Sei es die Anmeldung am Dienstrechner, das Einloggen fürs Online-Banking oder das Aufrufen eines Kundenprofils – Passwörter begleiten die meisten von uns tagtäglich durch den (digitalen) Alltag. Da ist es kein Wunder, dass viele Nutzer:innen angesichts der Vielzahl an Passwortabfragen, mit denen sie stetig konfrontiert werden, zum einen häufig auf zu einfache Passwörter zurückgreifen, aber auch regelmäßig dieselben Passwörter verwenden. Gleichzeitig reichen – auch vermeintlich sichere – Passwörter heute im Hinblick auf einen Anstieg an Cyberkriminalität alleine nicht mehr aus, um digitale Identitäten und sensible Daten zu schützen.
5 Alternativen zum traditionellen Passwort
Der Wandel von traditionellen Passwörtern hin zu einer passwortlosen Authentifizierung schreitet weiter voran. Dabei hat nicht zuletzt auch die verstärkte Remote-Arbeit, bedingt durch die Corona-Pandemie, dem Thema einen weiteren Schub verliehen. Denn ortsflexiblere Arbeitsmodelle benötigen gleichzeitig auch neue IT-Sicherheitskonzepte.
Einige Alternativen, die das klassische Passwort entweder um einen weiteren Faktor ergänzen oder ganz ersetzen, sind dabei heute schon im Einsatz:
- Zwei-Faktor-Authentisierung: Die Zwei-Faktor-Authentisierung kombiniert zwei unterschiedliche Verfahren zum Identitätsnachweis miteinander, um eine doppelt gesicherte Authentifizierung zu ermöglichen. Bekannte Beispiele, die mit der Passwortabfrage einhergehen können, sind ergänzende Bestätigungscodes per SMS, die Überprüfung biometrischer Merkmale oder die Verwendung eines USB-Tokens.
- Biometrische Daten: Retinascanner, Fingerabdrucksensor, Sprach- sowie Gesichtserkennung ermöglichen eine unkomplizierte Authentifizierung mithilfe biometrischer Merkmale. Dabei ersetzen sie auf Seiten der Nutzer:innen das traditionelle Passwort entweder vollständig oder werden im Rahmen der Passwortabfrage zum zweiten Faktor. Das Manko: Passwörter können geändert werden, biometrische Merkmale nicht. Werden diese einmal gehackt, sind Cyberkriminelle prinzipiell für immer im Besitz der sensiblen Informationen.
- Web-Authentifizierung via FIDO2: Mit Fast Identity Online (FIDO) hat es sich die FIDO-Allianz zum Ziel gesetzt, die Authentisierung im Internet zu erleichtern und gänzlich passwortfreie Log-ins zu ermöglichen. Das dafür notwendige Werkzeug: Authentifikatoren, wie beispielsweise FIDO-Keys, Wearables oder mobile Geräte, die vom User lokal entsperrt werden müssen. Im Anschluss daran erfolgt eine Authentifizierung, indem der auf dem Authentifikatoren sicher gespeicherte private Schlüssel (Private Key) mit dem öffentlichen Schlüssel FIDO2-Key (Public Key) in der Schlüsseldatenbank des entsprechenden Webservices abgeglichen wird.
- Zero-Login: Zero-Login setzt auf die Nutzung einzigartiger Verhaltensmerkmale, darunter individuelle Tippmuster oder Druck, der auf den Bildschirm oder bestimmte Tasten ausgeübt wird. Ziel ist es, dass entsprechende Devices charakteristische Identifizierungsmerkmale erkennen, die dann zu einer eindeutigen Authentifizierung führen. Weicht ein Verhalten von dem des üblichen Nutzers oder der üblichen Nutzerin ab, fragt das entsprechende Gerät nach einem Passwort oder einer anderen Möglichkeit der Authentifizierung.
- Mikrochip-Implantate: Zugegeben, diese Passwortalternative klingt etwas wie aus einem Science-Fiction-Film. Doch immer mehr Menschen tragen schon jetzt freiwillig Mikrochips unter der Haut, die es unter anderem ermöglichen, sich bei vielen Programmen ohne lästige Passworteingabe einzuloggen.
Derzeit lässt sich noch nicht sagen, welche dieser Alternativen sich perspektivisch durchsetzen wird. Unabhängig davon bleibt jedoch ein Problem bestehen: Zwar entfällt für Nutzer:innen unter Umständen die Pflicht zur Eingabe eines physischen Passwortes, die hinter den Verfahren stehenden Daten werden im Backend jedoch häufig auf einem zentralen Server gespeichert, der damit besonders attraktiv für Cyberkriminelle ist. Damit gibt es auch in Zukunft keine Garantie dafür, dass entsprechende Daten vor Hackerangriffen geschützt sind. Unternehmen, die auf eine passwortlose Authentifizierung setzen, sollten diese daher mit einer intelligenten Verwaltung der Zugangsdaten sowie angemessenen IT-Sicherheitsmaßnahmen kombinieren. Zudem können Penetrationstests dabei unterstützen, potenzielle Sicherheitsschwachstellen aufzudecken.
Fazit
Aktuell hat der „Ändere-dein-Passwort“-Tag folglich durchaus noch seine Berechtigung. Denn auch wenn die Forschung im Bereich des Access Managements weiter voranschreitet, kommen derzeit an vielen Stellen noch klassische Passwortabfragen zum Einsatz. Hier gilt es also weiterhin, für jeden Account ein eigenes, starkes Passwort zu wählen und dieses zu ändern, sobald es Anzeichen dafür gibt, dass dieses kompromittiert worden sein könnte.
TÜV Informationstechnik GmbH
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
TÜV Informationstechnik GmbH / 01.02.2022
Foto: TÜV Informationstechnik GmbH