Gesichtserkennung und Fingerabdruck-Scans zum Authentifizieren an Geräten sind inzwischen keine futuristischen Konzepte aus James Bond-Filmen mehr. Tatsächlich sieht so aus als könnte sich die Biometrie gegenüber dem ungeliebten kleinen Bruder dem Passwort in absehbarer Zeit durchsetzen. Man kann sich also mit einiger Berechtigung fragen, warum wir immer noch mehr Passwörter verwenden, als wir uns jemals merken können. Und mehr noch hat sich der Hype um den (vermeindlichen) „Tod des Passworts“ bislang nicht bestätigt.
Was die Diskussion rund um das Thema Authentifizierung anbelangt, drängen sich im Wesentlichen drei Fragen auf:
1. Warum benutzen wir immer noch Passwörter, wenn es inzwischen so viele und sichere Alternativen dazu gibt?
2. Wird Biometrie jemals zum Standard für die Authentifizierung werden?
3. Wenn – wovon man im Moment getrost ausgehen kann – Passwörter uns noch ein wenig erhalten bleiben – wie kann man sie wirklich sinnvoll einsetzen?
Warum verwenden wir eigentlich immer noch Passwörter?
Wenn man verstehen will, warum wir uns einfach nicht von Passwörtern trennen wollen, muss man nur einen Blick auf die menschliche Natur werfen. Wir bevorzugen, was bequem ist und wir hassen Veränderungen.
Mit der Erfindung vernetzter Rechner bedurfte es einer Authentifizierungsmethode, damit Nutzer sicher auf Systeme und Daten zugreifen können. Und die einfachste Authentifizierungsmethode für ein System ist das Passwort. Alles was man braucht ist ein Verzeichnis und einige vergleichsweise simple Technologien, um Sicherheit zu gewährleisten.
Das hat dazu geführt, dass die meisten Systeme standardmäßig über Passwörter authentifizieren. In vielen Fällen ist das sogar die einzige Option. Für diejenigen unter uns, die diese Systeme kaufen und einsetzen, waren Passwörter immer gut genug – bis zu dem Zeitpunkt an sie es eben nicht mehr waren. Benutzer sind es gewohnt, Passwörter zu verwenden. Und User haben allerlei Tricks auf Lager, um sie sich zu merken – einer der Gründe, warum Passwörter meist das schwächste Glied in der Sicherheitskette sind. Davon abgesehen sind Passwörter billig, denn diese Art der Authentifizierung ist im Standard der Systeme enthalten.
Wenn man sich hingegen für eine andere Methode entscheidet, die möglichst beides ist, sicherer und dazu bequem, dann bedeutet das Kosten, Verwaltungsaufwand und eventuell unzufriedene Benutzer.
Man darf zudem nicht außer Acht lassen, dass Unternehmen häufig ältere Systeme einsetzen, die sich standardmäßig auf die Authentifizierung über Passwörter verlassen. Der Wechsel zu biometrischen Authentifizierungsmethoden kann viel Geld kosten oder es sind lange Entwicklungs- und Integrationszyklen notwendig. Außerdem erweckt so ein Wechsel oft den Eindruck, dass hier mit Aufwand etwas repariert wird, was ja funktioniert. Nicht zu vergessen, dass sich mit der Vielzahl der sich noch im Einsatz befindenden traditionellen Systemen auch der Aufwand vervielfacht.
Also, warum verwenden wir immer noch Passwörter? Vereinfacht gesagt, weil sie ausreichen. Solange es keine absolute Notwendigkeit, keinen technologischen Durchbruch oder zwingende Vorschriften gibt, werden Passwörter beim Thema Authentifizierung weiterhin ganz oben auf der Liste stehen.
Biometrie, der neue Standard?
Meiner Meinung nach wird Biometrie letztendlich der neue Standard bei der Authentifizierung werden. Allerdings erst dann, wenn genügend Unternehmen Opfer von Passwort-basierten Datenschutzverletzungen geworden sind und die Folgen ausreichend schwerwiegend sind. Dann erst werden Firmen sich gezwungen sehen, stärkere Authentifizierungsmethoden als Passwörter einzuführen.
Ich würde aber mit gleicher Berechtigung behaupten wollen, dass die Multi-Faktor-Authentifizierung sehr schnell zu „einem“ wenn nicht „dem“ Standard werden wird. Auch bei diesem Ansatz, gewinnt Biometrie an Bedeutung. Immer mehr Unternehmen sehen es als notwendig an, den einen Faktor „etwas, das man weiß“ (wie eben ein Passwort) um etwas zu ergänzen, „das man besitzt“ (wie beispielsweise eine Smartcard oder einen OTP-Token) oder in jüngster Zeit vielleicht „etwas, das man ist“ also einen biometrischer Faktor.
Allerdings gibt es eine große Palette aus der Kategorie „etwas, das man besitzt“, die grundsätzlich einfacher zu implementieren sind als biometrische Faktoren, auch in traditionelle Systeme. Daher gehe ich im Moment davon aus, dass zunehmend Einmal-Passwörter (OTP = One Time Password) und Smardcards zur Authentifizierung verwendet werden, und die Biometrie im Verhältnis dazu langsamer an Boden gewinnt.
Die korrekte Antwort auf die Frage, ob Biometrie zum neuen Standard wird, ist vermutlich eher, dass Multi-Faktor-Authentifizierung sehr schnell zu einem, wenn nicht „dem“ neuen Standard werden wird. Und bei einem Bruchteil dieser Anwendungsfälle wird die Biometrie zum Einsatz kommen – zumindest was die nähere Zukunft betrifft.
Wie Passwörter funktionieren
Authentifizierungstechnologien, unabhängig davon, ob es sich dabei um Passwörter handelt oder um biometrische Faktoren, existieren nur mit einem Ziel: den sicheren Zugriff auf Systeme und Daten zu gewährleisten. Da Passwörter uns vermutlich noch eine Weile erhalten bleiben, muss ihr Einsatz dringend verbessert werden. Mit anderen Worten gilt es Wege zu finden, damit Passwörter die ihnen ursprünglich zugedachte Rolle weiterhin erfüllen und im Sinne der Sicherheitsprozesse eines Unternehmens funktionieren. Vor einiger Zeit hat das National Institute of Standards and Technology, NIST, Richtlinien veröffentlicht, die Alternativen zu den strikten Regeln anbieten, die für das Erstellen von starken Passwörtern bisher bindend waren.
Dazu gehört es beispielsweise, längere Phrasen zu verwenden statt einer entstellten Variante des Haustiernamens. Allerdings sind traditionelle Systeme bei der Implementierung alternativer Methoden oftmals nicht ausreichend flexibel. Insbesondere, wenn man eine komplett neuartige Passwort-Policy einrichten will. Trotzdem, es gibt Hoffnung. Hier einige Ideen:
Multi-Faktor-Authentifizierung einführen. Es gibt inzwischen viele verschiedene Möglichkeiten für eine 2- oder 3-Faktor-Authentifizierung. Man hat heutzutage ausreichend Entscheidungsspielraum die Variante auszuwählen, die am besten zum jeweiligen Unternehmen und zur jeweiligen Sicherheitskultur passt. Damit stellen Sie sicher, dass die Nutzer nahtlos auf Systeme und Daten zugreifen und sie ihren Job machen können. Ohne Unterbrechung des Workflows.
Reduzieren Sie die Zahl der verwendeten Passwörter, aber wechseln sie diese häufiger. Etliche der Probleme mit geknackten Passwörtern rühren daher, dass sie leicht herauszufinden sind. Das hat verschiedene Gründe. Etwa die weit verbreitete Gewohnheit Passwörter nicht zu ändern. Oder erfolgreiches Social-Engineering hilft beim Erraten. Ein einzelnes schwer zu erratendes Passwort, das oft geändert wird und überall passt, ist eine Alternative zu den traditionellen mit Schwachstellen behafteten Methoden. Single-Sign-On und die Directory-Konsolidierung sind ziemlich einfache und gängige Technologien, die hier zum Ziel führen.
Nutzen Sie alle Ihnen zur Verfügung stehenden Optionen
Wenn Sie neue Systeme implementieren, stellen Sie sicher, dass sie die Standards unterstützen, die Sie für eine Multi-Faktor-Authentifizierung brauchen. Und sorgen Sie dafür, dass die zugehörige Zugriffs-Policy alle Ihnen zur Verfügung stehenden Optionen berücksichtigt.
So wenig wie der Tod des Passworts eingetreten ist, so wenig wird die Biometrie kurzfristig zum neuen Standard werden. Aber mit der Weiterentwicklung der Authentifizierung wird Biometrie sich ihrerseits langsam in Richtung eines neuen Standards weiter entwickeln. Man sollte sich durchaus auf eine Welt ohne Passwörter vorbereiten, irgendwann ist es soweit.
Autorin: Susanne Haase