Die Liste der Regeln für gute Passwörter ist lang: Sie sollen etwa möglichst viele Zeichen haben und nicht mehrfach für unterschiedliche Dienste verwendet werden. Das ist vielen Menschen offenbar zu aufwendig oder überfordert sie schlicht.
So führte die Zahlenreihe «123456» auch im Jahr 2021 wieder die vom Hasso-Plattner-Institut jährlich veröffentlichte Top-Ten-Liste der beliebtesten Passwörter an. Aber selbst starke und einzigartige Passwörter können abgefangen oder gestohlen werden.
Und die Anmeldung in zwei Schritten (Zweifaktor-Authentisierung/2FA), bei der neben dem Passwort noch ein zweiter Faktor geprüft wird (etwa ein von einer 2FA-App generierter Code oder der Fingerabdruck), erhöht zwar die Sicherheit, macht Einloggen aber nicht unaufwendiger.
Einfach kein Passwort lautet die Lösung
Für diese Probleme gibt es eine Lösung, die einfach das Passwort selbst überflüssig machen soll. Die Rede ist von Fido (Fast Identity Online), was zu Deutsch so viel wie schnelle Online-Identifikation bedeutet. Fido steht für eine Reihe von IT-Sicherheitsstandards.
Der neueste, Fido 2, soll die sichere, passwortlose Anmeldung bei Online-Diensten ermöglichen. Das Passwort könnte dann ausgedient haben. Aber wie funktioniert das? Wer sich per Fido 2 einloggen will, muss dafür zunächst ein Gerät bei dem jeweiligen Dienst registrieren.
Das geht etwa mit Smartphone, Tablet oder Computer. Bei der Registrierung werden mittels mathematischer Verfahren zwei kryptografische Zeichenfolgen generiert, die zusammen ein Paar bilden: den öffentlichen und den privaten Schlüssel. Den öffentlichen Schlüssel bekommt der Dienst, der geheime Schlüssel wird im Gerät gespeichert, das dadurch zum sogenannten Authentifikator wird.
Signatur funktioniert wie klassische Unterschrift
Wenn man sich nun einloggen möchte, erstellt das Gerät mithilfe des geheimen Schlüssels eine digitale Signatur. Diese kann der Dienst nun durch den öffentlichen Schlüssel auf Authentizität überprüfen.
Im Prinzip funktioniere das wie die klassische Unterschrift auf Papier, erklärt Prof. Markus Dürmuth vom Institut für IT-Sicherheit an der Leibniz Universität Hannover. «Nur ich weiß, mit welchem Schwung ich die Unterschrift schreibe - mit einer Vergleichsprobe kann jeder diese überprüfen.»
Das Verfahren ist im Vergleich zum Passwort sicher, weil der private Schlüssel nur beim Nutzer liegt. Passwörter hingegen sind Geheimnisse, die über Tastaturen eingeben werden: Sie können lokal oder auf dem Weg durchs Netz abgefangen werden.
Zudem werden die Passwörter auch beim jeweiligen Dienst in verschlüsselter Form abgelegt, um das vom Nutzer eingegebene Passwort abgleichen zu können, sagt Dürmuth. Beim Abgleich liege das Passwort kurzzeitig im Klartext vor, was ein Sicherheitsrisiko darstellt.
Fido 2 dagegen bietet sogar noch mehr Sicherheit: Die digitale Signatur beinhalte einen Zeitstempel, sagt Dürmuth. Selbst wenn es Angreifern gelänge, die Signatur abzufangen, könnten sie sie später nicht nutzen.
Spezieller Chip speichert den Schlüssel
Außerdem ist der private Schlüssel, auch Geheimnis genannt, auf den Authentifikator-Geräten sicher: Der Schlüssel wird auf den Geräten in einem sogenannten Trusted Platform Module (TPM) gespeichert, erklärt Jan Mahn vom Fachmagazin «c't». «Das sind Hardware-Chips, die so designt sind, dass sie keinen Ausgang für das Geheimnis haben.»
Der private Schlüssel werde einmal im Gerät berechnet und dort gespeichert. Beim Log-in verlässt nur besagte Signatur das Gerät, nicht der private Schlüssel selbst, so Mahn. TPMs mit Krypto-Chips stecken mittlerweile in den allermeisten Smartphones sowie in neueren PCs und Notebooks. Microsoft hat ein TPM sogar zu einer Voraussetzung für die Installation von Windows 11 auf Rechnern gemacht.
Wer noch einen älteren Rechner oder ein älteres Smartphone ohne TPM hat, kann den privaten Schlüssel aber auch auf Sticks speichern, die per USB (Rechner) oder NFC (Smartphone) verbunden werden. Diese Sticks mit eingebautem Krypto-Chip werden auch Token genannt und können bei Fido 2 nicht nur das Passwort ersetzen.
Stick als Passwortersatz oder zweiter Faktor
Je nach Dienst kann ein USB-Token auch als zweiter Faktor dienen. Ist der Stick am Gerät eingesteckt, muss man nur noch eine PIN eingeben oder sich per Fingerabdruck authentisieren, wenn der Stick einen Sensor dafür hat. Denn auch 2FA ist Teil der Fido-Standards.
Aber was ist, wenn ein Nutzer etwa das Smartphone verliert, auf dem der private Schlüssel liegt? «Die offizielle Empfehlung bei Fido 2 ist es, zwei Geräte zu registrieren», sagt Prof. Dürmuth. Das zweite Gerät muss nicht zwingend ein Smartphone oder Computer sein: Als Backup bietet sich etwa auch ein sicher verwahrter USB-Token an.
Jahn Mahn nennt noch eine Möglichkeit, im Notfall an ein Konto zu kommen: Zahlreiche Dienste geben bei der Registrierung einen Backup-Code aus. Den notiert man sich am besten auf Papier und verwahrt ihn an einem sicheren Ort.
Schlüssel in die Cloud?
Eine relativ neue Idee zur Lösung des Verlust-Problems und für noch mehr Nutzerfreundlichkeit ist es, den privaten Schlüssel zusätzlich in der Cloud, also auf Internet-Servern, zu sichern beziehungsweise ihn auf unterschiedlichen Geräten über das Internet zu synchronisieren. So verfährt beispielsweise Apple bei seiner Umsetzung des Fido-2-Standards.
Grundsätzlich geht durch den Cloud-Weg zwar ein Stück Sicherheit verloren. Doch das sei angesichts der höheren Nutzbarkeit von Fido 2 vertretbar, findet Markus Dürmuth. Die Cloud-Speicher seien zudem besonders geschützt.
Hinter dem offenen und lizenzfreien Fido-Standard steckt die nicht-kommerzielle Fido-Allianz. Viele Unternehmen, Dienstleister und Behörden haben sich darin zusammengeschlossen.
Das haben die Tech-Konzerne vor
Anfang Mai 2022 erklärten Apple, Google und Microsoft gemeinsam, Fido 2 bis 2023 um weitere Funktionen ergänzen zu wollen. Benutzerinnen und Benutzer sollen auf verschiedenen - auch neuen Geräten - automatisch auf die Zugangsdaten zugreifen können, ohne sich für jedes Konto neu anmelden müssen. Zudem soll es möglich werden, sich mit einem Mobilgerät als Authentifikator bei einer App oder Website auf einem anderen Gerät in der Nähe anzumelden, und zwar unabhängig von Betriebssystem oder Browser.
Microsoft hat passwortloses Anmelden bereits etwa für die Outlook-Webversion sowie für sein Spielenetzwerk Xbox Live eingeführt. Es kann in den erweiterten Sicherheitseinstellungen des Microsoft-Kontos aktiviert werden.
Und Dropbox, Google oder Twitter unterstützen Fido 2 zumindest schon als zweiten Faktor per USB-Token, App oder SMS, auch wenn in der Regel nicht von Fido 2, sondern von Sicherheitsschlüssel oder Passkey die Rede ist.
Fido 2 ist so sicher wie seine Umsetzung
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Mitglied der Fido-Allianz. Das Amt bewertet den Fido-2-Standard in vielen Aspekten positiv, wie ein Sprecher der Behörde sagt. Ein echter Sicherheitsgewinn ergebe sich allerdings nur, wenn das Authentifikator-Gerät entsprechend gesichert sei.
Für höhere Sicherheitsniveaus müsse laut BSI zudem unabhängig geprüft und zertifiziert werden, wie der Fido-2-Standard etwa auf einer Webseite implementiert wird. Denn die Sicherheit hänge immer davon ab, wie der jeweilige Anbieter Fido 2 für seinen Dienst umsetzt.
2FA und Passwort-Ersatz aktivieren wo immer möglich
«IT-Sicherheit soll im besten Fall den Angreifer nerven», sagt Jahn Mahn - und Nutzerinnen und Nutzer möglichst wenig. «Fido 2 schafft das, vor allem mit den neuen Implementierungen.» Mit den meisten Android-, iOS- und MacOS-Geräten, aber auch unter Windows sei es mittlerweile sehr einfach, Fido 2 mit bestehender Hardware zu nutzen.
Mahn rät, in den Kontoeinstellungen des jeweiligen Dienstes im Bereich Sicherheit zu prüfen, welche Optionen es gibt, und Fido 2 zu nutzen, wo immer es geht: entweder als Passwort-Ersatz oder als zweiten Faktor. (dpa)
Technologie
