Passwortmanager: Eine Anwendung mit Zukunft?

Passwortmanager sind bei Unternehmen und Privatleuten gleichermaßen beliebt, wenn sie die Passwortsicherheit ihrer Konten verbessern wollen. Passwort-Management-Lösungen erlauben es dank fortschrittlicher Verschlüsselung, Unternehmensdaten für Online- und Offline-Anwendungen sicher zu speichern und zu verwalten. Soweit die Theorie. [...]

Foto: GerdAltmann/Pixabay

In der Realität bleiben die Anbieter von Passwort-Management-Lösungen ein äußerst attraktives Ziel für Cyberkriminelle – allein aufgrund des Wertes der gespeicherten Informationen. Trotzdem gehen die meisten Cyber-Sicherheitsexperten davon aus, dass Passwortmanager weitgehend sicher zu verwenden sind.

Auch wenn die jüngsten Sicherheitsverletzungen bei beliebten Diensten wie denen von LastPass und Norton, die sich gleich mit einer Reihe von Hackerangriffen konfrontiert sahen, diese Sichtweise durchaus in Frage stellen.

Bei Letzterem waren über eine Million Anwender betroffen. Das hat Bedenken hervorgerufen, wie sicher die Infrastruktur von Passwort-Management-Systemen tatsächlich ist.

Grundsätzlich hat eine Sicherheitslücke das Potenzial alle Beteiligten einem massiven Risiko auszusetzen. Dabei sollen Passwortmanager ja genau das verhindern. Möglicherweise fangen die Probleme damit erst an, mit denen wir uns dieses Jahr und in Zukunft werden auseinandersetzen müssen.

Vor- und Nachteile

Als Spezialisten für den Bereich Identity und Access Management, sollten wir der Fairness halber die positiven Aspekte von Passwortmanagern nicht unerwähnt lassen. Passwortmanager sind sehr gute Tools und erfüllen ihre eigentliche Aufgabe: Sie erstellen komplexe Passwörter oder verschlüsselte Kennwörter.

Systeme wie LastPass machen es überflüssig, ein komplexes Passwort beispielsweise für Ihre Bankgeschäfte zu erstellen, das bekommen Sie automatisch. Das Passwort wird analysiert, um sicherzustellen, dass ähnliche nicht bereits benutzt werden oder im Dark Web veröffentlicht wurden (sollte das der Fall sein, lässt sich das betreffende Passwort ändern).

Das Problem bei Angriff auf LastPass war, dass im oben beschriebenen Fall, die Core-Datenbank des Unternehmens angegriffen wurde.

Bei der Erstellung eines LastPass-Kontos wird ein sehr komplexes Passwort entwickelt, das dann gehasht wird. Und genau diese Core-Datenbank wurde angegriffen. Das Hashing von Passwörtern (im Gegensatz zum Speichern als reiner Text) bietet zwar ein gewisses Maß an Schutz, aber keine absolute Sicherheit.

Ein ausgeklügelt vorgehender, hartnäckiger Angreifer könnte diese Daten mit einer automatisierten Angriffsmethode wie dem Quantencomputing so lange angreifen, bis er das Passwort entschlüsselt und somit die gesamte Datenbank eines LastPass-Benutzers extrahiert hat. Das bedeutet, dass in diesem Fall dann das Master-Passwort sowie alle dort verwalteten Passwörter geändert werden müssen.

Das ist offensichtlich ein Problem. Dennoch wäre es naiv anzunehmen, dass nur LastPass betroffen ist. Die Besonderheiten der Sicherheitslücke, über die Entwickler angegriffen werden, deutet zwar darauf hin, dass LastPass mehr für die Multi-Faktor-Authentifizierung hätte tun müssen.

Trotzdem ist wohl jedem, der sich im Bereich Sicherheit auskennt, ein grundlegender Aspekt klar: LastPass und Norton sind wohl kaum die einzigen Passwortmanager, bei denen eine Sicherheitslücke entstanden ist.

Angreifer wissen sehr wohl um den hier schlummernden Informationsschatz und nehmen Passwort-Management-Lösungen aktiv ins Visier. LastPass ist lediglich das Unternehmen, das diese Sicherheitslücke entdeckt offengelegt und beseitigt hat.

Zunehmend veraltet?

Die Diskussion, wie zweckmäßig Passwortmanager sind sollte jetzt geführt werden, und sie wird wohl auch für die nächsten Jahre nicht überflüssig werden. Betrachtet man den Stellenwert eines Passwortmanagers allerdings auf lange Sicht, sind die Perspektiven etwas weniger vielversprechend.

Diskussionen über andere, flexiblere und sicherere Methoden der Authentifizierung sind bereits ein wichtiger Bestandteil der Debatte.

Passwortlose Systeme, die von Zero-Trust-Modellen angetrieben werden, sind schon jetzt Teil der Sicherheits- und Identitätslandschaft, ebenso wie die Diskussion von kontenlosen Systemen. Wenn ein Konto nur in einem bestimmten, zeitlich begrenzten Fenster existiert, damit der Benutzer nach dem JIT-Prinzip (just in time) auf eine Anwendung zugreifen kann, und der Zugang dann deaktiviert wird, kann das deaktivierte Konto der Definition nach nicht gehackt werden, weil es nicht existiert.

Auch biometrische Identity-Lösungen entwickeln sich zu ernsthaften Konkurrenten von Passwörtern. Technologien, die physische oder biologische Faktoren wie den Standort eines Geräts oder den Gang einer Person, die ihr Telefon in der Tasche bei sich trägt, auswerten können, gelten als sicherere Formen der Authentifizierung.

Grundsätzlich ist es eine natürliche Entwicklung, dass sich die Identitätssicherheit in Richtung eines passwortlosen Ansatzes bewegt. Ein solches System erfordert jedoch nicht nur gute Multifaktor-Authentifizierungsverfahren (MFA), sondern auch Lösungen wie Privilege Access Management (PAM) und Identity Governance and Administration (IGA).

Fazit: Es ist noch nicht vorbei

Alternative Formen der Authentifizierung schlagen in Sicherheitskreisen durchaus hohe Wellen. Dennoch sind Passwörter aktuell immer noch die am häufigsten verwendete Methode der Authentifizierung. Das mag sich in fünf Jahren ändern.

Aber fünf Jahre sind eine lange Zeit, um unsicheren Methoden bei der Passwortverwaltung weiterhin treu zu bleiben. Es liegt an den Anbietern von Passwortmanagern, auf bewährte Methoden zu setzen, um Sicherheitslücken zu vermeiden.

Außerdem liegt es an uns allen, Best Practices zu nutzen, um die Folgen solcher Sicherheitslücken in Grenzen zu halten, sollte es dennoch dazu kommen.

*Dan Conrad ist IAM Strategist bei One Identity

www.oneidentity.com

powered by www.it-daily.net


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*