Zum Inhalt springen

News

Passwort-Alternativen: Der Weg in eine passwortfreie Zukunft?

Hand aufs Herz: Aktualisieren Sie regelmäßig Ihre Passwörter? Oder gehören Sie eher zu der Sorte Internetuser, die auf eine Passwort-Langzeitnutzung setzt? Der nationale „Ändere-dein-Passwort“-Tag erinnert Nutzer:innen jährlich daran, dass es nicht nur wichtig ist, sichere Passwörter zu verwenden, sondern diese auch regelmäßig zu ändern. Aber ist das künftig noch nötig?

Eine Person hält ein Smarthone mit dem Bild eines geschlossenen Bügelschlosses auf dem Bildschirm.
01.02.2022 | Essen

Reichen Passwörter als Schutz?

Sei es die Anmeldung am Dienstrechner, das Einloggen fürs Online-Banking oder das Aufrufen eines Kundenprofils – Passwörter begleiten die meisten von uns tagtäglich durch den (digitalen) Alltag. Da ist es kein Wunder, dass viele Nutzer:innen angesichts der Vielzahl an Passwortabfragen, mit denen sie stetig konfrontiert werden, zum einen häufig auf zu einfache Passwörter zurückgreifen, aber auch regelmäßig dieselben Passwörter verwenden. Gleichzeitig reichen – auch vermeintlich sichere – Passwörter heute im Hinblick auf einen Anstieg an Cyberkriminalität alleine nicht mehr aus, um digitale Identitäten und sensible Daten zu schützen.
 

5 Alternativen zum traditionellen Passwort

Der Wandel von traditionellen Passwörtern hin zu einer passwortlosen Authentifizierung schreitet weiter voran. Dabei hat nicht zuletzt auch die verstärkte Remote-Arbeit, bedingt durch die Corona-Pandemie, dem Thema einen weiteren Schub verliehen. Denn ortsflexiblere Arbeitsmodelle benötigen gleichzeitig auch neue IT-Sicherheitskonzepte.

Einige Alternativen, die das klassische Passwort entweder um einen weiteren Faktor ergänzen oder ganz ersetzen, sind dabei heute schon im Einsatz:
 

  • Zwei-Faktor-Authentisierung: Die Zwei-Faktor-Authentisierung kombiniert zwei unterschiedliche Verfahren zum Identitätsnachweis miteinander, um eine doppelt gesicherte Authentifizierung zu ermöglichen. Bekannte Beispiele, die mit der Passwortabfrage einhergehen können, sind ergänzende Bestätigungscodes per SMS, die Überprüfung biometrischer Merkmale oder die Verwendung eines USB-Tokens.
     
  • Biometrische Daten: Retinascanner, Fingerabdrucksensor, Sprach- sowie Gesichtserkennung ermöglichen eine unkomplizierte Authentifizierung mithilfe biometrischer Merkmale. Dabei ersetzen sie auf Seiten der Nutzer:innen das traditionelle Passwort entweder vollständig oder werden im Rahmen der Passwortabfrage zum zweiten Faktor. Das Manko: Passwörter können geändert werden, biometrische Merkmale nicht. Werden diese einmal gehackt, sind Cyberkriminelle prinzipiell für immer im Besitz der sensiblen Informationen.
     
  • Web-Authentifizierung via FIDO: Mit Fast Identity Online (FIDO) hat es sich die FIDO-Allianz zum Ziel gesetzt, die Authentisierung im Internet zu erleichtern und gänzlich passwortfreie Log-ins zu ermöglichen. Das dafür notwendige Werkzeug: Authentifikatoren, wie beispielsweise FIDO-Keys, Wearables oder mobile Geräte, die vom User lokal entsperrt werden müssen. Im Anschluss daran erfolgt eine Authentifizierung, indem der auf dem Authentifikatoren sicher gespeicherte private Schlüssel (Private Key) mit dem öffentlichen Schlüssel FIDO2-Key (Public Key) in der Schlüsseldatenbank des entsprechenden Webservices abgeglichen wird.
     
  • Zero-Login: Zero-Login setzt auf die Nutzung einzigartiger Verhaltensmerkmale, darunter individuelle Tippmuster oder Druck, der auf den Bildschirm oder bestimmte Tasten ausgeübt wird. Ziel ist es, dass entsprechende Devices charakteristische Identifizierungsmerkmale erkennen, die dann zu einer eindeutigen Authentifizierung führen. Weicht ein Verhalten von dem des üblichen Nutzers oder der üblichen Nutzerin ab, fragt das entsprechende Gerät nach einem Passwort oder einer anderen Möglichkeit der Authentifizierung.
     
  • Mikrochip-Implantate: Zugegeben, diese Passwortalternative klingt etwas wie aus einem Science-Fiction-Film. Doch immer mehr Menschen tragen schon jetzt freiwillig Mikrochips unter der Haut, die es unter anderem ermöglichen, sich bei vielen Programmen ohne lästige Passworteingabe einzuloggen.
     

Derzeit lässt sich noch nicht sagen, welche dieser Alternativen sich perspektivisch durchsetzen wird. Unabhängig davon bleibt jedoch ein Problem bestehen: Zwar entfällt für Nutzer:innen unter Umständen die Pflicht zur Eingabe eines physischen Passwortes, die hinter den Verfahren stehenden Daten werden im Backend jedoch häufig auf einem zentralen Server gespeichert, der damit besonders attraktiv für Cyberkriminelle ist. Damit gibt es auch in Zukunft keine Garantie dafür, dass entsprechende Daten vor Hackerangriffen geschützt sind. Unternehmen, die auf eine passwortlose Authentifizierung setzen, sollten diese daher mit einer intelligenten Verwaltung der Zugangsdaten sowie angemessenen IT-Sicherheitsmaßnahmen kombinieren. Zudem können Penetrationstests dabei unterstützen, potenzielle Sicherheitsschwachstellen aufzudecken.
 

Fazit

Aktuell hat der „Ändere-dein-Passwort“-Tag folglich durchaus noch seine Berechtigung. Denn auch wenn die Forschung im Bereich des Access Managements weiter voranschreitet, kommen derzeit an vielen Stellen noch klassische Passwortabfragen zum Einsatz. Hier gilt es also weiterhin, für jeden Account ein eigenes, starkes Passwort zu wählen und dieses zu ändern, sobald es Anzeichen dafür gibt, dass dieses kompromittiert worden sein könnte.