Passwortsicherheit : Das sichere Passwort existiert nicht

Als am 5. Mai der alljährliche Welt-Passwort-Tag gefeiert wurde, sahen sich Sicherheitsexpert:innen aus der ganzen Welt wieder dazu berufen, uns mit allerhand Tipps und Tricks zu überschütten, wie wir das ultimativ sichere Passwort generieren können: Da war die Rede von möglichst langen und starken Passwortphrasen, dem Einsatz von Passwortmanagern, der Warnung, Kennwörter bloß nicht Account-übergreifend einzusetzen und so weiter und so fort. Wir alle kennen diese gut gemeinten Ratschläge. Der Tenor all dieser Empfehlungen ist dabei ganz klar: Wessen Passwort geleakt oder von Hackern geknackt wurde, ist selbst schuld – er oder sie hat sich die ultimativen Tipps wohl einfach nicht zu Herzen genommen.

Doch hier liegt ein Denkfehler, denn das Problem liegt nicht bei den Nutzer:innen, sondern beim Passwort, also der Technologie selbst. Tatsache ist: Ein wirklich sicheres Passwort gibt es nicht und es wird auch niemals eines geben – ganz egal wie lang oder stark dieses auch sein mag. So ist das verpönte 123456 (das wohlgemerkt meistgenutzte Passwort der Deutschen) nicht unbedingt unsicherer als die eine augenscheinlich starke Phrase wie „BeyondId.22,MFA!PSSWisdead“?

Passwortmanager und Sonderzeichen: Gefühlte Sicherheit

Doch warum ist das so? Der Ruf nach möglichst komplizierten Passwörtern beruht letztlich auf der falschen Annahme, dass Angreifende Passwörter durch schlichtes Ausprobieren knacken, etwa mittels der Brute-Force-Methode, bei der wahllos verschiedene Buchstabenfolgen oder Zeichenketten automatisiert ausprobiert werden. Tatsächlich greifen Cyberkriminelle bei ihren Angriffen jedoch meist auf Passwörter zurück, die sie aus schlecht verschlüsselten Datenbanken gestohlen, im Dark Web gekauft oder über Phishing-Mails direkt bei ihren Opfern abgegriffen haben. In diesen Fällen ist es aber vollkommen egal, ob ein Passwort 4 oder 40 Zeichen lang ist, irgendwelche Sonderzeichen enthält oder für mehrere Accounts genutzt wird.

Ähnlich verhält es sich mit der Empfehlung von Passwortmanagern, die eigentlich auch mehr ein Gefühl von Sicherheit vermitteln, anstatt echte Sicherheit zu gewährleisten. Das liegt auch daran, dass diese Tools Anmeldeformulare oft automatisch ausfüllen und Cyberkriminellen damit in die Hände spielen. Zum anderen sind Passwortmanager nicht selten selbst durch ein Passwort abgesichert, was wiederum ein Einfallstor für Missbrauch bedeutet.

Sensible Konten, wie etwa Banking-Accounts, werden ob der eben genannten Risiken daher nicht selten mit einer Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung (MFA) abgesichert. Dies ist meist ein herkömmliches Passwort in Kombination mit einer weiteren Authentifizierungsmethode wie zum Beispiel einem SMS- oder Push-Link. Wirklich geschützt werden unsere Daten auch hier nicht, denn auch Link- und Push-Benachrichtigungen sind äußerst anfällig für Social Engineering und andere Angriffstechniken. Letztlich wird also nur eine angreifbare Authentifizierung an eine andere gereiht, was Hacker sicher nicht erfreut, aber auch nicht von ihren lukrativen Vorhaben abhält.

Tech-Giganten gehen in die passwortlose Zukunft

Die Risken, die mit dem Gebrauch von Passwörtern einhergehen, sind bei Weitem nicht neu, und doch hat die Technologiebranche viel zu lange an dieser veralteten Authentifizierungsmethode festgehalten – und tut es teils noch immer. Umso erfreulicher ist da die kürzliche Verlautbarung der drei Tech-Giganten Apple, Google und Microsoft, die zukünftig auf eine gerätebasierte Authentifizierung setzen wollen und damit einen wichtigen Schritt in Richtung passwortloser Zukunft gehen. So könnte laut Google unser Smartphone schon bald der Generalschlüssel für all unsere Konten werden. Wer sich auf dem Handy einloggt – z.B. über eine biometrische Gesichts- oder Fingerabdruckerkennung, aktiviert im selben Moment auch ein verschlüsseltes Token, den sogenannten Passkey. Über diesen „Schlüssel“ loggt sich der User dann bequem auch in sämtliche andere Accounts ein – ohne dass er auch nur ein einziges Passwort eingeben muss und Hackern damit eine Angriffsfläche bieten würde.

Mit diesem Vorhaben sind die drei Techkonzerne zweifellos auf dem richtigen Weg, doch auch andere Technologienanbieter müssen verstehen, dass es Zeit ist, sich von sämtlichen Authentifizierungsmethoden, die auf einem Passwort beruhen, zu verabschieden. Eine MFA, an der sich Hacker die Zähne ausbeißen, kombiniert verschiedene „un-phishbare“ Authentifizierungsfaktoren. Hierzu zählt erstens eine lokale Biometrie, die eine eindeutige Identifizierung der Benutzeridentität ermöglicht. Zweitens sollten kryptografische Schlüssel zum Einsatz kommen, die an ein Gerät und einen Benutzer gebunden sind, und so Einblicke geben, wer oder was auf Netzwerkressourcen zugreift. Und drittens sollte es Sicherheitsprüfungen auf Geräteebene geben, die ein Gerät auf potenzielle Schwachstellen und Probleme überprüft und Zugriff dementsprechend gewährt, einschränkt oder sperrt. So könnte beispielsweise geprüft werden, ob alle Sicherheitsupdates installiert sind oder ob das Gerät in irgendeiner Weise verändert wurde.

Bei all dem darf aber auch Benutzerfreundlichkeit nicht aus den Augen verloren werden, denn je höher der Aufwand für eine sichere Authentifizierung ist und je benutzerunfreundlicher der Vorgang, desto größer ist die Gefahr, dass die genervten Nutzer die sicheren Lösungen zu umgehen versuchen. MFA-Lösungen sollten deshalb, so weit es geht, im Hintergrund arbeiten und nur dann sichtbar werden, wenn es notwendig ist, also wenn sichergestellt werden muss, dass der Benutzer oder die Benutzerin derjenige oder diejenige ist, der er oder sie vorgibt zu sein, oder andere Sicherheitsprüfungen fehlschlagen.

Das Passwort wurde schon oft totgesagt. Dennoch ist es nach wie vor die häufigste Authentifizierungsmethode. Doch seien wir ehrlich, es ist Zeit, dem Passwort endlich den Totenschein auszustellen.

Patrick McBride ist Chief Marketing Officer bei Beyond Identity, einem Anbieter passwortloser Authentifizierungsmöglichkeiten.