Das Passwort stirbt nicht aus
Im letzten Jahr gab es Nachrichtenartikel im Internet, die behaupteten, dass große Technologieunternehmen sich zusammenschließen würden, um Passwörter abzuschaffen. Einige Startups erklärten sogar, dass Passwörter veraltet und überholt seien.
Founder
Einführung
Im letzten Jahr gab es Nachrichtenartikel im Internet, die behaupteten, dass große Technologieunternehmen wie Apple, Google und Microsoft sich zusammenschließen würden, um Passwörter abzuschaffen. Einige Startups erklärten sogar, dass Passwörter veraltet und überholt seien. Nachdem ich monatelang in den Bereich der Identitätsverwaltung eingetaucht war, begann ich, die Gültigkeit und Praktikabilität dieser Behauptungen in Frage zu stellen.
Was tut ein Passwort?
Auf den ersten Blick scheint die Antwort offensichtlich: Passwörter werden zum Anmelden und zur Identitätsprüfung verwendet. Allerdings vertrete ich einen anderen Standpunkt, wenn man bedenkt, dass Passwörter nicht wirklich bestätigen können, wer Sie sind:
- Wenn ein Benutzer sich mit einer E-Mail und einem Passwort auf einer Website anmeldet, kann die Website nicht bestätigen, wer sich tatsächlich hinter diesen Anmeldeinformationen befindet. Es könnte ein Mensch oder sogar eine Katze sein.
- Jeder kann ein iPhone mit der richtigen PIN freischalten.
In Wirklichkeit dient das Passwort dazu, anonym den Besitz von etwas zu beweisen: ein Benutzerkonto, ein Gerät oder der Zugang zu einer Tür.
Die derzeitigen “Passwort-Killer”
Die zuvor genannten Unternehmen haben verschiedene "Passwort-Killer" vorgeschlagen. Viele behaupten, sie seien sicherere Alternativen, die die Notwendigkeit für Benutzer beseitigen, sich komplexe, statische Passwörter bei der Authentifizierung zu merken. Die meisten dieser Alternativen sind jedoch für die vollständige Abschaffung von Passwörtern nicht völlig praktikabel.
FIDO-Authentifizierung
FIDO (Fast Identity Online) Authentifizierung, wie in der offiziellen Dokumentation erklärt, verwendet Techniken der öffentlichen Schlüsselkryptographie für die Registrierung und das Einloggen (es ist erwähnenswert, dass WebAuthn ein zentraler Bestandteil der FIDO2-Spezifikationen ist). Oberflächlich betrachtet erscheint der Prozess attraktiv:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M220.094%2c35L224.26%2c35C228.427%2c35%2c236.76%2c35%2c244.427%2c35C252.094%2c35%2c259.094%2c35%2c262.594%2c35L266.094%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M524.844%2c35L529.01%2c35C533.177%2c35%2c541.51%2c35%2c549.177%2c35C556.844%2c35%2c563.844%2c35%2c567.344%2c35L570.844%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M802.922%2c35L807.089%2c35C811.255%2c35%2c819.589%2c35%2c827.255%2c35C834.922%2c35%2c841.922%2c35%2c845.422%2c35L848.922%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(114.046875%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='212.09375' y='-27' x='-106.046875' style='' class='basic label-container'/%3e%3cg transform='translate(-76.046875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='152.09375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eRegistrierung beginnt%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(397.46875%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='254.75' y='-27' x='-127.375' style='' class='basic label-container'/%3e%3cg transform='translate(-97.375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='194.75'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eZustimmung des Benutzers%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(688.8828125%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='228.078125' y='-27' x='-114.0390625' style='' class='basic label-container'/%3e%3cg transform='translate(-84.0390625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='168.078125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eNeuer Schl%c3%bcssel erstellt%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(903.375%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='100.90625' y='-27' x='-50.453125' style='' class='basic label-container'/%3e%3cg transform='translate(-20.453125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='40.90625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eFertig%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Einfach, oder? Leider gibt es ein großes Hindernis: die Kompatibilität. Im Vergleich zur herkömmlichen Kombination von "Identifikator und Passwort" erfordert die FIDO-Authentifizierung:
- Dass Webseiten oder Apps FIDO unterstützen.
- Dass Browser und/oder Betriebssysteme FIDO unterstützen.
- Dass Benutzergeräte über einen benutzerfreundlichen Verifizierungsmechanismus verfügen.
Falls eine dieser Anforderungen nicht erfüllt ist, steht die FIDO-Authentifizierung nicht zur Verfügung und es muss auf andere Methoden ausgewichen werden.
Darüber hinaus, selbst wenn alle Bedingungen erfüllt sind, was wird auf einem Gerät als "benutzerfreundlicher Verifizierungsmechanismus" akzeptiert? Derzeit könnte dies biometrische Methoden wie Fingerabdruck- oder Gesichtserkennung beinhalten, begleitet von einer Ausweichoption wie einem PIN-Code, sprich einem Passwort. Am Ende sind wir wieder beim Ausgangspunkt.
Technisch gesehen handelt es sich nicht um einen "Passwort-Killer", sondern eher um einen sichereren und benutzerfreundlicheren Authentifizierungs- oder Verifizierungsprozess, der durch Passwörter geschützt ist.
Einmaliges Passwort
Auch wenn der Name den Begriff “Passwort” enthält, sind einmalige Passwörter (OTPs) keine traditionellen Passwörter, da sie dynamisch sind. Es gibt zwei beliebte Arten von OTPs:
- Zeitbasiertes Einmal-Passwort (TOTP): Algorithmisch generiert unter Verwendung der aktuellen Zeit als Quelle der Einzigartigkeit. Es wird häufig bei Mehrfaktor-Authentifizierung (MFA) oder 2FA verwendet.
- SMS/E-Mail Einmal-Passwort: Auf dem Server generiert mit Zufallsalgorithmen. In einigen Ländern wurde es als primäre Anmeldemethode weitgehend akzeptiert.
TOTPs sind möglicherweise nicht so bekannt. Wenn eine Webseite Sie z.B. auffordert, MFA einzurichten und eine App wie Google Authenticator oder Duo zu verwenden, um einen QR-Code zu scannen, verwenden Sie wahrscheinlich TOTP. Sie haben möglicherweise auch bemerkt, dass die Webseite oft einen langen "Wiederherstellungscode" anzeigt und Sie dazu auffordert, ihn zu sichern, da er nur einmal angezeigt wird. Einige Webseiten ermutigen die Benutzer sogar, ihn auszudrucken. Dieser Wiederherstellungscode funktioniert im Wesentlichen wie ein langes Passwort.
Bei SMS/E-Mail OTPs können sie teuer und unzuverlässig sein:
- Der Aufbau eines SMS- oder E-Mail-Senders von Grund auf erfordert Einrichtung.
- E-Mail-Sender müssen einen positiven "Ruf" aufbauen, um die Zustellbarkeit zu verbessern - ansonsten könnte der Absender als Spam markiert werden.
- Jedes Land hat seine eigenen Mobilfunkanbieter, was zu unberechenbaren Lieferzeiten und bemerkenswerten Kosten für den SMS-Versand führt, insbesondere für Startups.
Biometrie
Der Begriff "biometrisch" bezieht sich auf die ausschließliche Verwendung von biometrischen Methoden zur Online-Authentifizierung. Tatsächlich gibt es einen grundlegenden Unterschied im Vergleich zu anderen Methoden: biometrische Authentifizierung verlagert die ursprüngliche Aufgabe des "Nachweises des Besitzes von etwas" zum "Nachweis, wer Sie sind". Aufgrund von Datenschutzbedenken werden biometrische Methoden vorwiegend zur lokalen Authentifizierung eingesetzt.
Das Passwort ist allerdings nicht perfekt
Wie wir sehen können, verstecken "Passwort-Killer" im Wesentlichen Passwörter oder verwenden Passwörter als Ausweichoptionen. Hier ist eine Zusammenfassung der Vorteile von Passwörtern basierend auf unserer Diskussion:
- Zugänglichkeit und Kompatibilität: Passwörter können in verschiedenen Systemen verwendet werden und sind für eine breite Palette von Benutzern zugänglich.
- Kosteneffizienz und Vielseitigkeit: Passwortbasierte Authentifizierung ist im Allgemeinen kostengünstiger als andere Methoden und an verschiedene Szenarien anpassbar.
- Anonymität und Datenschutz: Passwörter ermöglichen anonyme Nutzung und schützen die Privatsphäre der Benutzer.
Jede Medaille hat jedoch zwei Seiten. Während Passwörter ihre Vorteile haben, stellen sie, wenn man sich allein auf sie für die Authentifizierung verlässt, erhebliche Sicherheitsrisiken dar. Sie können für Endbenutzer schwierig zu handhaben sein und wenn Webseitenbetreiber keine ordnungsgemäßen Sicherheitspraktiken befolgen, werden Passwörter leicht kompromittiert. Gefährliche Sicherheitspraktiken beinhalten, sind aber nicht beschränkt auf:
- Erlauben von schwachen oder durchgesickerten Passwörtern.
- Nicht Durchsetzen von HTTPS für Verbindungen.
- Verwendung unsicherer Hash-Algorithmen.
- Nicht strenge Einhaltung bewährter Standards wie OAuth oder OpenID Connect (OIDC).
- Öffentliches Ausstellen der Datenbank.
Schlussfolgerung
Ich beabsichtige nicht, eine der oben genannten Authentifizierungsmethoden zu untergraben. Im Gegenteil, während ich daran arbeite, Logto zu erstellen, habe ich großen Respekt entwickelt für diese bemerkenswerten Authentifizierungsmethoden und die Personen dahinter.
Dennoch ist eine 100%ige Sicherheit ein unerreichbares Ziel. Worauf wir hinarbeiten können, ist die Reduzierung der Angriffsmöglichkeiten. Ein effektiver Ansatz besteht darin, passwortbasierte Authentifizierung mit einmaligen Passwörtern zu kombinieren, die auf das aktuelle Gerät oder die aktuelle Umgebung basieren, was eine zusätzliche Verifizierungsebene hinzufügt und weit verbreitet ist. Indem wir die Stärken verschiedener Authentifizierungstechniken nutzen, können wir einen abgestuften Ansatz schaffen, der einen stärkeren Schutz bietet.
Abschließend sollten wir uns statt auf Schlagworte wie "Passwort-Killer" zu fokussieren, wenn Passwörter tatsächlich nicht abgeschafft werden, eher darauf konzentrieren, ein Gleichgewicht zwischen Sicherheit und Benutzererlebnis herzustellen. Dies erfordert das Verständnis der Stärken und Einschränkungen verschiedener Authentifizierungsmethoden und deren Implementierung auf eine Weise, die sowohl die Sicherheit der Benutzerdaten als auch ein nahtloses Benutzererlebnis gewährleistet.