Starke Authentisierung statt Passwortwechsel

Heute, am 01. Februar, ist der „Ändere dein Passwort“-Tag. Wir erläutern, warum dieser Tag kaum noch Existenzberechtigung hat. Außerdem erläutern wir verschiedene für Endanwender praktikable Authentisierungsmethoden samt ihren Vor- und Nachteilen und geben Tipps für eine einfache und trotzdem sichere Authentisierung.

Die Tücken des Passwortwechsels

Der „Ändere dein Passwort“-Tag wurde im Jahr 2012 durch einen Beitrag im US-amerikanischen Technologie-Blog Gizmodo ins Leben gerufen.

Die Logik dahinter: Internetanwender sollten die Passwörter für die von ihnen genutzten Dienste regelmäßig ändern, um weniger angreifbar für Identitätsdiebstahl zu sein. Wenn ein Angreifer ein Passwort erbeutet habe, könne er damit nichts mehr anfangen, nachdem der Anwender sein Passwort geändert hat.

Die zwei Schwachstellen dieses Ansatzes sind offensichtlich. Erstens: der Passwortwechsel setzt erst an, NACHDEM ein Angreifer in den Besitz des Passwortes gekommen ist. Der Angreifer hat ausreichend Zeit bis zum nächsten Passwort-Wechsel, um die Identität des Account-Inhabers zu missbrauchen. Zweitens: mit der zunehmenden Anzahl an Accounts pro Anwender ist es praktisch unmöglich, sich für jeden Account nicht nur unterschiedliche, starke Passwörter zu merken, sondern diese auch noch regelmäßig zu ändern.

Passwortsicherheit – Wie?

Nichtsdestotrotz sind Passwörter nach wie vor die weitverbreitetste Anmeldungsmethode. Ihr Funktionsprinzip ist leicht verständlich, sie erfordern meist keine weiteren Hilfsmittel und sind daher kostengünstig.

Um dabei jedoch ein angemessenes Sicherheitsniveau zu erreichen, sind drei Maßnahmen erforderlich:

  1. Nutzung starker Passwörter
  2. Nutzung verschiedener Passwörter für jeden Account
  3. Ergänzung des Passwortes durch mindestens einen weiteren Faktor

Die Anforderungen an starke Passwörter haben wir in unserem Blogartikel zum Computer Security Day beschrieben. Ein hinreichend starkes Passwort muss NICHT geändert werden, da das „Knacken“ mit zunehmender Länge und Komplexität einen exponentiell ansteigenden Rechenaufwand verursacht und für Angreifer somit unattraktiv wird.

Unser Gehirn ist aber nicht dafür gemacht, sich Passwörter wie „WPGFaJ)eo^S1wLKwP$znyx?Lh\}{,R“ zu merken. Auch die „Kettensatz-Regel“, also das Einprägen der Anfangsbuchstaben von Wörtern eines Satzes, überschreitet bei mehreren verschiedenen Passwörtern schnell ihre Grenzen. Die Folge: für mehrere Accounts wird dasselbe Passwort genutzt. Für Angreifer, welche durch Phishing den Anwender dazu verleiten, seine Anmeldedaten preiszugeben, gleicht dies einem reich gedeckten Tisch. Außerdem ist auch das stärkste Passwort anfällig für Social Engineering, Ausspähen infolge unsicherer Speicherung, „Shoulder Surfing“ oder Keylogger.

Passwortmanager

Die Maßnahmen 1 und 2 lassen sich mit einem Passwortmanager leicht umsetzen. Das ist ein Programm, welches sichere Passwörter generiert und verschlüsselt in einer Datenbank speichert. Merken muss sich der Anwender nur noch ein Hauptpasswort. Kostenpflichtige Lösungen unterscheiden sich von kostenlosen meist dadurch, dass sie das geräteübergreifende Management der Passwortdatenbank cloudbasiert abbilden und damit komfortabler gestalten.

Die Passwortdatei bei kostenfreien Lösungen manuell per USB zwischen den Endgeräten zu synchronisieren ist zwar umständlicher, erfordert jedoch keinerlei technisches Wissen. Wer seine Datenbank nur selten ändert, ist damit gut bedient. Wer bereit ist, ein wenig Zeit zu investieren, kann sich eine cloudbasierte Synchronisierung selbst einrichten. Insbesondere dann, wenn die Passwortdatei an einem zentralen Ort gespeichert und von dort auf die Endgeräte synchronisiert wird, sollte regelmäßig ein Backup davon angelegt werden.

Das aktuelle KDBX 4.0-Datenbankformat nutzt einen sicheren Verschlüsselungsalgorithmus, ist jedoch auf ein starkes Hauptpasswort angewiesen. Dieser Achillesferse sollte durch ergänzende Authentisierungsfaktoren begegnet werden. Deswegen sollte bei der Auswahl des Passwortmanagers beachtet werden, ob Security Keys anwenderfreundlich eingebunden werden können.

Eine geöffnete Passwortdatenbank bietet keinen Schutz gegen unbefugten Zugang über ein entsperrtes Endgerät. Daher sollte in den Einstellungen die Sperrung der Datenbank nach einer bestimmten Inaktivitätsdauer eingeschaltet werden. Außerdem sind auch Passwortmanager anfällig gegen Schadprogramme, die beim Einfügen von Passwörtern in die Anmeldemaske des jeweiligen Kontos die Zwischenablage auslesen.

Nur gemeinsam stark – Mehrfaktor-Authentisierung

„Authentisierungsfaktoren“ sind die verschiedenen Mittel, mit denen ein Anwender seine Identität nachweisen kann. Diese werden unterteilt in die Kategorien Wissen (z.B. Passwörter), Besitz (z.B. Security Key) und Biometrie (z.B. Fingerabdruck).

Jeder Faktor für sich hat Schwächen, die für eine sichere Authentisierung durch mindestens einen weiteren Faktor – am besten aus einer anderen Kategorie – ausgeglichen werden müssen. Als Kompromiss zwischen Sicherheit, Bedienkomfort und Kosten werden in der Praxis meist zwei Faktoren miteinander kombiniert.

Zertifikatsdateien

Einige Anwendungen unterstützen die Erstellung einer Zertifikatsdatei als ergänzenden Authentisierungsfaktor. Ein bekanntes Beispiel ist das ELSTER-Steuerportal. Die Vorteile liegen auf der Hand: eine Zertifikatsdatei ist kostenlos und erhöht die Sicherheit bei richtiger Handhabung deutlich. Allerdings ist dafür ein gewisses Maß an Awareness erforderlich. Die Zertifikatsdatei darf – wie alle Faktoren aus der Kategorie „Besitz“ – nur dem Anwender zugänglich sein. Speziell bei der Nutzung von Zertifikatsdateien in Verbindung mit Passwortdatenbanken ist darauf zu achten, dass die beiden Dateien nur getrennt voneinander zugänglich sein dürfen. Wirklich konsequent lässt sich dies als durchschnittlicher Anwender nur umsetzen, indem eine der Dateien – meist die Zertifikatsdatei – auf einem anderen Speichermedium ohne Datenverbindung zum Speicher der Passwortdatenbank aufbewahrt wird, also zum Beispiel auf einem verschlüsselten USB-Stick. Dies schränkt jedoch bei der Verwendung auf Mobilgeräten den Bedienkomfort enorm ein. Zertifikatsdateien sind somit in der Regel nur für Anwendungen praxistauglich, welche nicht mobil genutzt werden.

Biometrie

Der Komfortgewinn bei der alleinigen Nutzung von Biometrie für die Authentisierung steht außer Frage. Aber geht damit auch immer ein erhöhtes Risiko einher? Die Antwort ist ein klares „Jein“ und zeigt wieder einmal, wie differenziert Informationssicherheitsrisiken betrachtet werden müssen. Grundsätzlich ist eine Authentisierung mit zwei Faktoren – etwa PIN und Fingerabdruck – natürlich sicherer. In typischen mobilen Anwendungsszenarien muss der Anwender aber schnell auf die Anwendung zugreifen und wird mit erhöhter Wahrscheinlichkeit bei der Eingabe der PIN beobachtet, welche vielleicht sogar für andere Anwendungen als einziger Authentisierungsfaktor verwendet wird. In solchen Fällen kann die alleinige Verwendung biometrischer Merkmale sogar praktikabler und sicherer sein.

Einmal-Passwörter (One Time Passwords, kurz OTP)

Neben Biometrie sind OTPs derzeit der gängigste Zusatzfaktor. Hierfür existieren in der Praxis drei verschiedene Methoden.

Eine ist der Versand per SMS. Dieser hat jedoch zwei Schwachstellen. Erstens: Ein Angreifer, der die Mobilfunknummer des Anwenders kennt, kann das OTP leicht abfangen. Wer kann schon die Hand dafür ins Feuer legen, dass seine Telefonnummer keinem Unbefugten bekannt ist, sei es durch soziale Medien oder unerlaubte Weitergabe? Zweitens: Ändert sich die Telefonnummer, muss diese bei allen Diensten umständlich neu hinterlegt werden. Trotzdem ist diese Methode bei vielen Anwendern noch immer beliebt, weil sie ohne nennenswerten Aufwand eingerichtet werden kann. Aufgrund dieser Bequemlichkeit wird sie von vielen Diensten im Sinne einer angenehmen „Customer Journey“ weiterhin angeboten.

Glücklicherweise sind immer mehr Dienste mit OTP-Apps kompatibel. Diese erzeugen nach einmaliger Koppelung mit dem Dienst OTPs, welche standardmäßig 30 Sekunden gültig sind. Die Handhabung ist denkbar einfach: OTP-App installieren, Zweifaktor-Authentisierung im Account aktivieren, QR-Code mit dem Smartphone vom PC-Bildschirm abfotografieren, Backup-Code im Passwortmanager speichern, fertig! Dies erfordert keinerlei spezielle Hardware und ist kostenlos. Bei der Auswahl der OTP-App sollte darauf geachtet werden, dass diese die Möglichkeit bietet, eine verschlüsselte Backup-Datei zu erzeugen. Diese Datei sollte auf einem sicheren Speichermedium, zum Beispiel einem verschlüsselten USB-Stick, gesichert werden. Wird das Smartphone irgendwann ersetzt, kann die Backup-Datei auf dem Neugerät einfach wieder in die App importiert werden. Sofern von der App unterstützt, sollte diese zusätzlich mit PIN, Passwort beziehungsweise Fingerabdruck geschützt werden.

Sowohl für iOS als auch für Android stehen kostenlose OTP-Apps zu Verfügung, welche keine unnötigen Berechtigungen einfordern. Allerdings sind OTP-Apps zwar sicherer als der Versand per SMS, jedoch für eine Kompromittierung des Smartphones und zu einem gewissen Grad ebenfalls für Man-in-the-Middle-Attacken beim Authentisierungsvorgang anfällig. Alternativ existiert eine dritte Variante für die Nutzung des OTP-Verfahrens: Hardware-Token. Auch diese werden einmalig mit dem genutzten Dienst gekoppelt und erzeugen dann auf Knopfdruck auf einem eingebauten Display OTPs. Aufgrund ihres eingeschränkten Funktionsumfanges bieten sie sehr viel weniger Angriffsfläche für eine Kompromittierung des Endgeräts als ein Smartphone. Mittlerweile wurden sie jedoch im Endanwenderbereich weitgehend von OTP-Apps verdrängt.

Security Keys

Im Unterschied zu Hardware-Token, welche nur OTPs erzeugen, bieten moderne Security Keys mannigfaltige Einsatzmöglichkeiten und werden gemeinhin als derzeit sicherster Authentisierungsfaktor angesehen. Die Funktionsweise ist einfach: der Key wird einmalig kryptographisch mit einer Anwendung gekoppelt, per USB oder NFC mit einem Endgerät verbunden und die Authentifizierung per Druck auf einen integrierten Knopf bestätigt. Auch hierbei sind jedoch einige Grundregeln zu beachten, damit aus Sicherheit keine Scheinsicherheit wird.

Die meisten Modelle am Markt verfügen über verschiedene Betriebsmodi und Features. Diese alle zu erläutern, würde jedoch den Rahmen dieses Artikels sprengen. Soviel sei gesagt: der Funktionsumfang geht je nach Modell über die Rolle als sicherer Authentisierungsfaktor für Anmeldeprozesse hinaus und umfasst zum Beispiel auch die Erzeugung und Speicherung kryptographischer Schlüssel für den sicheren Email-Versand.

Viele Anwendungen unterstützen nur bestimmte Key-Fabrikate. Dies sollte bei der Auswahl des Keys berücksichtigt werden. Für den Praxiseinsatz mit Mobilgeräten empfiehlt sich ein NFC-fähiger Key. Einige Modelle bieten einen integrierten Fingerabdrucksensor – grundsätzlich zu empfehlen, jedoch bis jetzt leider ausgerechnet in jenen Keys wenig verbreitet, die mit gängigen Passwortmanagern anwenderfreundlich verwendbar sind.

Gegen entfernte Angreifer entfalten Security Keys eine deutlich bessere Schutzwirkung als Passwörter und OTPs. Im Gegenzug wird es jedoch wichtig, den Key vor Verlust bzw. Diebstahl zu schützen. Vor lokalen Angreifern schützen Security Keys nur als ERGÄNZUNG, nicht als ERSATZ, für andere Authentisierungsfaktoren. Wenn Security Keys, insbesondere solche ohne Fingerabdrucksensor oder PIN, als alleiniger Authentisierungsfaktor genutzt werden, wird der Diebstahl des Keys zur erheblichen Bedrohung für die Account-Sicherheit. Für Security Keys gilt wie für jeden anderen Authentisierungsfaktor aus der Kategorie „Besitz“: Sie sind immer getrennt von demjenigen Gerät aufzubewahren, auf dem die Authentisierung erfolgt. Ein im Laptop steckengelassener Key bietet folglich keine erhöhte Sicherheit gegen unbefugten Vor-Ort-Zugriff, ebenso wenig wie ein Key, der zusammen mit dem Laptop aufbewahrt und gestohlen wird.

Um sich bei Verlust oder Beschädigung des Keys weiterhin einloggen zu können, kann die Anschaffung eines Ersatzkeys erwogen werden, welcher ebenfalls mit den genutzten Anwendungen verknüpft wird. Der Ersatzkey sollte sicher aufbewahrt werden, zum Beispiel in einem Safe mit angemessenem Schutzniveau. Andere Anwendungen bieten die Möglichkeit, Reset Codes für den Fall zu erzeugen, dass der Key verlorengeht. Gegenüber Zertifikatsdateien zeichnen sich Security Keys durch die bessere Praktikabilität aus und gegenüber OTP-Anwendungen durch einen weitaus besseren Schutz gegen entfernte Angreifer. Je nach Fabrikat und Funktionsumfang kostet ein Key-Paar 40 bis 120€.

Fazit

„Die beste“ Authentisierungsmethode gibt es nicht. Um die für den Anwender geeigneten Methoden zu finden, müssen im Voraus die individuellen Anwendungsszenarien sowie die damit verbundenen Chancen und Risiken identifiziert, bewertet und über deren Behandlung entschieden werden – sowohl bei der privaten als auch bei der geschäftlichen Nutzung.

Auch die technisch ausgefeiltesten Lösungen sind nur dann wirklich effektiv, wenn auf Anwenderseite das erforderliche Mindestmaß an Awareness für Informationssicherheit vorhanden ist.

Zum Autor:

Benjamin Günther ist Berater für Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Darüber hinaus verfügt er über langjährige Berufserfahrung im Qualitätsmanagement und ist Qualitätsmanagementbeauftragter für die Norm ISO 9001.