Am 2. Mai ist "World Passwort Day" – Gelegenheit sich mit dem Thema Kennwörter zu befassen. Nach wie vor verlassen sich zu viele Menschen auf Passwörter. Und das, obwohl längst bekannt ist, dass diese Passwörter nur zu oft geknackt, offengelegt und gestohlen werden. Mir ist ein Beitrag untergekommen, der sich mit dem Thema befasst und suggeriert, die Abhängigkeit von Passwörtern zu reduzieren. Passwortlose Ansätze sollten sich auf alternative oder zusätzliche Authentifizierungsmethoden stützen, die sicher, benutzerfreundlich und oft Teil eines umfassenden Zero-Trust-Ansatzes sind.
Anzeige
Das grundlegende Problem mit Passwörtern
Bei rund der Hälfte (49 Prozent) der im vergangenen Jahr gemeldeten Datenschutzverletzungen (und davon bei 86 Prozent aller Datenschutzverletzungen innerhalb von Web-Applikationen) wurden gestohlene Anmeldeinformationen wie Benutzernamen und Passwörter verwendet. In Deutschland wurden allein im ersten Quartal 2024 rund 3,2 Millionen Nutzerkonten erfolgreich gehackt. In der Schweiz waren es knapp 210.000. Sichere Authentifizierung scheint also für viele nach wie vor eine Herausforderung darzustellen, schreibt das Unternehmen Barracuda.
Obwohl bekannt ist, dass Passwörter geknackt, offengelegt oder gestohlen und dann gegen die Nutzer verwendet werden können, verlassen sich viele Personen und Unternehmen nach wie vor auf sie. Dafür gibt es verschiedene Gründe. Diese zu verstehen, ist essenziell dafür, unsere Passwörter zu stärken oder uns zu Gunsten von effektiveren Authentifizierungslösungen von ihnen zu lösen. Passwörter sind einfach praktisch: Sowohl Nutzer als auch IT-Administratoren sind mit ihrer Funktionsweise vertraut, sie sind einfach zu implementieren und erfordern dabei nur minimale Investitionen und bestehende Infrastruktur. Sie benötigen keine zusätzliche Hardware und nahezu jedes Gerät und jede Anwendung unterstützt Authentifizierung per Passwort.
Fußballer und Passwörter
Im Vorfeld der EM 2024 ist mir eine Information der Telekom zum Thema Fußballfans und Passwörter untergekommen. Der Tenor: Deutsche Fußballfans sollten "Sicherheitstechnisch ins Trainingslager geschickt werden" – denn die bei dieser Klientel verwendeten Passwörter weisen leichte Defizite auf – sagen die Sicherheits-Expertinnen und Experten der Telekom.
Wer einen Blick auf die 30 gestohlenen Passwörter wirft, die am häufigsten in frei zugänglichen öffentlichen Quellen zu finden sind, sieht das Problem sofort. Schon der zweite Platz gehört einer Fußballmannschaft. In dieser Tabelle ist "Schalke04" zur Abwechslung mal fast spitze. Nur Das Universal-Passwort "Passwort1" ist öfter anzutreffen, so traurig das auch ist.
Anzeige
Für die Anhänger des Revier-Rivalen Borussia Dortmund ist das kein Grund hämisch zu lachen, meinen die Telekom-Experten. Denn "Borussia" findet sich immer noch in den Top 10, und "Dortmund09" folgt auf Rang 18. Die Begeisterung der Fans für diesen Sport kennt bei der Sicherheit von Konten leider keine Grenzen. Das Passwort "Fussball" belegt den 20. Platz dieser Liste.
Lässt sich wohl noch durch Spielernamen toppen. Wer könnte das wohl sein? Die Telekom schreibt, dass der beliebteste Einzelakteur in diesem Sport sich auf Rang 26 gespielt habe und mittlerweile sein Geld in Saudi-Arabien verdient. Es geht um den Fußballer (Christiano) Ronaldo, dessen Passwort "Ronaldo1" auf dem genannten Platz rangiert. Ansonsten ist der längt im Ruhestand befindliche US-Basketballer (Michael) "Jordan23" noch auf Platz 25 dieser Tabelle mit geklauten Kennwörter aus dem ersten Quartal 2024 gelandet.
Password Spraying
Telekom Sicherheitschef Thomas Tschersich sagt : "Wir sehen, dass deutsche Nutzerinnen und Nutzer weiterhin zu oft das für sie Naheliegendste zum Passwort machen. Und genau das macht sie verwundbar. Wenn ich die Tabelle der Fußball-Bundesliga – Verein für Verein -zusammen mit sämtlichen E-Mails ausprobiere, die ich mit einfachen Mitteln im Netz finden kann, so generiere ich damit leider zehntausende von aktiven Zugangsschlüsseln. Und das ist zu einfach und war noch nie zeitgemäß."
Password Spraying nennt sich diese Technik. Cyberkriminelle probieren etwa als Zugangsdaten von Nutzerkonten einfach eine Reihe von beliebten Passwörtern mit E-Mails aus, die sie finden können. Und da viele Menschen die Angewohnheit haben, mehr als ein E-Mailkonto zu besitzen, fließt auch diese Tatsache in die Strategie mit ein. Was bei E-Mail-Anbieter Nummer eins funktioniert hat, kann auch mit demselben Nutzernamen bei anderen Anbietern funktionieren. Das Telekom Sicherheitsteam sieht solche Versuche Passwörter zu sprayen regelmäßig, wenn Alarme von Anomalie-Erkennungssystemen ausgewertet werden. Dabei rächt es sich zusätzlich, dass bequeme Zeitgenossen ihr Lieblingspasswort für mehr als ein Konto einsetzen. Auch das lässt sich mit schlichtem "Durchprobieren" massenhaft austesten.
Aktuelle Richtlinien fordern von einem Passwort bestenfalls einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen zu enthalten. Deutscher Fußballmeister in diesem Jahr wird Bayer 04 Leverkusen. Müssen wir uns wirklich darüber wundern, dass ein Passwort "Bayer04Lev!" aktuell immer häufiger bei Sammlungen von geklauten Passwörtern auftaucht, fragt die Telekom?
Tipp der Sicherheits-Expertinnen und Experten der Telekom für die Fußballbegeisterten: Nehmt eure Lieblingspassage der Vereinshymne oder des Fankurvengesangs und davon jeweils die Anfangsbuchstaben der Worte. Achtet auf Groß- und Kleinschreibung. Idealerweise kommt eine Zahl in dieser Passage vor. Setzt ein Sonderzeichen vor oder hinter diese Kombination, etwa eine Klammer als Meisterschale ( und fertig ist ein individuelles Passwort, das nicht ganz so einfach zu erraten ist.
Weniger Abhängigkeit von Passwörtern
Barracuda sagt: Wer Alternativen zu Passwörtern in Betracht zieht, muss die Aspekte Sicherheit, Benutzerfreundlichkeit und Skalierbarkeit abwägen, um ein nahtloses und gleichzeitig sicheres Nutzererlebnis zu gewährleisten. Zu viel Komplexität bei den Authentifizierungsprozessen führt nur dazu, dass Nutzer Wege finden, diese zu umgehen. Unternehmen, die sich von Passwörtern lösen möchten, ohne ihre Nutzer zu überfordern, haben unter anderem die Wahl zwischen:
- Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung (2FA bzw. MFA): Diese Methoden sind inzwischen zum Standard für viele Anwendungen geworden. Bei der 2FA müssen Nutzer zwei Faktoren zur Identifizierung vorzeigen, bevor sie Zugang zum Gerät oder der Anwendung erhalten. Üblicherweise umfassen diese Faktoren etwas, das sie wissen (z. B. ein Passwort) und etwas, über das sie verfügen (z. B. einen Code, den sie über ein mobiles Endgerät teilen können). Der zusätzliche Zeitaufwand und die Komplexität sind dabei vergleichsweise gering. MFA fügt zusätzliche Authentifizierungsebenen hinzu, z. B. etwas, das dem Nutzer eigen ist (biometrische Authentifizierung) oder etwas, das er ausführt (verhaltensbiometrische Authentifizierung). Allerdings haben in den vergangenen Jahren Angreifer zunehmend gelernt, 2FA und MFA durch gezieltes Phishing oder durch Ausnutzung von „MFA-Müdigkeit" zu umgehen, indem sie Nutzer mit gefälschten Anmeldebenachrichtigungen überfluten, bis diese eine davon durchwinken.
- Single Sign-On (SSO): SSO ermöglicht es Nutzern, mit nur einem Satz von Anmeldedaten auf verschiedene Geräte oder Anwendungen zuzugreifen. Dadurch wird der Bedarf an Passwörtern reduziert und das Benutzererlebnis verbessert. Für beispielsweise unternehmens- bzw. organisationsinterne Anmeldungen ist dieser Ansatz sehr effektiv, aber oftmals zeitaufwändig in der Implementierung und Einrichtung. SSO kann zudem riskant sein, wenn es auf Anmeldungen im Internet ausgeweitet wird und der Zugang über die Anmeldedaten für beliebte Dienste und Websites wie Google, Facebook, Yahoo, Apple oder Microsoft erfolgt. Die Anmeldung selbst wird dann zwar einfach. Wenn jedoch ein Konto bei einem dieser Anbieter kompromittiert wird, kann der Angreifer auf jedes andere Konto zugreifen, für den der SSO verwendet wird. Zudem werden häufig Daten zwischen den einzelnen Anbietern ausgetauscht, was vielen Nutzern nicht bewusst, aber auch nicht erwünscht ist.
- Biometrische Authentifizierung: Dazu zählen Methoden wie Fingerabdruckerkennung, Gesichtserkennung, Iris-Scan und Stimmerkennung. Verhaltensbiometrie hingegen stützt sich auf die Erkennung von Tipp- oder Gerätenutzungsverhalten. Biometrische Authentifizierungsmethoden bieten ein hohes Maß an Sicherheit bei gleichzeitiger Benutzerfreundlichkeit, da sich Nutzer keine Passwörter oder Antworten auf Sicherheitsabfragen merken müssen. Außerdem sind viele Nutzer bereits mit ihnen vertraut, da zahlreiche Geräte für Endnutzer bereits über die Möglichkeit zur biometrischen Authentifizierung verfügen, was den Einsatz und die Akzeptanz dieser Methoden auf unternehmensweiter Ebene erleichtern und beschleunigen kann. Allerdings ist nicht jedes Gerät für biometrische Authentifizierung geeignet und die Implementierung der erforderlichen Technologie kann sehr kostspielig sein. Außerdem müssen die Nutzer damit einverstanden sein, ihre biometrischen Daten im beruflichen Kontext zu nutzen.
- Hardware-Tokens: Diese physischen Geräte erzeugen einmalige, oft zeitlich befristete Codes oder kryptografische Schlüssel für die Authentifizierung als zusätzliche Sicherheitsebene für die Anmeldung. Ein Angreifer bräuchte physischen Zugriff auf den Token und müsste außerdem die Anmeldedaten des Nutzers kennen, um Zugang zu seinem Konto zu erhalten. Der Nachteil: Ein vergessenes Passwort kann einfach zurückgesetzt werden, aber ein verlorener Hardware-Token muss ersetzt werden. In der Zwischenzeit muss zudem ein alternativer Back-Up-Prozess für die Anmeldung eingerichtet werden.
- Zertifikatsbasierte Authentifizierung: Dieser Ansatz basiert auf digitalen Zertifikaten, die von einer Zertifizierungsstelle ausgestellt werden, in Kombination mit Public-Key-Kryptographie zur Überprüfung und Verifizierung der Benutzeridentität. Das Zertifikat speichert identifizierungsrelevante Informationen und einen Public Key, während der Nutzer selbst über einen virtuellen Private Key verfügt. Diese Authentifizierungsmethode bietet sich beispielsweise in Fällen an, in denen Unternehmen Auftragnehmer beschäftigen, die temporären Zugang zu ihrem Netzwerk benötigen. Die Implementierung dieser Methode kann allerdings vergleichsweise kosten- und zeitaufwändig sein.
Darüber hinaus existiert noch ein weiterer, dynamischer Ansatz: die sogenannte risikobasierte Authentifizierung. Dabei wird bei einem Anmeldeversuch zunächst das damit verbundene Risiko eines unbefugten Zugriffs auf Basis verschiedener Faktoren wie Benutzerverhalten, Standort und Geräteinformationen ermittelt und die Authentifizierungsanforderungen entsprechend angepasst.
Fazit: Es gibt viele Wege nach Rom
Um ein möglichst hohes Level an Authentifizierungssicherheit zu gewährleisten, sollte der Fokus der Verantwortlichen nicht auf der Abschaffung von Passwörtern liegen, sondern darauf, die Abhängigkeit von ihnen zu reduzieren. Passwortlose Ansätze stützen sich dafür auf alternative oder zusätzliche Authentifizierungsmethoden, die – wie die oben genannten – sicher und gleichzeitig benutzerfreundlich sind, oft als Teil eines umfassenderen „Zero Trust"-Ansatzes. Sowohl passwortloser Zugriff als auch Zero Trust tragen dazu bei, die Sicherheit von Geräten, Nutzern und Netzwerken in einer sich kontinuierlich verändernden Bedrohungslandschaft zu erhöhen, ohne die Benutzererfahrung zu beeinträchtigen – und in Kombination die Abhängigkeit von Passwörtern zu beenden.
Anzeige
Wenn die Telekom die problematischen Passwörter alle kennt, warum findet dann kein Abgleich mit bekannten Leaks statt? Sind die Passwörter in der Datenbank mit bcrypt + Salt gesichert, dann ist das dort natürlich nicht möglich, aber bei Anmeldung schon.
Warum lassen die Anbieter es zu, dass man Password1 überhaupt noch verwenden kann? Ein Hinweis, dass ein Passwort nicht verwendet werden kann, weil es in einer Datenbank bekannter Leaks enthalten ist wäre kein Problem.
Das umfasst auch einen Passwortwechsel, wenn bei Anmeldung festgestellt wird, dass das Passwort inzwischen Teil eines Leaks ist. Dieser anlassbezogene Wechsel wäre viel sinnvoller als regelmäßige Wechsel zu fordern, wie die Telekom bei der DNS Verwaltung, welche kein 2FA unterstützt.
Meintest wohl yescrypt, und bitte gleich die Gelegenheit nutzen um deine Linux-Boxen zu upgraden.
Oktober 2023 grüßt dich!
Jedes jahr dasselbe Gejammer und die gleichen Scheinargumente die Benutzer zu weitaus gefährlichern Technologien zu drängen als Username/Password. Die Kombination ist durchaus sicher, wenn nicht viele blöde Unternehmen die menschen zum Klarnamen als Username zwingen würden. Ich verwende sehr viele Accounts und noch nie tauchte einer davon in einer Leakliste auf, außer dem für schmutzige Unternehmen, die unbedingt eine Email haben wollen. Aber der hat keinen Zugang zu irgendwelchen geschützten Konten. Laßt Euch nicht von Passkey und ähnlichem Quatsch ins Boxhorn jagen. Und speichert schon gar nicht Eure Zugangsdaten auf Smartphones oder in der Cloud. Und verwendet für jeden Account eine andere Kombination von Username/Password. Leider erlauben nru wenige Firmen den Usernamen frei zu wählen und genau das ist ein Problem. Und ignoriert ruhig die Forderungen z. B. des BSI zur Paßwortkomplexität.
Hi…
Abgesehen davon, dass ich sowohl mit der "Bockshorn*"-These als auch dem Bemängeln der freien Wahl von Anmeldebenennungen übereinstimm', seh' ich doch eher eine gewisse Basis-Komplexität für Kennwörter für angebracht und sinnvoll.
Es ist "von Haus aus" (Ressourcen-)aufwändiger sowohl durch Anzahl als auch Verwendung verschiedener Zeichen ein Kennwort in komplexer Ausprägung zu kompromittieren und bietet dementsprechend auch ein grundlegend höheres Sicherheitsniveau – das sollte als frei zur Verfügung stehender Schutzmechanismus nicht verschenkt werden!
* https://de.wikipedia.org/wiki/Bockshorn_(Redensart)
> die Benutzer zu weitaus gefährlichern Technologien zu drängen als Username/Password. <
Gefährlich kann ich nicht beurteilen, aber gewiss unzumutbar. Auf (1) wird gerade ein neuer Schweizer (TOKEN2 Sàrl, Genf) FIDO2-Sicherheitsschlüssel mit Platz für 300 Passkeys gefeiert, zumindest von der Redaktion. Kurz die in die Dutzende gehenden Anleitungen (2) zur Vermählung mit verschiedenen Diensten überflogen und schon genug gehabt. Soll das alltagstauglich und idiotensicher sein? Versteht das die liebe Verwandtschaft? Wieder an Nieder mit IT! (youtube.com/watch?v=k0jpLJ-S9N8) erinnert gefühlt.
(1) heise.de/news/Passkeys-FIDO2-Sicherheitsschluessel-mit-Platz-fuer-300-Passkeys-9701794.html
(2) token2.com/site/page/integration-guides
Das mit den 300 Passkeys ist je nach Stick voll Banane, weil man sie teils nicht separat managen kann. Bei dem Stick von Google zum Beispiel kann man nicht einzelne Passkeys löschen, sondern nur alle. Und ja, die Verknüpfung des Sticks mit den versichenden Anmeldesystemen ist nicht gerade trivial, insbesondere wenn dir dann auch noch ein Device-Management der Antivirus-Software an den USB-Ports dazwischen funkt…
Schon erschreckend zu lesen, dass angeblich nicht nur ein Experte, sondern mehrere/alle der Telekom zu dem Blödsinn mit dem Satz für Fußballspieler raten. Cool, dann gibt es in der Liste der bekannten Passwörter demnächst 20 Variationen, aber trotzdem wird das Passwort überall verwendet…
Ist es für angebliche Experten so schwer auf einzigartige Passwörter und einen Passwortmanager (jeder Browser hat einen und der kann i.d.R. auch Passwörter erzeugen) / Stift und Papier zu verweisen?
Kein Wunder, wenn die Gesamtsituation nicht besser wird bei solchen Tipps. Aber bei der Telekom wird ja auch der Microsoft Authenticator für 2FA empfohlen…
2FA ist nur dann sicher, wenn man dafür 2 Geräte benutzt.
Denn sonst könnte man den 2. Faktor per MitM-Angriff abfangen.
Es hat sich übrigens gezeigt, das Passwortlänge Passwortkomplexität deutlich schlägt.
Mit einer modernen Grafikkarte als Rechenknecht dauert es 5 Minuten, ein 8-stelliges Passwort, das aus Ziffern, Klein- und Großbuchstaben und Sonderzeichen besteht, per Brute Force zu knacken.
Bei einem Passwort, das nur aus Klein- und Großbuchstaben besteht, aber 12 Stellen Länge hat, dauert das schon 6 Jahre! Bei 14 Stellen sogar 17.000 Jahre!
Da die Rechenkapazität jährlich steigt, würde ich 14 Stellen Passwortlänge als absolutes Minimum ansehen, besser 16 Stellen, egal, wie komplex das Passwort ist.
Und es sollte auch ein Leerzeichen im Passwort enthalten sein, denn das wird bei Brute Force so gut wie nie berücksichtigt.
Ich habe übrigens auch mehrere Emailkonten.
Aber jedes Konto hat einen anderen Benutzernamen, der nicht einmal ähnlich ist zu den Namen der anderen Konten und auch keinen Rückschluß auf meinen tatsächlichen Namen lässt. Auch hat jedes Konto ein komplett eigenes Passwort.
Beides trifft auch auf alle Onlinezugänge zu.
———
Mit einer modernen Grafikkarte als Rechenknecht dauert es 5 Minuten, ein 8-stelliges Passwort, das aus Ziffern, Klein- und Großbuchstaben und Sonderzeichen besteht, per Brute Force zu knacken.
——–
Genau hier ist ja schon das Problem das ein Dienst so viele Anfragen zulässt.
Hab das mal vor Jahren wo gefunden und ist immer noch sowas von aktuell…
Das Problem sind doch nicht "unsichere" Passwörter.
Das Problem sind Anwendungen, die die Passwörter ihrer Nutzer ungehasht und ungesalzen abspeichern.
Das Problem sind Anwendungen, die Brute-Force Angriffe zulassen.
Das Problem sind Anwendungen, bei denen es überhaupt soweit kommen kann, dass Daten (u.a. Passwörter) entwendet werden.
Selbst das sicherste Passwort ist unter diesen Umständen nicht sicher.
Abgesehen davon gibt es selbst heute noch Anwendungen, die keine 2FA unterstützen oder auf Schwachsinn wie "Sicherheits"-Fragen setzen.
Würden Softwareentwickler und Websiteprovider ihre Hausaufgaben machen, könntest du dich auch einfach mit hallo123 authentifizieren.
Das Problem ist auch, das heute noch unsichere Hashverfahren, wie z.B. MD5 und SHA1 zum Einsatz kommen.
Für MD5 gibts sogar Webseiten, bei denen man den Hash eingibt und innerhalb kurzer Zeit das Klartextpasswort ausgeworfen bekommt.
Und das nicht im Darkweb, sondern für jeden ohne Anmeldung zugänglich.
Wenn du die Komplexitätsregeln des Passworts kennst, kannst du auch den Angriff darauf anpassen, z.B. wenn du weißt, dass das Passwort nur aus 20 Kleinbuchstaben bestehen muss, kannst du bei einem Angriff auch gleich alle anderen Buchstaben weglassen. Das verkürzt die Zeit wieder.
Beim französischen Provider OVH kannst du dir schon Zugang zu einem Quantencomputer mieten, das könnte bei der Passwortknackerei schon wieder ein Gamechanger sein…
Schon Scheiße da ist man über 50 Jahre mit IT beschäftig: immer mit PW, etwas kürzer zusätzlich mit 2FA und kein einziges PW wurde einem da bisher selbt geklaut, noch nicht mal eine einzige Malware auf den eigenen Systemen!
Nein die PW Leaks gab es bei Drittfirmen die Ihre Systeme nicht im Griff hatten und PW sogar im Klartext speicherten und dann auch noch so schlau waren sich die Datenbanken stehlen zu lassen. Und da ist es dann scheiß egal ob du ein komplexes langen oder ein kurzes weniger komplexes PW nutzt.
Drecksfirmen wie *hustAdobe; *hust Sony; *hust LastFM *hust VISA … meine PW sind sicher genug, wenn die Drecksfirmen nicht sind!
FIDO & Co. netter Versuch, aber jeder der weis was für ein Aufwand es ist einen Account zurück zu bekommen, geht er mal verloren sollte jetzt mal nachdenken wie schwer das mit FIDO wird, geht der verloren oder kaputt… von der Eindrichtung bei Paula Dumpfbacke (welche nunmal 90% der User ausmacht) gar nicht erst anzufangen. Hab hier auch noch einig Yubico& Co.
rumliegen für bestimmte Anwendungen (zum Besipiel die Bankingsoftware), fürs allgemeine? Ganz sicher nicht!
PW sind safe wenn man den sein Hirn auch nutzt! Deppen gibt es da draussen halt zuhauf.
Kann ich nur zustimmen
—-
Nein die PW Leaks gab es bei Drittfirmen die Ihre Systeme nicht im Griff hatten und PW sogar im Klartext speicherten und dann auch noch so schlau waren sich die Datenbanken stehlen zu lassen.
—-
Durch Brute Force wenn die PW rausrollen, dann ist das System sowas von Falsch konfiguriert wenn es soviel anfragen zulässt.
Das Problem ist nicht primär online Bruteforce, sondern zwei andere Faktoren. Erstens sind die Passwörter häufig schlecht gesichert, weil in den Datenbank schwache Hashverfahren wie MD5 ohne Salt verwendet werden. Das erleichtert die Rückrechnung. Zweitens verwenden die Anwender häufig das gleiche Passwort für verschiedenen Dienste.
Kommt es zu einem Leck im "Online-Forum der Gartenfreunde" kann der Angreifer zurückgerechnete Passwörter häufig auch an anderer Stelle verwenden. Genau diesen Umstand machen sich Password-Spraying Angriffe zu Nutze. Sind die Hashwerte erstmal geleakt, dann mache ich "Bruteforce" auf meiner Grafikkarte. Das passiert lokal, der Anbieter kann dagegen nichts mehr tun.
Funktioniert das Passwort aus dem Forum auch beim Mail-Anbieter, dann hat der Hacker den Jackpot gewonnen. Erstens sieht er auf Grund der Mails welche Zugänge es gibt. Zweitens kann er in der Regel die Passwörter über das Mailkonto ändern (Passwort vergessen Link). Gerade Mail ist ein sehr sensibeler Punkt in der Kette, welchen man nicht unterschätzen sollte.
Komplett richtig. Ich bin offen für neue Möglichkeiten, aber ich sehe hier keine für mich relevante Verbesserung.
Passkeys? Ja, na klar. Und die Verwaltung bzw. Backups nehmen dann die grossen (Cloud) Anbieter selbst in die Hand, und jeder Account ist somit gebunden. Schöner Datenschutz. Und wenn der eine Zugang mal nicht funktioniert steht man blöde da…
Eigene Passkey Verwaltung? Na klar, über Passkey Manager und PlugIns für jeden Browser, die ständig im Hintergrund laufen müssen, und sich bei Updates "zerschiessen" oder beenden. Und das Masterpasswort für den Manager dann am besten auch gleich in der Cloud…
Ubikeys? Klar, und was ist mit Redundanz? Also pro Person mehr als zwei Ubikeys? Billig sind die auch nicht…Oder mehrere Geräte, falls der Zugang über eines nicht mehr funktioniert? In meinen Augen alles unausgegoren, die grossen Anbieter möchten nur die Kunden alle an sich binden, und mit Passkey wird es so kommen, da die Masse der Consumer immer die einfachste Variante nimmt. Im Fall des Verlustes würde man aber ganz schön dumm dastehen.
Ich denke, ich bleibe lieber erstmal bei Login mit Passwörtern und 2FA, da kann ich mich immer anmelden. Jedenfalls, bis es eine einfachere Methode gibt, um seine Passkeys datenschutzkonform selbst zu sichern und wiederherstellen zu können. So ist das in meinen Augen unausgegoren. Mal abwarten, ich habe momentan überall wo möglich 2FA aktiviert, das ist mehr als sicher genug.
Passkey Verwaltung wäre für mich ok, wenn die Dinger Exportierbar wären.
Aber jeder will die "festhalten" damit jeder Anwender ja bei dem dahinterliegenden System bleibt.
Danke für den Artikel, hab gerade mal die genannten Passwörter mit unserer Verbotsliste abgeglichen, unsere Fußballfans werden mich dafür lieben.
Ansonsten teile ich die Meinung der Kommentatoren bezüglich Yubikey und Co., das ist ziemlich kompliziert einzurichten und Verlust von so einem Stick ist ziemlich tragisch.
Mein erstes Passwort überhaupt, war – glaube ich – die vierstellige PIN der EC-Karte vom ersten eigenen Bank-Konto. Seither kamen immer mehr Passwörter hinzu … eMail-Konten, Online-Banking, Online-Shopping, Online dies und Online das … demnächst zusätzlich die PW für irgendwelcher "Bürgeraccounts" zum Beantragen von zb. Personalausweis, oder zum Ummelden usw. Inzwischen haben sich deutlich über 150 PW angesammelt …
Und wozu das alles ?
Warum macht man zb. Online-Banking und Shopping überhaupt? Weil es so schön bequem ist? Nur deshalb? Wirklich nur deshalb? Oder steht nicht auch ein latenter Zwang dahinter!? Die Versorgungseinrichtungen und Verkehrsinfrastruktur auf dem Lande ist im Vergleich zu den Metropolstädten inzwischen GROTTENSCHLECHT. Und zugleich die Kosten für den Individualverkehr, immens explodiert im Vergleich zu Früher.
Und warum meint man eigentlich, das alles "Digitalisiert" werden müsse? Um die Arbeit auf den Kunden abzuwälzen … um teure Arbeitskräfte durch technische Prozesse zu ersetzen, um Gewinne zu steigern? Ist dieser Effizienz-Steigerungs-Wahn, welcher dem (gegebenen) Kapitalismus zu tiefst inne wohnt, nicht die eigentlich treibende Kraft des ganzen Irrsinns?
Wie kann es überhaupt sein, das immer öfter bestraft wird, wer die Frechheit besitzt mit dem offiziellen Zahlungsmittel, genannt Bargeld, bezahlen zu wollen? Als "Service-Aufschlag" getarnt begann ausgerechnet ein zu 100% im Staatsbesitz befindliches Unternehmen damit.
Banken warben einst mit den Vorteilen des Online-Banking und schwups entwickelte sich dies nach erreichen einer "kritischen Masse" zum neuen Standard, Offline-Konten kosteten plötzlich etwas. Und schwups, kosten nun auch Online-Konten bei den meisten Instituten … obwohl der Staat uns doch ZWINGT ein Konto zu haben, seit Löhne nicht mehr bar Ausgezahlt werden dürfen. Der gleiche Staat drückt sich vor der Regulierung gieriger Banken … oder steckt mit diesen unter einer Decke?
Und gegen all das gab es nie Protest, nichts … statt dessen wird wegen allem möglichen Schwachsinn Demonstriert . . .
Die Effizienz – Perfektionierungswut des "Systems" zerstört die Gesellschaft. Ganz leise, still und heimlich kam das schleichende Gift in unser Leben und zersetzt nach und nach ALLES, das als zu selbstverständlich wahrgenommener Teil des Gemeinwesens galt. Jetzt braucht man also auch "Termine" um überhaupt noch ins Rathaus zu kommen … bald müssen wir gar nicht mehr hin und füllen all die Formulare, Formulare, von der Wiege bis zu Bahre, von zu Hause aus, aus! Ist das wirklich Fortschritt?
Gerade Entscheidungträger sollten so langsam die tiefe Wahrheit erkennen, welche in einem Satz zu finden ist, welcher in der Serie Fringe eine große Rolle spielt:
ZERSTÖRUNG durch Fortschritt ….
Es ist an den jüngeren in dieser Gesellschaft, diesen Zersetzungsprozess Aufzuhalten, ggf. Umzukehren. Nicht alles was "modern" ist, muss auch gut sein.
Vielleicht braucht es eine Ergänzung des Grundgesetz? Das nämlich ein Leben ohne Nachteile auch ohne Passwörter möglich sein MUSS. Ging doch früher auch … !
100% Zustimmung.
Schließe mich an, volle Zustimmung!
An die "Jüngeren in dieser Gesellschaft" glaube ich jedoch (leider) nicht, wenn es darum geht, diesen Prozess von sinnfreier Digitalisierung und unguter Effizienzwut überhaupt erstmal zu erkennen und dann auch wieder zu korrigieren bzw. in vernünftige Bahnen zu lenken…
Ist ja nicht gewollt , weil damit Kontrolle wieder aufgegeben werden müsste – gibt niemand freiwillig auf, genauso wenig, wie den heilsbringenden "Gott" Kapitalismus!
Und ansonsten: frag ' mal das Volk – da gibt's einfach zu viele dumm-willige Bequemlichkeitsschafe in ihrer Wohlstandsblase!
Meine Güte. LOL. Soviel "Sachverstand", soviel Hass auf die Zeit nach der Dampfmaschine. Man merkt, man ist in einem deutschen Forum unterwegs. Am liebsten wollen alle zurück in die Vergangenheit, kiloweise Hartgeld in der Hose herumtragen und tonnenweise Akten im Regal bunkern. Also ich muss mich glücklicherweise von euch nicht als "Jüngerer" beschimpfen lassen, ich bin Mitte Sechzig. Und wisst ihr was? Mir gehen die Modernisierungen in Deutschland zu langsam voran. Es bewegt sich zwar auch in diesem Bedenkenträgerland endlich mal was, aber es gibt noch viele Aluhutträger wie euch, die sich hier in diesem Forum immer wieder versammeln und ihre Rückwärtsgewandtheit feiern.
ist noch nie gut gegangen, wenn Opa auf progressiv macht, mein ja nur
Ich verstehe, was du meinst. Beispiel aus der Praxis: Zugfahrt von Prag nach Berlin. Internet im Zug in Tschechien: super. Zug fährt über Grenze: Internet weg. Kann echt nicht wahr sein. In der digitalen Infrastruktur hat Deutschland, höflich formuliert, Luft nach oben.
Gegenbeispiel: Digitalisierung der Gesundheitsdaten. Was hier aktuell auf nationaler und europäischer Ebene läuft und angedacht ist, wird nicht nur von Modernisierungsverweigerern kritisch gesehen; deutliche Kritik kommt auch aus Fachkreisen, die nun wirklich unverdächtig sind, technik- oder digitalisierungsfeindlich zu sein.
Bei vielen Debatten aktuell geht es um Kernfragen, wie unser Leben in der digitalen Welt eigentlich verfasst sein soll, wie weit Datenschutz, Privatsphäre und informationelle Selbstbestimmung reichen und wo sie enden. Ich persönlich glaube mittlerweile, dass Privatsphäre, also der Schutz heute noch als privat klassifizierter Daten, in den nächsten Jahrzehnten weitgehend verschwinden wird. Menschen, die das nicht wollen und ablehnen, werden dann am gesellschaftlichen Leben nicht mehr vollumfänglich teilhaben können. Der Trend ist heute schon erkennbar: Im Supermarkt bekommt man bestimmte Sonderangebote nur noch dann, wenn man an der Kasse seine Daten preisgibt, also Smartphone mit der jeweiligen Supermarkt-App scannen lässt. Wer das nicht will oder kein Smartphone besitzt, wird ausgeschlossen und muss den vollen Preis zahlen. Scheint auch niemanden zu stören. Habe ich noch nie gehört oder gelesen, dass diese sehr subtile Form digitaler Diskriminierung kritisiert oder angeprangert wird. Das Fehlen öffentlich wirksamer Kritik ist ein starkes Indiz dafür, dass wir uns mitten in einem kulturellen und gesellschaftlichen Wandeln befinden.
Schalke 04 bleibt auch nichts erspart. Jetzt sind die Fans selbst bei der Passwortwahl die Deppen. Wenn das Ernst Kuzorra wüsste: seine Schalker …, er würde sich im Grab auf dem Rosenhügel in Gelsenkirchen-Schalke umdrehen.
Man könnte auch damit beginnen nicht für jeden Mist einen Account zu verlangen.
Es gab in der Vergangenheit genug Firmen mit Zwangsaccounts, die die Anmeldedaten der Gezwungenen in allgemeines Wissen umgewandelt haben. Nur waren diese Accouns für die Nutzer auch nur Wegwerfaccounts.
Ein Beispiel wäre Adobe, die Downloads frei benutzbaren Programme hinter geforderten Adobeaccounts verstecken musste.
Natürlich kommt dann auch 123456 als Passwort zum Einsatz. Im Zweifel mach ich mir einen eh einen neuen Account. Und wenn der alte geknackt wird, dann ist das auch egal. Das Wichtigste da drin ist noch die Email und die ist im Zweifel eh schon lang und breit bekannt.
Oberhalb von kein Account wären ein geheimer Nutzername und ein Passwort in den meisten Fällen absolut ausreichend. Nur ist heute schon der Nutzername in vielen Fällen nicht mehr geheim, da gleich dem öffentlichen Namen oder noch schlimmer Nutzername gleich Emailadresse. (Oder ganz schlimm, Nutzername gleich realer Name).
Eine Emailadresse sollte nur eine hinterlegte Kommunikationsmöglichkeit sein, kein Loginfaktor.
Im Grunde haben wir uns, aus welchen Gründen auch immer, ein System mit 2 potentiell unbekannten Faktoren in ein System mit einem potentiell unbekannten Faktor umgewandelt.
Vermutlich aus reiner Bequemlichkeit.
Und nun versuchen wir wieder auf ein System mit 2 Faktoren zu kommen.
Ja, diese 2 neuen Faktoren sollen nun technisch unabhängig voneinander sein. Was sie alleine schon bei 2FA über email oder ähnlichen Späßen aber eigentlich schon mal nicht sind.
Auch weisen die aufgezeigten Ersatzmöglichkeiten noch mehr schwächen auf.
2 Faktor bedingt erst einmal, dass ich immer das 2. Gerät dabei habe, was in der heutigen Zeit auch noch oft ein Smartphone sein muss (und nein, hat noch immer nicht Jeder).
Codeversand über SMS ist ja zu unsicher (lies teuer), also nutzt bitte eine App (inklusive tracking) und schiebt das ganze einmal über Server in den USA.
Ganz abgesehen davon, dass ich die allermeisten Smartphone als weitaus unsicherer ansehen würde als einen aktuell gehaltenen Windows PC.
Das Billigphone aus China vom Elektronikdiscounter ist in der Vergangenheit schon veraltet, aber im Zweifel mit Spähsoftware, in den Laden gekommen.
Und wie viel da die Updateregeln der EU verändern muss sich erst noch zeigen.
Wobei die Sicherheit etwas an eine bestimmte Sim zu schicken eh damit steht und fällt, wie einfach man an eine geklonte Sim herankommt. Dort haben sich Mobilfunkanbieter in der Vergangenheit auch nicht unbedingt mit Ruhm bekleckert.
Bei der Biometrie kommen ganz andere Punkte dazu.
1. Die Anzahl meiner biometrischen Authentifizierungsmerkmale ist stark begrenzt. Noch mehr, wenn ich meine Füße unter dem Tisch lassen soll.
"Verliere" ich diese, so kann ich mir nicht einfach neue machen. Sie sind verbrannt, für den Rest meines Lebens.
2. Ich trage die meisten dieser Merkmale offen zur Schau (Gesicht und Fingerabdrücke) und hinterlasse sie auch überall (Fingerabdrücke).
Soll ich das jetzt als Public Key verstehen?
3. Die Erfassungssysteme haben sich in der Vergangenheit extrem leicht austricksen lassen und selbst die besten Systeme brauchen im Zweifel nur etwas mehr technischen Aufwand, um sie ungesehen und unbemerkt mit "gültigen" biometrischen zu versorgen.
Herzschlag und Leitfähigkeit der Haut sowie Körpertemperatur oder echte 3D Struktur sind keine unlösbaren Probleme. Für die Fingerabdrücke selbst reicht schon ein hochauflösendes Foto der Hände.
4. Bei einer Weigerung Passwörter herauszugeben kann man in gerichtlich angeordnete Erzwingungshaft und am Ende trotzdem "Erinnerungslücken" haben.
Die Entsperrung von Geräten mit biometrischer Auth ist aber nur passiv und daher mit weniger juristischen Problemen belastet.
Letztes Jahr erst wurde entschieden, dass der Umweg über die erkennungsdienstliche Aufnahme von Fingerabdrücken absolut legal ist. https://www.heise.de/news/Landgericht-erlaubt-Handy-Entsperrung-durch-erzwungenen-Fingerabdruck-7542934.html
Hat zwar etwas von einem Gefälligkeitsurteil, ist jetzt aber die Rechtslage.
Und in den USA darf die Polizei das Smartphone eh mal kurz vor das Gesicht halten oder die Finger drauf drücken. Das ist nur milder Zwang, während das herrausprügeln von Passwörtern (der Polizei) dann doch nicht erlaubt ist.
Ergebnis, biometrische Absicherung ist juristisch praktisch nicht existent.
Und dann gibt es ja noch die tolle Idee zentraler Anmeldedienste.
Ein einzelner Angriffspunkt ist schon etwas Schönen.
Wenn dies aber auch noch ein Google oder ein Meta ist, welche bei der Accountsicherheit in der Vergangenheit gerne mal versagt haben, wird die Sache langsam tollkühn, dem stimme ich zu.
Was aber noch fehlt ist, was passiert wenn der Account auf Basis undurchsichtiger automatischer Entscheidungen wegen unklarer Regeln geschlossen wird.
Dann war es das auch mit dem Anmelden und das ganze schöne System bricht in sich zusammen.
Man stelle sich nur mal vor, SSO mit dem MS Account.
Oder um es in kurzen Worten zu sagen.
Alles Mist.
vlt. sind dann diese sogenannten "services" mit "account" doch nicht eine so pralle Idee
freie Verfügbarkeit ohne "Auth" !!
wäre dann auch eine QS – Massnahme
fürchte, im Ergebnis würde nach breiter und freier Anwendung oft herauskommen: den rudimentären Mist braucht keiner, selbst wenn er für "lau" ist ;)))
Besser hätte man alles, was zum Thema zu sagen ist, nicht auf den Punkt bringen können!
Das auf die erste Seite des BSI und auf alle Titelseiten der Presse on- und offline und für die Verweigerer seriöser Quellen in die Accounts der "Influencer" mit den meisten Followern, damit "die Entscheider" über all den Mist mal ihr Hirn einschalten, statt den Kopf nur zum Abnicken der nächste bescheuerten Idee zu nutzen.
Man darf ja noch träumen..
Tipp an die "Sicherheits-Expertinnen und Experten" der Telekom: unterlasst die Empfehlung, merkbare Passwörter zu erstellen. Einzig mein PW-Manager sollte meine Passwörter generieren und kennen, sonst niemand.
Wer selbst 100% phishing-resistent ist, für den sind Passwörter natürlich ausreichend. Die Mitarbeiterinnen und Mitarbeiter in meiner Firma sind es allerdings nicht. Daher sind phishing-resistente Authentifizierungsmethoden ohne Passwörter sehr wichtig, und Passkeys wie Windows Hello eine gute und sinnvolle Maßnahme. Passwortlose Authentifizierung verbessert außerdem die Benutzererfahrung und Bedienerfreundlichkeit.
Passwörter sind im Prinzip eine gute und sichere Sache.
Das Dumme ist nur, dass viele Otto-Normal-Passwortbenutzer noch immer glauben, ein Passwort müsse ein Wort im engeren Sinne sein.
Biometrie hat einen massiven Nachteil, den ich hier vermisse: Das ist nicht änderbar.
Passwörter, Telefonnummern, Tokens etc. kann man alle ändern. Ist aber mein Fingerabdruck einmal irgendwie im Netz, ist er auf ewig verbrannt.
Ein hochauflösendes Foto im Netz + guter 3D-Druck und meine Haustür geht auf. Potentiell jedenfalls.
Daher bin ich von Biometrie als Passwortersatz nicht überzeugt.
Viel wichtiger: Passwortsafe mit unterschiedlichen PWs pro Account.
Biometrie hat zudem den Nachteil, dass man sie auch gegen Deinen Willen gegen Dich einsetzen kann. Wie viele Beschlüsse gab es schon, die der Polizei erlaubte, die von einem Verdächtigen abgenommenen Fingerabdrücke zu nutzen, um dessen Mobiltelefon zu entsperren, obwohl dessen Inhalt nachweislich nichts mit dem zur Debatte stehenden Delikt, dessen man beschuldigt wurde, zu tun hatte? Biometrie ist bei mir aus genau solchen Gründen per se AUS.
[https://web.archive.org/web/20201112213643/https://github.com/solokeys/solo/issues/353]
Habe mir damals mit dem Nucleo32 einen eigenen WebAuthn und FIDO2 fähigen Token gebaut mit Mikroschalter.
An Passwörtern und Accounts ist nicht dumm, sie schaffen Komfort und das Gefühl etwas persönliches zu haben. Mein "Nickname", etc pp
FIDO2 löst das Menschen keinen guten Zufall generieren können oder sich merken können. Token kaputt? Nicht schlimm, alle meine Services haben Recovery codes und TOTP als Fallback!
Mal ganz ehrlich. Was für ein Kindergarten. Token kaputt oder verloren? Werf mal deinen Haustürschlüssel in den Main/Rhein/Yangtze. Hilft dir auch keiner ohne Nachschlüssel bei Verwandten.
Mal eine heiße Herdplatte angefasst? Vorsicht frisch gestrichen? Leute werden immer einen Weg finden sich selbst zu ownen. Recoverykeys kann man super ausdrucken und im Urlaub mit dem Gepäck mitführen. Oder als verschlüsselte PDF bei beliebigem Online-Service hinterlegen.
Wenn ich mich selbst ownen will finde ich einen weg.
FIDO2 löst das am besten, man kommt einfach noch rein im Ernstfall. Passwordless löst kein echtes Problem. Wer es immer noch nicht kapiert:
Hardwaretokens, das sind Mikrocontroller. Quasi ein PC so klein, das man ihn von Außen nicht mehr hacken kann. (Debugprobes und Fault-Injection mal abgesehen. Leute das ist kein Angriffscenario. Wer Debugprobes hat, der kann auch einfach bei Google sagen: Mach E-Mailkonto xyz auf für unser FBI.)
Wir hatten eine gute Lösung und sie scheiterte an 15€ Hardwarekosten und Geiz. Whatever.
2FA ist Schuldabwälzung. Ein paar Leuchten werden gehackt und treiben kosten für Fraud- und Supportabteilungen hoch. Weil Leute im ernst noch gehackt oder gephisht werden muss jeder leiden. Okay, das war eine Lüge. Manchmal liegt auch ein Cloud-Bucket offen für Hacker und die Firma hat die Kunden ge-owned ;)
Der Entwickler von webauthn-rs meint, es scheitert nicht an den Kosten der Hardware, sondern an den Firmen, die die Software absichtlich (vendor lock-in) oder unabsichtlich (schlechte Programmierung) vermurkst haben:
https://www.golem.de/news/chance-verpasst-webauthn-rs-entwickler-haelt-passkeys-fuer-geplatzten-traum-2404-184648.html