FIDO Passkeys 1 – In Zukunft ohne Passwort
Der Mensch ist ein Gewohnheitstier und tut sich mit Veränderungen bekanntlich sehr schwer. Nach der jahrelangen passwortbasierten Authentifizierung, die wir alle kennen, steht nun eine Neuerung bevor: Die passwortlose Authentifizierung mittels sog. "Passkeys". Das ist neu – und gegenüber allem Neuen hat der Mensch erst mal Vorbehalte und vielleicht auch Angst davor. Ich möchte in dieser kleinen Artikelserie durch Auf- und Erklärung die Angst vor dem Neuen, Unbekannten nehmen und ein wenig Licht ins Dunkel bringen. Was ist, was wird kommen, was wird uns erwarten und warum das alles? Lasst uns anfangen!
Die Sache mit den Passwörtern
Noch immer verwenden wir – auch wir Software-Entwickler:innen – oft das vermeintlich "einfache", weil bekannte Sicherheitsverfahren "Passwort". Schon immer da, überall irgendwie implementiert und von Nutzer:innen mehr oder weniger akzeptiert. Neben Post-its am Monitor gibt es Passwortmanager und wer's noch sicherer haben möchte, der kann ja auch noch eine Authenticator-App für die Generierung von OTPs einsetzen. Aber ist das wirklich alles so sinnvoll? Was nutzen wir hier eigentlich? Und woher kommt das alles?
Wie ist die Parole?
Um die vorgenannten Fragen beantworten zu können, müssen wir in der Geschichte etwas zurückgehen. Ein paar Jahre. Viele Jahre!
Geschichtlich findet das Passwort in Form der "Parole" erstmals im 17. Jahrhundert im Kontext des Militärs Erwähnung: Die Parole ist ein militärisches Kennwort, das nur dem Kommandeur einer Abteilung bekannt ist, nicht aber den einfachen Soldaten [1]. Bei Annäherung eines Truppenteils verlangte der Wachposten die Parole vom Kommandeur. Die Parole war also schon vor mehr als 400 Jahren ein "Shared Secret", welches der Kommandeur (Benutzer:in) und der Wachposten (Server) kannte. Und wir machen es heute immer noch so, dass Benutzer:innen ihre persönliche Parole einem fremden Server mitteilen und hoffen, dass er diese vertrauensvoll und sicher speichert. Sowohl der Kommandeur als auch der Wachposten waren schon damals angreifbar, sei es mit mechanischen Mitteln (Folter, Waffen, sprich: "Tools") oder über "Social Engineering" – von Phishing-Versuchen gar nicht zu reden ("Ich zieh' mir mal eine Rüstung vom Gegner an" – auch der "Hauptmann von Köpenick" lässt grüßen...)! Gleiches gilt heute noch für Benutzer:innen und Anbieter/Server.
Einzelne Anwender:innen zu manipulieren ist für Angreifende natürlich aufwändiger und schwerer, als eine Liste mit Passwörtern von einem Server abzugreifen. Leider ist dies immer noch möglich und leider sind immer noch zu viele Passwörter auf zu vielen Servern schlecht oder gar nicht gehasht gespeichert, also im Klartext "einsehbar". Diese Listen landen dann auf Marktplätzen im Darknet und sind für mehr oder weniger jedermann zu kaufen. Verschlimmert wird das dann noch dadurch, dass die Mehrheit der Nutzer:innen nur ein einziges Passwort für viele unterschiedliche Websites verwenden. Hat ein:e Angreifer:in also das Passwort von einer Seite, hat er/sie möglicherweise auch das Passwort zu zahlreichen weiteren Seiten.
Das Konzept des Passwortes für Software-Anwendungen stammt zwar nicht aus dem 17. Jahrhundert, aber ungefähr aus den 1970er Jahren, einer Zeit, als ein:e Benutzer:in eben nur einen einzigen Zugang zu einem einzigen System, meist dem im Unternehmen des Arbeitgebers, hatte und sich auch nur dieses eine Passwort merken musste.
Laut einer Umfrage hatten User 2017 bereits durchschnittlich 78 Online-Accounts [2]. Heute dürfte die Zahl deutlich höher liegen. Eine nicht-repräsentative Umfrage in meinem direkten Umfeld bringt es im Schnitt eher auf ca. 250-300 Konten, verteilt im Internet, mal mehr, mal weniger genutzt. Nimmt man jetzt die im Darknet erhältlichen Listen von existierenden Online-Accounts, die Anzahl an Konten je Nutzer:in und die wahrscheinlich eher geringe Varianz an Passwörtern, wird es Angreifenden wirklich leicht gemacht, die Daten – von den Nutzer:innen selbst, aber auch von den Website-Betreibenden, die diese Daten zu schlecht schützen – für ihre Zwecke zu missbrauchen.
123456? Ja, leider immer noch!
Es gibt eine schöne Auswertung der meist genutzten Passwörter [3]. Demnach ist 123456 immer noch das meistgenutzte Passwort – nicht nur in Deutschland, sondern weltweit! Die Nutzer:innen in den USA verwenden auch gerne das berühmte password noch lieber als die Zahlenreihe. Generell sind Zahlen- oder Buchstabenreihen sehr beliebte "Passwörter". Auch Muster, die über das Tippen auf der Tastatur entstehen, z. B. 1q2w3e4r, werden gerne verwendet.
Schauen wir uns speziell in Deutschland um, fallen erwartungsgemäß Varianten wie passwort und hallo ins Auge. Auch Begriffe wie schalke04 sind erklärbar, enthalten sie doch praktischerweise Buchstaben und Zahlen. Solche Kombinationen sollen die Komplexität erhöhen und damit das Erraten von Passwörtern erschweren, was heute aber nur noch bedingt zutrifft. Woher allerdings dennis auf Platz 20 kommt, erschließt sich mir nicht.
Dennoch haben wir bereits gute Anhaltspunkte, wie wir die Passwörter unserer Kolleg:innen möglicherweise herausfinden können. Leider zeigt die Analyse, dass diese Passwörter nicht nur Einzelfälle sind, sondern immer noch gelebter Alltag. Viele Website-Betreiber machen es sich hier recht einfach. Sie schreiben lediglich mindestens achtstellige Passwörter vor und schränken die Auswahl eines guten Passwortes auch noch damit ein, dass bestimmte Zeichen vorgeschrieben oder – leider zu oft gesehen – sogar ausgeschlossen werden.
Dabei sind die beiden einzig sinnvollen und zu mehr Sicherheit führenden Vorgaben für Passwörter:
- Viele Zeichen (ich empfehle Stand heute mind. 16 Zeichen) und
- alle möglichen Zeichen erlauben!
Nur dann wird das Erraten von Passwörtern mittels Brute-Force-Angriffen wirkungsvoll erschwert. Ein bekannter Comic erläutert die Passwortstärke eindrucksvoll [4].
Passwortmanager helfen bei der Erstellung und Verwaltung von unterschiedlichen und sicheren Passwörtern. Leider werden diese immer noch von sehr wenigen Anwender:innen verwendet. Und das, wo doch jeder Browser heute sogar einen eigenen Manager mitbringt, der auch (mehr oder weniger) sicher über die Cloud synchronisiert wird und damit auf allen Endgeräten komfortabel zur Verfügung stehen kann.
Aber MFA...!?
Für Otto Normalanwender:innen (wer ist das überhaupt?) wird es also gefühlt immer schwerer, mit Passwörtern umzugehen, hat doch jede Website andere Anforderungen. Um es "noch sicherer" zu machen, kam irgendwer auf die Idee, dass doch so etwas wie eine Multifaktor-Authentifizierung (MFA) und Einmalpasswörter (One-Time-Password, OTP) eine gute Sache seien [5]. Ohne näher darauf einzugehen, wie genau OTPs funktionieren, ist die grundsätzliche Verwendung von Multifaktor-Authentifizierung (Wissen, Besitz, Inhärenz) zwar eine gute Sache und erschwert den Missbrauch einer passwortbasierten Authentifizierung, verkompliziert aber auch gleichzeitig die einfache Verwendung für o. g. Otto Normalanwender:innen.
Nicht jede:r ist geübt in der Nutzung von Browser, Passwortmanager und Apps zur Generierung eines OTPs. Zusätzlich ist der Einsatz von MFA und OTP auf den wenigsten Websites Pflicht, teilweise noch nicht einmal optional möglich. Damit schieben die Betreiber:innen die Verantwortung auf die Nutzer:innen, die es dann ja einrichten können (falls überhaupt möglich), wenn sie es denn anwenden wollen.
Wie es weitergeht...
Passwörter bzw. eine passwortbasierte Authentifizierung – selbst mit MFA – sind heute also irgendwie keine gute Idee mehr, wenn es um Sicherheit und Einfachheit geht. Prinzipiell kann es bekanntermaßen entweder das Eine ("Sicherheit") oder das Andere ("Einfachheit") geben. Dennoch muss ein guter Kompromiss hinsichtlich Benutzbarkeit gefunden werden, der immer noch ausreichend sicher nach heutigem Wissen und bestmöglich für die Zukunft gerüstet ist.
Ob FIDO Passkeys das leisten, was sie überhaupt sind und wie sie funktionieren, werden wir uns in der kommenden Folge dieser Artikelserie anschauen.
- Wikipedia: Die Parole
- Computerwoche: Die besten Passwort-Manager
- Safety Detectoives: 20 Most Hacked Passwords in 2023: Is Yours Here?
- xkcd-Comic über Passwortstärke
- Wikipedia: Multifaktor-Authentifizierung (MFA)
Wikipedia: Einmalpasswort (One-Time-Password: OTP)