Unter dem Titel »Usable Authentication – Was ist noch besser als ein sicheres Passwort?« und erneut digital fand am Donnerstag, 29. Oktober 2020, 16:00 – 18:00 Uhr, der 15. Bonner Dialog für Cybersicherheit (BDCS) statt.
Fast 160 Teilnehmer hatten sich auf der virtuellen Plattform eingefunden, als Moderator Professor Dr. Michael Meier, Informatik-Professor an der Uni Bonn und Leiter der Abteilung »Cyber Security« am Fraunhofer FKIE, die Veranstaltung eröffnete.
Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), hielt die erste Keynote des Nachmittags und führte aus, dass die häufigste Form der Identifikation in der digitalen Welt nach wie vor die Kombination aus Benutzername und Passwort sei. Dies sei irritierend, da diese Art der Authentifizierung eklatante Nachteile habe:
- Social Engineering / Phishing Angriffe zielten oft darauf ab, diese Daten zu entwenden und so Identitätsdiebstahl zu betreiben
- Zwar wüssten viele Nutzer, was sichere Passwörter ausmacht, aber nur wenige wendeten dieses Wissen konsequent an – Die beliebtesten schlechten Passwörter seien 123456, gefolgt von 123456789 und 1234567
- Selbst dann, wenn ein sicheres Passwort verwendet würde, sei die Entwendung relativ leicht
Entsprechend brauche es sichere Alternativen, wie z.B. die 2-Faktor-Authentifizierung (2FA). Auch wenn deren Verbreitung z.B. durch die Fast Identity Online Allianz (FIDO) gefördert wird, so würde diese doch nur vergleichsweise selten genutzt. Zudem habe auch die 2FA Schwachstellen, beispielsweise dann, wenn der genutzte zweite Faktor (beispielsweise ein physisches Token) verloren gehe und ersetzt werden müsste. Die Zukunft der Authentifizierung sei daher vermutlich eher eine Lösung wie ein virtueller Personalausweis mit eID Funktion, der auf dem Smartphone gespeichert sein könnte.
Bis das Passwort ersetzt sei, sollten die Nutzer einen Passwort-Manager nutzen, sichere Authentifizierung aber auch unbedingt nachfragen. Gleichzeitig seien die Hersteller in der Pflicht, entsprechende Lösungen anzubieten und so benutzerfreundlich zu gestalten, dass diese auch gerne eingesetzt würden. Nur dann, wenn neue Lösungen zu einem Komfort- und Sicherheitsgewinn führten, könnten die Lösungen erfolgreich sein.
Der zweite Keynote-Speaker war Klaus Landefeld, stellv. Vorstandsvorsitzender, Vorstand Infrastruktur und Netze eco – Verband der Internetwirtschaft e.V. Landefeld wies darauf hin, dass Passwörter bereits lange vor Entstehen der digitalen Welt – etwa bei den Römern – zur Authentifizierung eingesetzt worden seien. Auch er stellte dann allerdings heraus, dass Passwörter heute nicht mehr praktiabel wären. Ein sicheres Passwort habe heute mindestens 16 Zeichen und mit der technischen Entwicklung, mit der jeder Nutzer viele Dienste auf unterschiedlichen Endgeräten nutze, seien solche langen Passwörter nicht praktikabel. Das führe dazu, dass Nutzer häufig leicht zu erratende und für alle Dienste gleiche oder ähnliche Passwörter verwendeten.
Ein Passwort-Manager sei hier zwar eine Lösung, schlecht sei es allerdings, wenn das zugehörige Masterpasswort verloren gehe. Auch in den Unternehmen sei die Speicherung von Passwörtern ein von der DSGVO/GDPR abgeleitetes Betriebsrisiko, da ein Datenleck hier für das Unternehmen zu horrenden Strafzahlungen führen könnte.
Aufgrund der hohen Menge an kompromittierten Accounts – wie z.B. auf der Website https://haveibeenpwned.com einzusehen ist – plädierte auch Landefeld dringend zu neuen Lösungen. Auch er nannte hier die 2FA, allerdings mit dem Hinweis, dass das Konzept der 2FA nicht aufginge, wenn das Smartphone des Nutzers beide Faktoren repräsentiere.
Eine Lösung um die große Menge an unterschiedlichen Accounts in den Griff zu bekommen sei das Single-Sign- On (SSO) Verfahren, bei dem sich der Nutzer einmal sicher bei einem zentralen Dienst authentifiziert und dann alle mit dem SSO-Dienst verbundenen Accounts ohne erneute Anmeldung nutzen könne. Das SSO-Verfahren habe allerdings auch Nachteile:
- Es erfordert ein Vertrauensmodell zwischen dem SSO-Provider und den damit verbundenen Diensten
- Wenn das eine Login einmal kompromittiert ist, sind potentiell alle Accounts kompromittiert
- Es stärkt die Plattformen und der „Single Log-In“ wird auch zum „Lock-In“: Die Aufgabe des SSO Accounts würde dazu führen, dass man sich bei allen Diensten neu registrieren müsste, so dass die Abhängigkeit vom SSO-Plattformbetreiber hoch ist
Zuletzt erklärte Landefeld das FIDO2 Verfahren, bei dem für jeden Dienst individuelle Schlüssel von einem privaten Schlüssel abgeleitet und zur Authentifizierung genutzt werden könnten. Viele größere Anbieter boten bereits die Möglichkeit zum Einsatz solcher fortschrittlicher Verfahren, so sei der Login per Hardware-Dongle bereits häufig möglich. Bei den Nutzern seien solche Verfahren allerdings häufig noch nicht bekannt.
Nach den zwei Eingangsvorträgen hatten die TeilnehmerInnen der Veranstaltung die Gelegenheit, Fragen per Chat an das Podium zu richten. Hier luden neben Dr. Schabhüser und Herrn Landefeld auch
- Ralf Wigand (National IT Compliance Officer Microsoft Deutschland)
- M. Sc. Eva Gerlitz (Researcher und Usability Expertin beim Fraunhofer FKIE)
- Dr. Matthias Wübbeling (Dozent an der Universität Bonn)
zum mitdiskutieren ein.
Schnell ergab sich ein angeregter Austausch: »Für Notfälle ist ein gut gesichertes Passwort natürlich sinnvoll. Man darf es nur nicht offen herumliegen lassen, an den Bildschirm kleben oder unter der Tastatur verstecken«, warnt Dr. Gerhard Schabhüser. Seine Empfehlung auch hier nochmals: Passwortmanager nutzen, bis es gute Alternativen gibt.
Eva Gerlitz merkte an, dass Menschen Gewohnheitstiere seien und die Anwendung von Passwörtern seit Jahren für den Nutzer dazugehöre. »Neue Methoden der Authentisierung müssen unbedingt bekannter gemacht werden!« „Tu Gutes und erzähl davon“, so äußerte sich auch Ralf Wigand. Awareness und Aufklärung seien notwendig und die Nutzung sicherer Authentifizierungsmöglichkeiten müssten für die Nutzer so einfach wie möglich gemacht werden.
Am Ende sind sich alle Diskutierenden einig, dass die Zukunft so aussehen muss, dass keine Passwörter mehr gebraucht würden. Eher sollten beispielsweise Sicherheitstoken genutzt werden, die stark abgesichert und benutzerfreundlich in der Anwendung sind.
Die Präsentation von Klaus Landefeld finden Sie hier zum Download.
Organisatoren und Partner des BDCS: