Sag mir was Du weißt und ich sag Dir, wer Du bist. Nach diesem Grundsatz funktioniert die Anmeldung eines Nutzers an einem System, einer Webseite  oder einer Anwendung. Die Nutzung von Passwörtern ist ein alltäglicher Vorgang geworden und stellt noch immer den De-Facto-Standard da. Allerdings gibt es zur Authentisierung eines Users mehr als eine Möglichkeit. Man unterscheidet Wissen, Biometrie und Besitz.

Die Geschichte des Computer-Passworts

Die Nutzung von Kennwörtern zur Sicherung von Computern wurde scheinbar erstmalig in den 1960ern am MIT eingesetzt. Das Compatible Time-Sharing System (CTSS) erlaube es mehreren Anwendern an dem System zu arbeiten und jeder Anwender hatte seine eigenen Daten. Um nun den unberechtigten Zugriff auf die Daten eines anderen Nutzers zu verhindern, wurden Passwörter eingeführt.

Bereits 1962 kam es dann zum ersten bekannten Passwortdiebstahl. Ein Anwender konnte das System zum Ausdruck der Passwortliste veranlassen, so dass er sich im Namen eines anderen Users anmelden konnte. 1965 gab es einen weiteren Fehler durch den alle aktuellen Passwörter als Message of the Day jedem Nutzer bei seiner Anmeldung angezeigt wurden. Diese beiden Fälle zeigen bereits, dass Passwörter und Anmeldesysteme von Anfang an mit Schwachstellen zu kämpfen hatten.

Sichere Passwörter

Trotz dieser frühen Probleme haben sich Passwörter als Standard zur Authentisierung von Anwendern durchgesetzt. Dabei wurden im Laufe der Zeit immer ausgefeiltere Regeln für sichere Passwörter definiert. So sollen diese nach Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik mindestens 8 Zeichen lang sein, in keinem Wörterbuch stehen, Buchstaben, Zahlen und Sonderzeichen enthalten und regelmäßig geändert werden. Hinzu kommt noch, dass Konten nach mehreren Fehlversuchen gesperrt werden sollen.

Die verschiedenen Anforderungen an Kennwörter führen dazu, dass ein normaler Nutzer sich seine Passwörter nur sehr schwer merken kann. Wenn dann noch regelmäßige Änderungen hinzukommen, führt dies dazu, dass viele Anwender ihre Kennwörter notieren und z. B. im Portemonnaie aufbewahren.

Mögliche Hilfsmittel, um sich Passwörter zu merken, sind z.B. Merksätze (der Nutzer sucht einen Satz aus und benutzt von jedem Wort nur den ersten Buchstaben) oder Passwortkarten. Als scheinbar beste Lösung zur Verwaltung von mehreren, sicheren Passwörtern haben sich Password-Safes, wie Keepass oder Keepassx, herausgestellt. Doch keine dieser Ansätze konnte sich wirklich durchsetzen. Noch immer zeigen erfolgreiche Angriffe gegen Benutzerkonten, dass schwache Passwörter weit verbreitet sind. Hinzu kommt, dass es mit steigender Rechengeschwindigkeit und verfügbarem Speicherplatz für Angreifer immer einfacher wird, Passwörter zu knacken.

Aus den Erfahrungen der letzten 50 Jahre muss man also feststellen, dass Passwörter in der Praxis grundsätzlich keine sichere Methode zur Authentisierung von Nutzern sind und es auch nie waren.

Alternative: Biometrie

Eine Alternative, die immer öfter diskutiert und eingesetzt wird, ist die Biometrie. Dazu werden verschiedene Körpermerkmale eines Menschen ausgewertet. So werden z. B. Fingerabdrücke, die Iris oder die Gesichtsgeometrie genutzt. Aktuelle Personalausweise und Reisepässe beinhalten z. B. biometrische Fotos zur Gesichtserkennung.

Das aktuell bekannteste Beispiel aber dürfte die TouchID des iPhones sein. Zur Authentisierung des Nutzers wird sein Fingerabdruck gescannt. Doch bereits kurz nach Veröffentlichung des iPhone 5 wurde ein erfolgreicher Angriff gegen den Sensor demonstriert.

Grundsätzlich gibt es aber auch datenschutzrechtliche Bedenken bei der Verarbeitung von biometrischen Merkmalen. Werden z. B. die Rohdaten von Körpervermessungen gespeichert, kann dies Rückschlüsse auf den Gesundheitszustand zulassen – etwa im Falle von Handflächenvermessungen. Zudem würde ein Missbrauch biometrischer Daten den Betroffenen besonders schädigen, da er diese nicht ändern kann.

Alternative: Besitz

Der Faktor Besitz wird ebenfalls schon lange zur Authentisierung von Personen genutzt. So ist in der Regel der Besitz eines Schlüssels zum Betreten eines Hauses notwendig. Auch moderne Zutrittskontrollsysteme arbeiten häufig mit der Überprüfung eines elektronischen Chips in Form eines RFID-Tokens oder einer Chipkarte, um die Zutrittsberechtigung zu prüfen. In Kombination mit einer PIN werden EC-Karten als Authentisierungsfaktor genutzt. Diese Beispiele zeigen, dass uns die Nutzung dieser Alternative bei der Authentisierung nicht fremd ist, allerdings hat sich der Faktor Besitz im Bereich IT bisher nicht als Ersatz für Kennwörter durchsetzen können. Da aber eine Alternative zu Passwörtern zwingend notwendig ist, muss nun ein Wechsel stattfinden.

One-Time-Password

Durch die Nutzung von Smartphones und anderen mobilen Geräten ist es möglich, die Authentisierung von klassischen Passwörtern auf Einmal-Kennwörter umzustellen. Bei diesem Anmeldeverfahren wird von einer Anwendung, die z. B. auf dem Smartphone läuft, alle 30 oder 60 Sekunden ein neues Passwort generiert, das nur für diesen begrenzten Zeitraum gültig ist. Ein Anwender muss sich das Kennwort nicht merken, er muss nur im Besitz des Handys sein.

Selbst in der Spielebranche ist diese Authentisierungsmethode schon vor Jahren angekommen. So hat der Softwarehersteller Blizzard bereits 2008 ein One Time Passwort Verfahren zum Schutz des World of Warcraft bzw. Battlenet-Accounts eingeführt.

Ein einfach zu implementierendes Verfahren sind Time-Based One-Time Passwords. Als einzige Vorbereitung muss der Anwender eine App (z. B. HDE OTP oder Google Authenticator für iOS oder Android) installieren und bei der Einrichtung einen geheimen Initialwert in der App hinterlegen. Ab diesem Zeitpunkt kann das Smartphone das aktuell gültige Passwort berechnen. Diese Konfiguration kann der Einfachheit halber durch das Scannen eines QR-Codes erfolgen, der alle notwendigen Werte für die Erzeugung des OTP beinhaltet.

Auch immer mehr Online-Anwendungen wie Dropbox oder Github unterstützen bereits OTP-Anmeldungen und auch für selbstbetriebene Anwendungen wie den Cloud-Dienst ownCloud gibt es Addons, die eine OTP-Authentisierung ermöglichen. In den meisten Fällen wird das One-Time-Password ergänzend zu einem normalen Anwenderkennwort verwendet. Dies erhöht die Sicherheit der Benutzerkonten ganz erheblich, da ein leicht zu erratendes oder bekannt gewordenes Kennwort nicht mehr zu einer dauerhaften Kompromittierung eines Anwenders führen kann. Ein Angreifer muss im Besitz des Smartphones sein, um sich anmelden zu können. Selbst die ausschließliche Nutzung eines OTP, ohne ein klassisches Benutzerkennwort, dürfte die Sicherheit und auch die Anwendbarkeit deutlich erhöhen.

Und die Moral …

Die Absicherung eines Online-Dienstes oder eines Systems allein über Kennwörter ist nicht mehr angemessen. Es bedarf zusätzlicher Maßnahmen, um Angreifer abzuwehren und die Anwender bei einer sicheren, aber leicht zu nutzenden Anmeldung zu unterstützen. Eine einfach zu nutzende Maßnahme sind One-Time-Passwörter. Sie sollten sich zum neuen Standard entwickeln.