen und Passwörtern von Internetnutzern. Damit handelt es sich um die größte Sammlung gestohlener Passwörter, die bisher zusammengestellt wurde. Sie baut auf der im Februar 2021 veröffentlichten Datei „Compilation of Many Breaches (COMB)“ auf, die 3,2 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern enthält. „Durch Brute-Force-Angriffe probieren Cyberkriminelle in kurzer Zeit Milliarden von Kombinationen von E-Mail-Adressen und Passwörtern aus, bis es klappt“, so McBride.
Die Lösung ist eine neue Art von Authentifikation
Statt halber Maßnahmen und Notlösungen ist ein vollständiger Abschied von Passwörtern die einzige Lösung des Problems, argumentiert McBride: „Es ist Zeit für eine Welt ohne Passwörter. Sie müssen durch eine Lösung ersetzt werden, die mit den von den Mitarbeitern bereits genutzten Anwendungen funktioniert, sich in die aktuelle IAM-Lösung eines Unternehmens integrieren lässt und nicht von Drittanbietern wie App-Anbietern oder SaaS-Providern abhängig ist.“
Laut McBride besteht diese Lösung aus einer neuen Art von Authentifikator, der keinerlei Passwort als Teil des Anmeldevorgangs verwendet und idealerweise asymmetrische Kryptographie einsetzt, so dass es keine gemeinsamen Geheimnisse gibt. „Unsere Lösung bietet eine sichere, standardbasierte und asymmetrische Verschlüsselung für die Authentifizierung. Anstelle eines Passworts stellen wir ein selbstsigniertes X.509-Zertifikat zur Verfügung. Eine App auf den Endgeräten erstellt und verwaltet die Schlüssel, und das ist eine grundlegend andere Art, Benutzer gegenüber Netzwerken und Anwendungen zu authentifizieren“, berichtet McBride.
Beyond Identity integriert seine Lösung mit bestehenden SSO-Anwendungen durch eine geringfügige Konfigurationsänderung. Auf diese Weise werden Anwendungsprobleme, Frustrationen und, was noch viel wichtiger ist, die Risiken von Passwörtern beseitigt, ohne dass sich die Benutzer auf eine andere Weise anmelden müssen, als sie es gewohnt sind. Zudem entfällt die Notwendigkeit einer zentralen Speicherung, was bedeutet, dass Hacker auch nicht auf Unternehmensdaten und -systeme zugreifen können. „Bei unserem Ansatz werden keine Geheimnisse zwischen Benutzern und Administratoren ausgetauscht, weder Passwörter noch biometrische Daten. Es werden auch keine unzuverlässigen und unsicheren Kommunikationskanäle für die Authentifizierung verwendet, wie SMS, Push-Nachrichten oder E-Mail-Links“, „, erläutert McBride. Beyond Identity nutzt stattdessen die Public Key Infrastructure (PKI), TLS und die Hardware-Umgebung auf eine neue Art und Weise. „Damit erhalten Unternehmen das Beste aus beiden Welten: weniger Frustration auf der einen Seite und mehr Sicherheit auf der anderen“, freut sich McBride.