Eine Welt ohne Passwörter?

Stefan Cicigoi – Scheuss & Partner AG

Wer profitiert eigentlich von Passwörtern? Die Frage mag rhetorisch erscheinen und dennoch ist die Antwort darauf erschreckend. Denn eigentlich ist der Schutz durch Passwörter nur für eine Gruppe von Vorteil: für Hacker. Viele Kennwörter werden mehr als einmal verwendet, sind entweder zu einfach zu erraten oder zu komplex, sodass sie irgendwo notiert werden müssen. Selten ist der Ort dafür genügend geschützt und liefert Eindringlingen die Zugangsdaten auf einem Silbertablett.

Microsoft ermöglicht durch die kürzliche FIDO2-Zertifizierung von Windows Hello den fast 800 Millionen Nutzern von Windows 10, auf Passwörter verzichten zu können. 2015 eingeführt, ermöglichte Windows Hello die Anmeldung durch biometrische Merkmale (beispielsweise Iris-Scan oder Fingerabdruck) und einer an das Gerät gebundenen PIN. Auch die Online-Dienste von Microsoft brauchten kein Passwort mehr – Windows Hello liess sich ebenso gut bei Outlook oder OneDrive anwenden.

Bereits seit dem Windows 10 Update im Oktober 2018 (Version 1809) bot Microsoft seinen Kunden die Möglichkeit, sich mit FIDO2-Security-Keys als hardwarebasierte – und ebenfalls passwortlose – „Hello“-Alternative in Microsoft-Accounts einzuloggen. Mit der Zertifizierung funktioniert die Anmeldung über FIDO2 nun auch ohne zusätzliche Hardware, sowohl an Microsoft-Konten als auch bei sonstigen Webdiensten, die die FIDO/WebAuthn-Authentifizierung unterstützen.

Microsoft schreitet also mit grossen Schritten hin zu einer passwortlosen Welt. Und dennoch: ganz ohne Passwörter geht es nicht – zumindest die direkt an das Gerät gebundene PIN bleibt im Hintergrund bestehen. Wenn diese jedoch einmal gesetzt ist, braucht man im täglichen Gebrauch kein Kennwort mehr. Möchte man den Zugriff zurücksetzen oder an einem neuen, unbekannten Gerät arbeiten, hilft die Multi-Faktor Authentifizierung weiter.

Und wenn doch Passwörter verwendet werden müssen? Was dann?
Zunächst geht es darum, Passwörter richtig und sicher auszuwählen. Dafür gibt es zwar keine ultimativ gültigen Richtlinien, grundsätzlich gilt allerdings, dass die Länge des Passworts sicherheitstechnisch deutlich wichtiger ist als der Einbau möglichst vieler Sonderzeichen. Zusätzlich kann man vor der Benutzung eines neuen Passworts checken, ob sich diese bereits in den Listen von Passwort Crackern finden und somit zur leichten Beute werden. Eine Möglichkeit dafür ist die Eingabe beim Troy Hunts „Pwned Passwords“-Service.

Sehr zu empfehlen ist zudem die Verwendung einer Passwort Management Lösung, beispielsweise von Pleasant Passwort Server. Die Plattform ist nicht auf Einzelpersonen sondern auf die Nutzung von mehreren Teams oder sogar der gesamten Firma ausgelegt, ermöglicht das Verteilen von Rechten und ist kompatibel mit den beiden am häufigsten genutzten Passwort Management Systemen KeePass Password Safe and Password Safe.

Das Tool Pleasant Passwort Server ist zum einen durch Multi-Faktor Authentifizierung (zum Beispiel mit Google Authenticator) geschützt, zum anderen durch ein Master-Passwort – der Endnutzer muss sich statt vielen also nur noch ein Passwort merken. Die Nutzung wird protokolliert und jedes abgerufene Passwort generiert einen Logeintrag, wodurch sich sämtliche Aktionen bei Bedarf nachverfolgen lassen. Zusätzlich lassen sich automatische Email-Benachrichtigungen einrichten, sobald User unerlaubte Handlungen ausführen. Besonders nützlich ist auch der zufällige Passwort-Generator, mit dem Passwörter augenblicklich und ohne Aufwand des Users eine der höchsten Sicherheitsstufen erhalten.

Jeder Nutzer verfügt über einen privaten Bereich, in dem er seine eigenen Passwörter und Login-Daten verwalten kann. Zusätzlich lassen sich entweder pro User oder pro Rolle im Unternehmen unterschiedliche Berechtigungen verteilen – welche einfach und zentral verwaltet werden können. Nicht jeder hat also Zugriff auf sämtliche Firmenpasswörter, sondern lediglich gemäss der aktuell für ihn gültigen Berechtigung.

Und was ist mit ablaufenden Kennwörtern?
Übrigens: ablaufende Kennwörter machen Ihren Betrieb nicht sicherer – ganz im Gegenteil. Im April hat Microsoft die Empfehlung dazu ersatzlos aus ihren Sicherheitsempfehlungen gestrichen. Die alte Baseline umfasste noch eine Richtlinie für das „maximale Passwortalter“, welche zur Passwortänderung nach spätestens 60 Tagen verpflichtete. Diese regelmässig erzwungenen Passwortänderungen führen häufig zu unsicheren Passwörtern: Entweder sind diese zu einfach, werden zum wiederholten Male oder für mehrere Accounts verwendet oder führen zu sogenannten Passwortlisten in Schreibtischschubladen, auf denen bereits verwendete Passwörter einfach durchgestrichen werden. All diese Gründe führten zur Streichung der Policies durch Microsoft.

Auch in IT-Sicherheitskreisen ist man sich hinsichtlich ablaufender Kennwörter einig: Passwortänderungen sind nur dann ratsam, wenn tatsächlich eine Kompromittierung (Manipulation der Daten oder Kontrollverlust) stattgefunden hat – und dann umgehend und nicht erst nach Ablauf einer zuvor festgelegten Frist.
Weitere Informationen und gesamter Artikel: scheuss-partner.ch