Welt ohne Passwörter: Einloggen soll einfach und sicher werden

| Technologie Technologie

Die Liste der Regeln für gute Passwörter ist lang: Sie sollen etwa möglichst viele Zeichen haben und nicht mehrfach für unterschiedliche Dienste verwendet werden. Das ist vielen Menschen offenbar zu aufwendig oder überfordert sie schlicht.

So führte die Zahlenreihe «123456» auch im Jahr 2021 wieder die vom Hasso-Plattner-Institut jährlich veröffentlichte Top-Ten-Liste der beliebtesten Passwörter an. Aber selbst starke und einzigartige Passwörter können abgefangen oder gestohlen werden.

Und die Anmeldung in zwei Schritten (Zweifaktor-Authentisierung/2FA), bei der neben dem Passwort noch ein zweiter Faktor geprüft wird (etwa ein von einer 2FA-App generierter Code oder der Fingerabdruck), erhöht zwar die Sicherheit, macht Einloggen aber nicht unaufwendiger.

Einfach kein Passwort lautet die Lösung

Für diese Probleme gibt es eine Lösung, die einfach das Passwort selbst überflüssig machen soll. Die Rede ist von Fido (Fast Identity Online), was zu Deutsch so viel wie schnelle Online-Identifikation bedeutet. Fido steht für eine Reihe von IT-Sicherheitsstandards.

Der neueste, Fido 2, soll die sichere, passwortlose Anmeldung bei Online-Diensten ermöglichen. Das Passwort könnte dann ausgedient haben. Aber wie funktioniert das? Wer sich per Fido 2 einloggen will, muss dafür zunächst ein Gerät bei dem jeweiligen Dienst registrieren.

Das geht etwa mit Smartphone, Tablet oder Computer. Bei der Registrierung werden mittels mathematischer Verfahren zwei kryptografische Zeichenfolgen generiert, die zusammen ein Paar bilden: den öffentlichen und den privaten Schlüssel. Den öffentlichen Schlüssel bekommt der Dienst, der geheime Schlüssel wird im Gerät gespeichert, das dadurch zum sogenannten Authentifikator wird.

Signatur funktioniert wie klassische Unterschrift

Wenn man sich nun einloggen möchte, erstellt das Gerät mithilfe des geheimen Schlüssels eine digitale Signatur. Diese kann der Dienst nun durch den öffentlichen Schlüssel auf Authentizität überprüfen.

Im Prinzip funktioniere das wie die klassische Unterschrift auf Papier, erklärt Prof. Markus Dürmuth vom Institut für IT-Sicherheit an der Leibniz Universität Hannover. «Nur ich weiß, mit welchem Schwung ich die Unterschrift schreibe - mit einer Vergleichsprobe kann jeder diese überprüfen.»

Das Verfahren ist im Vergleich zum Passwort sicher, weil der private Schlüssel nur beim Nutzer liegt. Passwörter hingegen sind Geheimnisse, die über Tastaturen eingeben werden: Sie können lokal oder auf dem Weg durchs Netz abgefangen werden.

Zudem werden die Passwörter auch beim jeweiligen Dienst in verschlüsselter Form abgelegt, um das vom Nutzer eingegebene Passwort abgleichen zu können, sagt Dürmuth. Beim Abgleich liege das Passwort kurzzeitig im Klartext vor, was ein Sicherheitsrisiko darstellt.

Fido 2 dagegen bietet sogar noch mehr Sicherheit: Die digitale Signatur beinhalte einen Zeitstempel, sagt Dürmuth. Selbst wenn es Angreifern gelänge, die Signatur abzufangen, könnten sie sie später nicht nutzen.

Spezieller Chip speichert den Schlüssel

Außerdem ist der private Schlüssel, auch Geheimnis genannt, auf den Authentifikator-Geräten sicher: Der Schlüssel wird auf den Geräten in einem sogenannten Trusted Platform Module (TPM) gespeichert, erklärt Jan Mahn vom Fachmagazin «c't». «Das sind Hardware-Chips, die so designt sind, dass sie keinen Ausgang für das Geheimnis haben.»

Der private Schlüssel werde einmal im Gerät berechnet und dort gespeichert. Beim Log-in verlässt nur besagte Signatur das Gerät, nicht der private Schlüssel selbst, so Mahn. TPMs mit Krypto-Chips stecken mittlerweile in den allermeisten Smartphones sowie in neueren PCs und Notebooks. Microsoft hat ein TPM sogar zu einer Voraussetzung für die Installation von Windows 11 auf Rechnern gemacht.

Wer noch einen älteren Rechner oder ein älteres Smartphone ohne TPM hat, kann den privaten Schlüssel aber auch auf Sticks speichern, die per USB (Rechner) oder NFC (Smartphone) verbunden werden. Diese Sticks mit eingebautem Krypto-Chip werden auch Token genannt und können bei Fido 2 nicht nur das Passwort ersetzen.

Stick als Passwortersatz oder zweiter Faktor

Je nach Dienst kann ein USB-Token auch als zweiter Faktor dienen. Ist der Stick am Gerät eingesteckt, muss man nur noch eine PIN eingeben oder sich per Fingerabdruck authentisieren, wenn der Stick einen Sensor dafür hat. Denn auch 2FA ist Teil der Fido-Standards.

Aber was ist, wenn ein Nutzer etwa das Smartphone verliert, auf dem der private Schlüssel liegt? «Die offizielle Empfehlung bei Fido 2 ist es, zwei Geräte zu registrieren», sagt Prof. Dürmuth. Das zweite Gerät muss nicht zwingend ein Smartphone oder Computer sein: Als Backup bietet sich etwa auch ein sicher verwahrter USB-Token an.

Jahn Mahn nennt noch eine Möglichkeit, im Notfall an ein Konto zu kommen: Zahlreiche Dienste geben bei der Registrierung einen Backup-Code aus. Den notiert man sich am besten auf Papier und verwahrt ihn an einem sicheren Ort.

Schlüssel in die Cloud?

Eine relativ neue Idee zur Lösung des Verlust-Problems und für noch mehr Nutzerfreundlichkeit ist es, den privaten Schlüssel zusätzlich in der Cloud, also auf Internet-Servern, zu sichern beziehungsweise ihn auf unterschiedlichen Geräten über das Internet zu synchronisieren. So verfährt beispielsweise Apple bei seiner Umsetzung des Fido-2-Standards.

Grundsätzlich geht durch den Cloud-Weg zwar ein Stück Sicherheit verloren. Doch das sei angesichts der höheren Nutzbarkeit von Fido 2 vertretbar, findet Markus Dürmuth. Die Cloud-Speicher seien zudem besonders geschützt.

Hinter dem offenen und lizenzfreien Fido-Standard steckt die nicht-kommerzielle Fido-Allianz. Viele Unternehmen, Dienstleister und Behörden haben sich darin zusammengeschlossen.

Das haben die Tech-Konzerne vor

Anfang Mai 2022 erklärten Apple, Google und Microsoft gemeinsam, Fido 2 bis 2023 um weitere Funktionen ergänzen zu wollen. Benutzerinnen und Benutzer sollen auf verschiedenen - auch neuen Geräten - automatisch auf die Zugangsdaten zugreifen können, ohne sich für jedes Konto neu anmelden müssen. Zudem soll es möglich werden, sich mit einem Mobilgerät als Authentifikator bei einer App oder Website auf einem anderen Gerät in der Nähe anzumelden, und zwar unabhängig von Betriebssystem oder Browser.

Microsoft hat passwortloses Anmelden bereits etwa für die Outlook-Webversion sowie für sein Spielenetzwerk Xbox Live eingeführt. Es kann in den erweiterten Sicherheitseinstellungen des Microsoft-Kontos aktiviert werden.

Und Dropbox, Google oder Twitter unterstützen Fido 2 zumindest schon als zweiten Faktor per USB-Token, App oder SMS, auch wenn in der Regel nicht von Fido 2, sondern von Sicherheitsschlüssel oder Passkey die Rede ist.

Fido 2 ist so sicher wie seine Umsetzung

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Mitglied der Fido-Allianz. Das Amt bewertet den Fido-2-Standard in vielen Aspekten positiv, wie ein Sprecher der Behörde sagt. Ein echter Sicherheitsgewinn ergebe sich allerdings nur, wenn das Authentifikator-Gerät entsprechend gesichert sei.

Für höhere Sicherheitsniveaus müsse laut BSI zudem unabhängig geprüft und zertifiziert werden, wie der Fido-2-Standard etwa auf einer Webseite implementiert wird. Denn die Sicherheit hänge immer davon ab, wie der jeweilige Anbieter Fido 2 für seinen Dienst umsetzt.

2FA und Passwort-Ersatz aktivieren wo immer möglich

«IT-Sicherheit soll im besten Fall den Angreifer nerven», sagt Jahn Mahn - und Nutzerinnen und Nutzer möglichst wenig. «Fido 2 schafft das, vor allem mit den neuen Implementierungen.» Mit den meisten Android-, iOS- und MacOS-Geräten, aber auch unter Windows sei es mittlerweile sehr einfach, Fido 2 mit bestehender Hardware zu nutzen.

Mahn rät, in den Kontoeinstellungen des jeweiligen Dienstes im Bereich Sicherheit zu prüfen, welche Optionen es gibt, und Fido 2 zu nutzen, wo immer es geht: entweder als Passwort-Ersatz oder als zweiten Faktor. (dpa)


Zurück

Vielleicht auch interessant

IT-Sicherheit spielt im Gastgewerbe eine entscheidende Rolle. Schließlich werden gerade von Hotels enorme Mengen hochsensibler Daten vorgehalten. Wie sich Hotels davor schützen können, hat nun der WatchGuard-Blog verraten.

Die europäische Datenschutz-Grundverordnung ist von ihrem Ziel, einheitliche Datenschutzregeln in Europa zu schaffen, noch ein gutes Stück entfernt. Und das, obwohl die große Mehrheit der Unternehmen die Vorgaben der DSGVO inzwischen umgesetzt hat.

Das IST-Studieninstitut bietet ab November erstmalig die neue Weiterbildung „Digitalisierung in Gastronomie und Hotellerie“ an. Mit dem neuen Kurs greift das Institut ein Trendthema auf und zeigt, wie sich Betriebe digital aufstellen können.

Hacker, die sich auf den Unternehmensservern herumtreiben, der Abfluss von wichtigen Geschäftsdaten oder Ransomware, die Festplatten verschlüsselt: Auf solche Cyberattacken sind viele Unternehmen in Deutschland immer noch unzureichend vorbereitet.

Pressemitteilung

Große Wirkung von Bildern: Wenn es um die Wahl des richtigen Urlaubshotels geht, kommt dem richtigen Content enorme Bedeutung zu. Das Berliner Travel Tech-Unternehmen traffics integriert mit seinem jüngsten Release die Inhalte von GIATA DRIVE.

Die Bahn hat eine neue Buchungsseite online gestellt, die schneller arbeiten, moderner gestaltet und einfacher nutzbar sein soll als die bisherige Seite. Das neue System befindet sich noch im Aufbau, kann aber schon ausprobiert werden.

In Deutschland beschäftigen sich weniger als 10 Prozent der Unternehmen mit Künstlicher Intelligenz. Tech-Experte Simon Sack spricht im Elevatr-Podcast über die Potenziale für den Einsatz von KI in der Hotellerie – von der Guest Journey bis zu den Back of House-Bereichen.

Mit der Entwicklung einer Schnittstelle zwischen ihren Systemen haben die Anbieter für Softwarelösungen für die Hotellerie hotelkit und Betterspace gemeinsam den Weg geebnet, um Prozesse im Hotel zu optimieren.

Deutschlands Unternehmen erkennen die Chancen Künstlicher Intelligenz und sehen zunehmend Vorteile beim Einsatz dieser Technologie – im praktischen Einsatz kommt KI aber kaum voran. Die Unternehmen beklagen vor allem einen Mangel an Fachkräften und Daten. Das

SIDES erweitert seine Software um eine sichere Zahlungsplattform: Ab sofort bietet die All-in-One Gastrosoftware eine vereinfachte, bargeldlose Zahlungsabwicklung im Restaurant, Onlineshop sowie der App. SIDES Pay deckt dabei mit Kredit- und Debitkarten sowie Digital Wallets alle wichtigen Zahlungsarten in einem System ab.