Das passwortlose Internet: Hype oder Realität?

Die passwortlose Authentifizierung ersetzt Benutzernamen und Passwörter beispielsweise durch Biometrie. Doch trotz hoher Sicherheit zögern die User noch. [...]

Mit der passwortlosen Authentifizierung muss man der Website kein Passwort oder andere geheime Informationen anvertrauen. Die dahinterstehende Technologie verwendet einen öffentlichen Schlüssel, der mit einem Paar kryptographischer Schlüssel authentifiziert wird: einem privaten, geheimen und einem öffentlichen Schlüssel. (c) Fotolia/Sikov
Mit der passwortlosen Authentifizierung muss man der Website kein Passwort oder andere geheime Informationen anvertrauen. Die dahinterstehende Technologie verwendet einen öffentlichen Schlüssel, der mit einem Paar kryptographischer Schlüssel authentifiziert wird: einem privaten, geheimen und einem öffentlichen Schlüssel. (c) Fotolia/Sikov

Am 20. November 2018 meldete Microsoft, dass sich 800 Millionen Microsoft Kontoinhaber ab sofort ohne Passwort bei Diensten wie Outlook, Office, Skype und Xbox Live anmelden können. Diese Ankündigung ist ein weiterer Schritt hin zu einem passwortlosen Web – genau zum richtigen Zeitpunkt, denn auch Mozilla Firefox, Google Chrome und Microsoft Edge unterstützen nun auch WebAuthn, eine der dafür benötigten Technologien. Die passwortlose Authentifizierung ersetzt Benutzernamen und Passwörter durch Biometrie, etwa Fingerabdrücke oder Gesichtserkennung.

„In Bezug auf die Sicherheit ist dies eine gute Nachricht. Allerdings ist nicht garantiert, dass Internetnutzer diese Technologie zügig annehmen, nur weil sie sicherer ist. Wenn man die zögerliche Akzeptanz der Zwei-Faktor-Authentifizierung als Vergleich heranzieht, kann es harter Kampf werden, bis Nutzer die passwortlose Authentifizierung adaptieren“, erklärt Michael Veit, Sicherheitsexperte bei Sophos.

Einer der Gründe, warum sich die passwortgestützte Identifizierung so lange hält ist, dass sie sehr leicht zu verstehen ist. Zudem kommt es leicht zu Missverständnissen: Benutzer die mit einer Passwortauthentifizierung arbeiten fragen sich, ob die Verwendung beispielsweise ihrer Fingerabdrücke bedeutet, dass sie diese an Dritte weitergeben (was nicht der Fall ist). Zudem sind viele der Meinung, dass man ein Passwort im Gegensatz zu einem Fingerabdruck bei einen Zwischenfall ändern kann.

Anmeldung ohne Passwort: komplex aber sicher

Bei der passwortgestützten Authentifizierung teilt man einer Web-Seite mit, wer man ist und welches Passwort man verwendet. Sobald man das Passwort eingegeben hat, besteht keine Kontrolle mehr darüber, was auf der Web-Seite damit passiert. Man vertraut darauf, dass es sicher gespeichert ist. Und genau in dieser Annahme liegt der Fehler. Allein die Anzahl der Datenschutzverletzungen zeigt, dass Passwörter nicht sicher gespeichert sind.

Mit der passwortlosen Authentifizierung muss man der Website kein Passwort oder andere geheime Informationen anvertrauen. Die dahinterstehende Technologie verwendet einen öffentlichen Schlüssel, der mit einem Paar kryptographischer Schlüssel authentifiziert wird: einem privaten, geheimen und einem öffentlichen Schlüssel. Bei einer Anmeldung behält der Nutzer den geheimen, privaten Schlüssel und gibt den öffentlichen Schlüssel an die Website weiter. Da der öffentliche Schlüssel kein Geheimnis ist, besteht auch keine Sorge darüber, ob die Website diesen sicher aufbewahrt.

Bei einer passwortlosen Authentifizierung nutzt man den privaten Schlüssel für die Verschlüsselung einer „Challenge“ (eine sehr große Zufallszahl), die von der Website gesendet wird. Die Web-Seite nutzt dann den öffentlichen Schlüssel, um diese zu entschlüsseln. Sofern die Verschlüsselungs-/Entschlüsselungssequenz funktioniert und der Webserver seine „Challange“ zurück erhält, ist bewiesen, dass man der Besitzer des privaten Schlüssels ist.

Schutz von Fingerabdruck-, Gesichts- oder Irisdaten ist gefragt

Soweit zur Theorie. Damit dies in der Praxis funktioniert, benötigen man einen Authentifikator, der Schlüssel erstellen und speichern kann. Darüber hinaus ist eine Reihe von Regeln nötig, die einem Computer, einem Browser und den besuchten Websites die Zusammenarbeit ermöglichen. WebAuthn beispielsweise ist ein solches Regelwerk, beziehungsweise ein API (Application Programming Interface), mit der Websites und Webbrowser die Authentifizierung via Public-Key-Kryptographie anstelle von Passwörtern ermöglichen.

Damit die passwortlose Authentifizierung funktioniert, müssen Website-Besitzer den Code entsprechend ändern. Anstatt einem Anmeldeformular für Benutzernamen und Passwort, authentifizieren sich Benutzer mithilfe von JavaScript-Code, der in der Webseite eingebettet ist. Dieser Code verwendet die WebAuthn-API, um den Browser aufzufordern, die Anmeldeinformationen zu erstellen.

Obwohl der JavaScript-Code mit der Webseite heruntergeladen und auf dem Computer des Nutzers ausgeführt wird, wird dieser im Browser nach wie vor als Teil der Website betrachtet. Damit ist sichergestellt, dass er keinen Zugriff auf private Schlüssel oder andere geheime Informationen Zugriff hat. Stattdessen fungiert es nur als Vermittler zwischen Browser und Webserver.

Per Design weiß eine Website nicht, wie private Schlüssel generiert werden. Man ist also frei, dies auf jede erdenkliche Art und Weise zu tun. Dies kann im Betriebssystem integriert erfolgen, wie beispielsweise die Gesichtserkennung Windows Hello von Microsoft oder per Remote-Authentifikator wie ein Mobiltelefon. Um die Vielzahl von Remote-Authentifikatoren effizient zu unterstützen, müssen sich die wichtigsten Akteure auf eine Reihe von Regeln einigen, wie Webbrowser und Authentifikatoren miteinander kommunizieren. Diese Regeln werden CTAP genannt, das Client to Authenticator Protocol. Sie definieren, wie ein Client, etwa ein Webbrowser, mit einem Remote-Authentifikator über USB, Bluetooth oder NFC (Near Field Communication) kommuniziert.

Authentifikator

Der Authentifikator stellt das kryptografische Knowhow für die gesamte Transaktion zur Verfügung, generiert und speichert Schlüssel und verschlüsselt die WebAuthn-„Challenge“ der Website quasi im Auftrag des Browsers. Und genau hier kommen die verschiedenen Formen der Authentifizierung ins Spiel, und warum beispielsweise Fingerabdrücke beim Anmelden auf einer Website, nicht mit dieser geteilt werden. Fingerabdruck-, Gesichts- oder Irisdaten sowie private Schlüssel werden immer nur mit dem Authentifikator auf einem Gerät geteilt, das sich im Besitz des Nutzers befindet.

„Obwohl sich die passwortlose Authentifizierung aus technischer Sicht etwas komplexer gestaltet, hat sie für Nutzer eindeutige Vorteile. Erstens identifiziert sich der Nutzer in nur einen einfachen Schritt. Zweitens braucht sich der Nutzer weder um gute Passwörter kümmern, noch einen geeigneten Schutz für Passwörter einrichten. Drittens sind biometrische Daten sicherer als Passwörter“, resümiert Michael Veit.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*