Zur Zukunft der Nutzerauthentifizierung – Passwortverfahren vor dem Aus?

300 Milliarden Passwörter, so der 2022 Cybersecurity Almanac von Cybersecurity Ventures, sind derzeit täglich im Einsatz, um Menschen und Maschinen einen mehr oder minder abgesicherten Zugang zu einer Anwendung oder einem IT-System zu ermöglichen. Eine gewaltige Menge – und ein ebenso gewaltiges globales Sicherheitsproblem. Denn über 80 Prozent aller Cyberangriffe auf Internetanwendungen des vergangenen Jahres, so Verizons 2022 Data Breach Investigations Report, hingen und hängen mit der unrechtmäßigen Entwendung und dem Missbrauch von Anmeldedaten – im Regelfall von Nutzername und Passwort – zusammen. Nicht zwangsläufig müssen die Cyberkriminellen hierzu zeitaufwendige Phishing- oder Spear Phishing-Angriffe unternehmen, müssen sie in den Einkauf von Nutzerdatenbanken im Dark Web investieren. Häufig genug können sie sich einfach auf ihr Glück verlassen. Jedes Jahr gibt das in Potsdam ansässige Hasso-Plattner-Institut die ‚Lieblingspasswörter‘ der Deutschen bekannt. 2021 landete auf Platz 1: ‚123456‘. Gefolgt von ‚passwort‘, ‚12345‘, ‚hallo‘ und ‚123456789‘. Vergleicht man diese Zahlen- und Buchstaben-Kombinationen mit den – annähernd identischen – Erhebungen der vergangenen Jahre, so wird rasch deutlich: es ist nicht sonderlich kompliziert, ‚auf gut Glück‘ erfolgreich die Passwortsicherung eines deutschen Computer-, Laptop-, IPad- oder Smartphone-Nutzers zu knacken.

Dennoch dominiert die Kombination von Nutzername und Passwort inner- wie außerhalb Deutschlands nach wie vor die Authentifizierungslandschaft. Nutzer und Entwickler von IT-Anwendungen sind mit ihnen aufgewachsen, sind es gewohnt, sich Konten mit Passwortschutz anzulegen und sich mit diesen anzumelden. Entsprechend repräsentieren Passwörter in den meisten Anwendungen nach wie vor den Authentifizierungsstandard. Und dies trotz dreier zentraler Nachteile:

• geringe Nutzerfreundlichkeit: Passwörter sind für Nutzer nur schwer zu merken. Häufig müssen sie umständlich notiert werden. Und ihre Eingabe wird oft als störend empfunden.

   

• Hohe Wartungsauslastung: Passwörter müssen von der IT-Abteilung gemanagt werden. IT-Fachkräfte verschwenden einen erheblichen Teil ihrer wertvollen Arbeitszeit mit dem Zurücksetzen von Passwörtern.

   

• Geringe Sicherheit: Cyberkriminellen stehen mittlerweile ausreichend Ressourcen, Tools und Verfahren zur Verfügung, um Passwortverfahren effektiv und effizient auszuhebeln. Dabei kommt ihnen zusätzlich zugute, dass private wie institutionelle Nutzer häufig dazu neigen – aufgrund der geringen Nutzer- und Wartungsfreundlichkeit der Verfahren – freiwillig Abstriche beim Faktor Sicherheit zu machen.

Natürlich können zusätzliche Maßnahmen ergriffen werden, um die Sicherheit von Passwortverfahren zu erhöhen: durch Verlängerung der Zeichenzahl, Verwendung von Groß- und Kleinbuchstaben, Zahlen und Symbolen und nicht im Duden vorkommender Wörter kann die Komplexität eines Passworts – und damit seine Sicherheit – spürbar angehoben werden. Außerdem können Passwörter nach jeder erkannten Datenschutzverletzung geändert, für jede Anwendung neu ausgewählt und von automatisierten Management-Tools erdacht, gespeichert und eingesetzt werden. Proaktiv können Nutzer im Internet recherchieren, ob ihr Passwort kompromittiert wurde. Entsprechende Tools stehen längst zur Verfügung. Und schließlich besteht die Möglichkeit, Passwortverfahren – im Rahmen einer 2- oder auch Multi-Faktor-Authentifizierung – durch Ausstattung mit einem zusätzlichen Faktor sicherer zu machen. Das Problem: all diese Maßnahmen erhöhen zwar die Sicherheit des Verfahrens – machen es Angreifern also schwerer, das Passwort zu knacken – erschweren es am Ende aber eben auch den Nutzern, das Verfahren zu managen, ihre Passwörter im Griff zu behalten. Nicht selten enden die ‚Optimierungsbemühungen‘ dann damit, dass die Nutzer aus Bequemlichkeit – um die Nutzerfreundlichkeit anzuheben – doch wieder zu leichter zu merkenden Passwörtern oder der Nutzung eines Passworts für mehrere Anwendungen zurückkehren. Kein Wunder, dass eine wachsende Zahl von IT-Spezialisten die Meinung vertritt, dass die Zukunft der Authentifizierung nicht in der Optimierung der Passwort-, sondern in der Implementierung alternativer, passwortloser Verfahren liegt.

Tatsächlich bestehen schon länger effektive Lösungen, mit denen Nutzer sich passwortlos authentifizieren können: über Tokens, Smartcards und Endgeräte, wie Smartphones, über biometrische Verfahren, wie Scans des Gesichts, der Stimme oder des Fingerabdrucks, oder auch Analysen ihres Verhaltens innerhalb eines IT-Systems oder einer Anwendung. Sie alle weisen gegenüber traditionellen Passwortlösungen erhebliche Vorteile auf. Sie:

• sind nutzerfreundlicher, da sich der Anwender nicht mehr umständlich komplexe Informationen merken muss und Zugänge schnell und unkompliziert freischalten kann,

• sind weniger arbeitsaufwendig für die IT-Abteilung, da die Zeit, die ihre Mitarbeiter in das Management der Passwörter stecken müssen, entfällt und

• machen Angriffe für Cyberkriminelle komplizierter und damit kostspieliger. 

   

Und dennoch: der große Durchbruch blieb ihnen bislang verwehrt. Gegen die Macht der Gewohnheit, gegen den bestehenden Authentifizierungsstandard, konnten sich die Verfahren nicht durchsetzen. Das dürfte sich bald ändern.

Denn zum diesjährigen Welt-Passwort-Tag, dem 5. Mai, hat Google für seine Plattform den baldigen Anfang vom Ende passwortgestützter Authentifizierungsverfahren verkündet. Und nicht nur bei Google tut sich in dieser Hinsicht derzeit einiges. Seit geraumer Zeit arbeiten ‚die großen Drei‘ – Google, Apple und Microsoft – zusammen mit der FIDO Alliance, daran, einen neuen, plattformübergreifenden Anmeldestandard zu implementieren: das ‚Passkey‘-System. Statt auf Passwörter setzen sie dabei konsequent auf passwortlose Alternativverfahren. Nutzer können sich über ein Endgerät mit ihrem Gesicht, ihrem Fingerabdruck oder ihrer Geräte-PIN authentifizieren. Einmal angemeldet, können sie dann Geräte- und Plattform-übergreifend auf ihre Passkeys zugreifen, sich für einen Dienst oder eine App anmelden. Google, Apple und Microsoft haben sich verpflichtet, die Lösung bis Ende 2023 in ihre Plattformauthentifizierung zu integrieren. Die globale Authentifizierungslandschaft wird dieser gemeinsame Schritt – davon ist auszugehen – nachhaltig prägen. Nutzer werden sich rasch an die unkomplizierte, schnelle und vor allem einmalige Authentifizierung gewöhnen. So ist davon auszugehen, dass den ‚großen drei‘ schon bald Internet-Dienste und Anwendungs-Entwickler folgen werden – weg vom Passwort-, hin zum Passkey-System oder einem vergleichbaren passwortlosen Verfahren. 

Bis zum endgültigen Ende des Passworts wird es dann zwar noch eine geraume Weile dauern, doch wird es sich zweifellos um einen überschaubaren Zeitraum handeln. Die Zukunft der Authentifizierung, soviel kann schon heute gesagt werden, sie wird in passwortlosen Verfahren liegen.