Am heutigen 7. Mai ist World Password Day, an dem an die Bedeutung des Themas erinnert werden soll. In diesem Kontext sind mir einige Meldungen zugegangen, die ich als Abriss im Beitrag spiegele. Ich verbinde es mit der Frage, wie ihr das in eurem Bereich so handhabt, und ob Passkeys so langsam zum Standard werden?
Der Weltpassworttag findet jedes Jahr am ersten Donnerstag im Mai statt und soll zu besseren Passwortgewohnheiten anregen. Passwörter sind wichtige Schutzmechanismen für digitalen Identitäten. Sie ermöglichen den Zugang zu Online-Shopping, Dating-Plattformen, Online-Banking, sozialen Medien, privaten Arbeitsinhalten und der Kommunikation im Alltag.
Passwörter und Cyberresilenz
"Gute Passwörter sind lang, bestehen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen." schreibt Thomas Lo Coco, Sales Manager Central Europe, Absolute Security. Aber er fragt, wie es ausschaut, wenn ein Mitarbeiter das Unternehmen verlässt und die Passwörter – etwa die BitLocker-Keys oder die BIOS-Zugangsdaten – auch gleich mitgehen lässt? Oder wenn Cyberkriminelle diese Passwörter umgehen oder durch einen erfolgreichen Brute-Force-Angriff die richtige Kombination ermitteln?
Auch wenn Passwörter eine notwendige erste Verteidigungslinie darstellen, sind dies nur einige Beispiele dafür, wie eine eindimensionale Sicherheitsstrategie leicht scheitern kann – eine einzige Schutzebene reicht nicht aus, um den Risiken in der heutigen feindlichen digitalen Umgebung zu begegnen.
Thomas Lo Coco schreibt, dass Unternehmen deshalb eine robuste Strategie zur Cyber-Resilienz brauchen, die die Endpunktsicherheit stärkt und es ihnen ermöglicht, zeitnah zu reagieren. Herkömmliche Sicherheitsmaßnahmen, die auf geschützten Büroverbindungen basieren, reichten nicht mehr aus. Endpoint-Sicherheitssoftware funktioniert in 20 Prozent der Fälle nicht effektiv, so dass Geräte an 76 Tagen im Jahr nicht vollständig geschützt sind und die Sicherheitsrichtlinien nicht einhalten. Angesichts der zahlreichen Geräte, die von Remote-Mitarbeitern genutzt werden, sei die Gewährleistung der Cyber-Resilienz entscheidend, um Schäden und Ausfallzeiten zu minimieren. Störungen können den Betrieb empfindlich treffen, die Produktivität beeinträchtigen und zu erheblichen finanziellen Verlusten führen.
Eine umfassende Verteidigungsstrategie müsse Maßnahmen für eine sofortige Reaktion definieren, präventiv Schwachstellen schließen und Protokolle zur schnellen Wiederherstellung der Funktionalität umfassen. Eine aktualisierte Software, die Überwachung aller Geräte und eine gewährleistete Netzwerktransparenz sind zentrale Maßnahmen, um Risiken zu mindern. Der Schutz des Netzwerks allein reiche nicht aus, wenn Endgeräte aufgrund veralteter Sicherheitsmaßnahmen anfällig bleiben oder Passwörter wirkungslos geworden sind. Zentralisierte IT-Teams benötigen einen Echtzeiteinblick in das Netzwerk und müssen bei verdächtigen Aktivitäten entschlossen handeln. Wird ein ungewöhnliches Verhalten festgestellt, sollten sie kompromittierte Geräte sperren oder herunterfahren, um den Vorfall einzudämmen, bevor er sich ausbreitet. Darüber hinaus bietet die Isolation von Geräten, die von unbekannten Standorten aus genutzt werden, eine zusätzliche Schutzebene und ermöglicht ein schnelles und effizientes Vorfallmanagement.
Durch einen proaktiven Ansatz zur Cyber-Resilienz könnten Unternehmen Ausfallzeiten reduzieren und eine schnelle Wiederherstellung nach Sicherheitsvorfällen gewährleisten, wodurch sensible Daten geschützt sind und der Betrieb aufrechterhalten bleibt. Ein sicherer und reibungsloser Betriebsablauf hängt – neben einer funktionierenden Passworthygiene – von einer starken Endpunktsicherheit, Echtzeitüberwachung und der Konzentration auf einen aktuellen Status der Systeme ab. Die sichersten Passwörter schützen nicht, wenn Sie in die falschen Hände geraten oder Insider sie missbrauchen. Diese Tatsache sollte man sich im Sinne einer gut funktionierenden Cyber-Resilienz bewusst machen. Denn es ist egal, wie hoch die Mauer ist, sobald jemand den Schlüssel zur Hintertür hat.
Sind Passkeys das Ziel bzw. die Lösung?
Martin Zugec, Technical Solutions Director bei Bitdefender plädiert dagegen für Passkeys. Er sagt: "Jedes Jahr am Weltpassworttag geben Anbieter für IT-Sicherheit dieselben Ratschläge: Längere Passwörter! Sonderzeichen hinzufügen! Niemals wiederverwenden! Und jedes Jahr bleibt '123456' das Kennwort, welches die Hacker weltweit am häufigsten ausnutzen. Irgendwann bleibt aber nur die ehrliche Einsicht, dass es nicht darum geht, all diese Ratschläge besser zu befolgen. Das Problem ist vielmehr, dass Passwörter das falsche Tool für die ihnen zugeschriebene Aufgabe sind. Und dass sollten wir auch klar sagen."
Zugec meint, Passwörter sind nicht gescheitert, weil Nutzer sorglos sind. Sie sind gescheitert, weil sie einen grundsätzlich falschen Ansatz verfolgen: Dutzende neuer Passwörter für alle möglichen Tools definieren, die komplex genug für Brute-Force-Angriffe sind, sich an diese erinnern und sie ständig wechseln – das sind Aufgaben, welche die kognitiven Fähigkeiten eines Menschen überfordern. Und die sie immer schon überfordert haben. Jahrzehntelange Rufe nach mehr Komplexität, nach Großbuchstaben, Zahlen und Sonderzeichen endeten in "Password1!" auf einem Post-it am Bildschirm.
Daher plädiert er dafür, dass der Welt-Passwort-Tag in Welt-Passwort-Ersetztag umbenannt werden sollte. Das sei eine ehrliche Standortbestimmung, wo sich die Industrie aktuell befindet. Natürlich sei für die bestehenden Nutzerkonten ein herkömmlicher Passwort-Manager immer noch ein essenzieller und wichtiger Schritt: Er verhindere, dass Nutzer Zugangsdaten wieder verwenden. Er generiert starke und einmalige Passwörter. Er reduziert die kognitiven Anforderungen an den Nutzer, an denen Passwörter in der Praxis scheitern.
Der zukünftige Weg ist aber laut Zugec bereits vorgezeichnet und die Ersatztechnologien sind bereits vorhanden: Passkeys, Hardwaresicherheitsschlüssel, FIDO2-basierte Verfahren zur Authentifikation. Apple Google und Microsoft verwenden diese bereits im großen Maßstab. Passwort-Manager sichern die Reise dorthin ab. Passkeys sind die Zukunft.
Von Thales-Mitarbeiter Roger Mahler habe ich noch ein interessantes Statement enthalten. Er argumentiert, dass die Branche jahrzehntelang versucht habe, die Internetsicherheit durch Passwörter zu verbessern. Doch in Wirklichkeit wollen Verbraucher diese nicht mehr nutzen. Eine klare Mehrheit (68 %) gibt laut dem Thales Digital Trust Index an, dass sie Unternehmen mehr vertrauen, wenn diese Passkeys verlangen. Die Authentifizierung sei nicht mehr nur eine Sicherheitsmaßnahme, sondern "ein wesentlicher Bestandteil des gesamten Kundenerlebnisses".
Die Studienergebnisse verdeutlichen, dass das Vertrauen in Unternehmen hinsichtlich des Datenschutzes nach wie vor gering ist. Verbraucher suchen nach einer klaren Bestätigung, dass ihre persönlichen Daten geschützt sind. Wenn Identitätsprozesse langsam oder schwierig sind, finden die Menschen Wege, diese zu umgehen. Tatsächlich geben 66 Prozent der Befragten von Drittanbietern zu, Zugangsdaten zu teilen oder auszuleihen – was verdeutlicht, wie schnell Reibungsverluste zu Risiken werden.
Passkeys seien eine einfache, nahtlose Möglichkeit, diese Risiken zu reduzieren. Die Herausforderung bestehe nun darin, dass zwar 87 Prozent der IT-Entscheidungsträger die Bedeutung von Passkeys erkennen, aber nur etwa die Hälfte sie tatsächlich implementiert hat, schreibt Mahler.
In der Folge zeige sich also, dass die Verbraucher für passwortloses Arbeiten bereit sind, die Unternehmen aber hinterherhinken. Diese Lücke zu schließen, bedeutet nicht nur, Risiken zu reduzieren, sondern auch, Vertrauen von der allerersten Interaktion an aufzubauen. Internetsicherheit muss in einen Wettbewerbsvorteil verwandelt werden. Kunden haben offiziell genug von Passwörtern, und die Unternehmen müssen Schritt halten und endlich Passkeys in der Fläche einsetzen.
Allerdings muss auch klar sein, dass Passkeys ein Schritt in die richtige Richtung sind, es aber keine oberflächliche Lösung sein kann. Unternehmen müssen die Identitätsverwaltung für Kunden, Mitarbeiter und Partner neu überdenken. Diejenigen, die unternehmensweit eine einheitliche, benutzerfreundliche Authentifizierung einsetzen, stärken nicht nur die Sicherheit, sondern beseitigen auch Reibungsverluste im Arbeitsalltag.
Wie seht ihr in der Leserschaft dieses Themenfeld? Setzen sich Passkeys inzwischen durch, und wo hakt es noch?
MVP: 2013 – 2016
Da ich mit Linux und iPhone unterwegs bin, nutze ich Passkeys nicht, obwohl es eine technisch interessante Lösung ist. Passwörter und OTP funktioniert auch…
"Und die sie immer schon überfordert haben. Jahrzehntelange Rufe nach mehr Komplexität, nach Großbuchstaben, Zahlen und Sonderzeichen endeten in "Password1!" auf einem Post-it am Bildschirm."
Ganz so banal ist es selten. Meistens ist der Ort oder der Firmenname eingebaut, was es natürlich nicht besser macht. Oder auch oft: NamedesKindesGeburtsjahr!
Passkeys mit Fingerabdruck sind bequem, aber gibt es eine Studie, wie sicher die Fingeradruck-Leser am Handy sind?
Es gibt ja die neue Tendenz zu langen unkomplizierten Passwörtern (Passphrase) die man nie mehr ändern muss oder statt dessen nur noch Passkeys oder Hello for Business. Passphrase, die sich nie mehr ändern, in Frankreich kann man bereits seit 2 Jahren Zugang zu einem (einfachen) Quantencomputer mieten, oder es ist eine Frage, wieviele GPU man in Singapur oder China mieten kann, um aufgeschnappte Hashes zu untersuchen. Ich weiß nicht ob ich das gut finden soll, denn Passkeys und HfB wird auf der Maschine verwaltet, auf der man sich anmeldet. Da wird es eines Tages bestimmt Wege geben, das zu knacken, und wenn es nur so passiert, dass es jemand gelingt, sich in diesen Anmeldeprozess einzuklinken und ein "Ok" an den Anmeldeprozess zurück zu liefern, statt es an die Passkeys/HfB Logik zur Prüfung zu reichen. Und wenn man sich mal von einem anderen Gerät anmelden muss, als dem auf dem der Passkey oder HfB liegt, biste aufgeschmissen.
Ich halte daher den Ansatz, "etwas regelmäßig änderndes wissen" plus "etwas extra haben" für sicherer. Sprich ein gutes Passwortmanagement (hier erscheinen ja regelmäßig gesponsorte Artikel von Specops, das taugt wirklich), plus Authenticator-App auf einem extra Gerät (Smartphone), Yubikey oder so einem RSA-Token für die bessere Wahl. Zumindestens bei TOTP und RSA gibts nochmal eine zusätzliche "Air-Gap" zu dem Gerät, auf dem man sich anmeldet, die Finger müssen das dort erzeugte Geheimnis in den Anmeldeprozess übertragen.
Dass man mit verschiedenen Passwörtern für verschiedene Dienste manche Leute überfordert, kann ich nachvollziehen, aber mit Hilfe eines guten Passwortmanagers ist das lösbar. Und dabei sollte man keines Falls irgendwelche Cloud basierte Dienste (also auch die PW-Manager im Browser, speziell neuerdings den in Edge erst recht nicht) nehmen, da kann man nicht reingucken, was die tatsächlich machen, selbst wenn der Code scheinbar (!) auf Github liegt. Bei selbst gehosteten Server-Lösungen bin ich mir auch nicht sicher, wenn das gehackt wird… Was lokales, wo man ein Backup ziehen kann (sollte!), AES256 oder besser verschlüsselt, das isses imho. Zum Beispiel Keepass(XC).
Ich muss gestehen, noch nicht mit Passkeys warm geworden zu sein. Mir stellt sich da weiterhin die Frage nach der Möglichkeit des Aussperrens und der Interoperabilität. Wenn irgendwas in Richtung Security als "einfach und narrensicher" verkauft wird, z. B. indem der lokale Browser die Speicherung eines Tokens übernimmt, dann macht mich das prinzipiell skeptisch.
Bei (ausreichend komplexem + nur 1x verwendeten) Passwort + 2FA via TOTP liegen die Zugangdaten komplett in meiner Kontrolle, ich kann sie dokumentieren, ins Backup packen etc. – bei FIDO2 muss für echte Redundanz nach meinem Verständnis ein zweites Konto hergenommen werden, während man mit 2FA via TOTP einfach den QR-Code auf mehreren Geräten scannt. Klar, das kann wiederum ein Sicherheitsproblem sein. Wäre aber kompensierbar. Hingegen durch die Support-Hölle zu wandern, weil man nicht mehr an ein gesperrtes Konto herankommt, macht auch keinen Spaß (btdt).