Mit einer registrierten E-Mail-Adresse kannst du deinen Fortschritt speichern.
Für die Ausstellung von Zertifikaten benötigen wir zusätzlich deinen Namen und dein Geburtsdatum.
Ein Projekt von
Ein gutes Passwort muss lang sein. Es besteht aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen – und ist für viele von uns eher schwer zu merken. Das führt dazu, dass viele Menschen eher unvorsichtig sind, wenn es um ihre Passwörter und die Absicherung ihrer Online-Konten geht. Alexander Koch von Yubico spricht im DiFü-Interview darüber, wie wir in Zukunft die Passwörter hinter uns lassen können.
difue.de: Herr Koch, eine Frage an den Fachmann: Wie sieht Ihre Passwort-Routine aus?
Alexander Koch: Das hat sich in den letzten Jahren bei mir geändert. Früher hatte ich einen Pool von Passwörtern, die ich der Reihe nach durchgewechselt und immer komplexer gemacht habe, weil auch die Anforderungen an die Passwortsicherheit immer höher wurden. Seit drei oder vier Jahren nutze ich einen Hardware-Token als zweiten Faktor. Das garantiert die größtmögliche Sicherheit für meine privaten Konten und meine Firmen-Accounts.
Sie haben es angesprochen: Die Anforderungen an Passwörter werden immer höher. Was denken Sie, warum halten sich viele Menschen nicht an die Grundregeln für sichere Passwörter, obwohl die meisten sie wahrscheinlich kennen?
Ich glaube schon, dass es gerade in den letzten Jahren deutlich mehr Menschen bewusst geworden ist, wie wichtig ein sicheres Passwort ist. Trotzdem überwiegen im Alltag oft Bequemlichkeit und Schnelligkeit. Ich glaube, es ist gar nicht so schwierig, sich ein schweres Passwort auszudenken und sich das zu merken. Die Komplexität kommt rein, weil wir zu viele Accounts im Beruf und im privaten Umfeld haben. Da bekommen wir dann irgendwann Probleme.
2FA bedeutet, dass man zur Anmeldung bei einem Dienst nicht nur ein Passwort braucht, sondern noch eine zweite Authentisierungsmethode, einen zweiten Faktor. Beim Online-Banking kann das ein PIN oder eine TAN sein, manche Dienste versenden Bestätigungscodes an eine hinterlegte E-Mail-Adresse oder Telefonnummer. Faktoren lassen sich in „Wissen“ (Passwort, PIN), „Besitztum“ (Hardware-Key) und „Eigenschaften“ (Fingerabdruck, Aussehen, Stimme) einteilen. 2FA benötigt immer zwei dieser Faktoren.
Zur Bequemlichkeit kommt wahrscheinlich oft auch ein mangelndes Sicherheitsbewusstsein. Können Sie als Experte klarstellen, wie groß das Risiko ist, dass Nutzernamen und Passwort irgendwo abgegriffen werden?
Username-Passwort-Übernahmen mithilfe von Phishing Angriffen sind eine der am weitesten verbreiteten Angriffsarten. Account-Übernahmen gehören zum täglichen Geschäft. Es werden aber nicht nur E-Mail-Adressen ausgespäht, sondern auch Bankinformationen und andere vertrauliche Daten. Die landen dann in Datenbanken, wo man oft nicht weiß, was da damit passiert. Hier ist also die Awareness ganz wichtig, also dass Leute wissen, dass das so ein starker Angriffsfaktor ist, auch bei privaten Nutzern. Und dass heutzutage ein Passwort nicht reicht, sondern dass man am besten auch einen zweiten Faktor hinzunimmt.
Wie würden Sie Menschen davon überzeugen, auf jeden Fall die Zwei-Faktor-Authentisierung anzuwenden, auch wenn es vielleicht erst einmal umständlich wirkt?
Wir verschließen ja auch unsere Wohnung, wenn wir das Haus verlassen oder unser Auto, wenn wir Einkaufen gehen. Das sind Dinge, die uns im Alltag ganz normal und gewöhnlich von der Hand gehen. In der virtuellen Welt ist das letztlich ähnlich. Ich muss dafür sorgen, dass meine Daten im Netz abgesichert sind. Das ist so wie bei einem Einbruch. Der Einbrecher geht immer dahin, wo er es am leichtesten hat. Und je schwieriger ich es dem potenziellen Datendieb mache, desto geringer wird die Wahrscheinlichkeit, dass ich Opfer eines Datenmissbrauchs werde.
Viele Menschen, die ein Smartphone haben, nutzen einen biometrischen zweiten Faktor, zum Beispiel den Fingerabdruck-Scanner oder die Gesichtserkennung. Sind diese Methoden so sicher, wie wir denken?
Grundsätzlich gilt: Jeder zweite Faktor ist besser als kein zweiter Faktor. Über die Sicherheit kann man sich streiten. Sicher gibt es Möglichkeiten, hier zu manipulieren. Nichtsdestotrotz sind gerade biometrische Faktoren heute so weit entwickelt, dass sie schon eine sehr, sehr hohe Sicherheit bieten. Möchte man hier sicherheitstechnisch noch etwas draufsetzen, empfiehlt sich die Verwendung eines dedizierten Sicherheitstokens wie zum Beispiel dem Yubikey oder auch andere, die hier auf dem Markt angeboten werden. Das ist deutlich sicherer als eine Handy-App oder andere Dinge. Und die Anwendbarkeit ist sehr einfach.
Worum handelt es sich bei diesen Sicherheitstokens genau? Die sehen ja ein bisschen aus wie ein USB-Stick, sind aber etwas anderes.
Als der Yubikey 2007 auf den Markt kam, wurden wir auch gefragt: Was ist das für ein komischer USB-Speicher? Aber da ist gar kein Speicher drauf. Es handelt sich um einen Krypto-Chip, auf dem verschiedene verschlüsselte persönliche Keys gespeichert werden können. Die ermöglichen dann den Zugang zu verschiedenen Applikationen und Anwendungen.
Vorausgesetzt, der Anbieter, bei dem ich mich anmelde, unterstützt diese Authentisierungsmethode auch.
Wir haben eine sehr hohe Verbreitung. Die meisten Google-Produkte oder auch Microsoft unterstützen den Key nativ. Das heißt, hier ist keine weitere Software als sogenannte Middleware erforderlich. Man steckt den Yubikey in den USB-Port des Rechners, registriert ihn und kann sich danach entweder über diese USB-Schnittstelle oder auch kontaktlos über NFC an beliebig vielen Geräten authentisieren.
Dann muss man aber immer seinen Stick dabei haben, um sich anzumelden. Das ist vielen Nutzer:innen sicher immer noch einen Schritt zu kompliziert. Glauben Sie, dass diese Zwei-Faktor-Sticks eine breite Masse ansprechen können? Oder bleibt das eher ein Nischenprodukt?
Wir haben neben Großunternehmen, wo wir über Yubikeys in Größenordnungen von über 200.000 Stück einsetzen, auch viele private Nutzer weltweit, die den Yubikey einsetzen. Man kann jeden Key an seinen Schlüsselbund machen, was wir auch empfehlen. Dann wird er nicht vergessen. Wenn ich das Haus verlasse und meine Wohnung abschließe, habe ich den Yubikey dabei und kann mich an den meisten Geräten anmelden. Mit den meisten Smartphones und Apple-Geräten geht das kontaktlos über NFC. Ich halte den Yubikey kurz hinten an die Antenne des jeweiligen Gerätes und bin authentifiziert. Also gerade der dieser Komfort-Vorteil ist ein wesentliches Plus eines solchen Security-Keys.
Und wenn mir jemand im Worst Case meinen Laptop und meinen Schlüsselbund mit dem Yubikey klaut, habe ich dann dem Dieb oder der Diebin die Tür zu all meinen Online-Konten geöffnet?
Das ist sicherlich ungewöhnlich, dass beides gleichzeitig gestohlen wird. Weil ich natürlich darauf achten sollte, meinen Schlüsselbund eher in der Tasche und auch getrennt von meinem Laptop aufzubewahren. Sollte das trotzdem passieren, sind die Zugänge immer noch über eine PIN gesichert. Das heißt, hier gibt es noch mal eine zusätzliche Sicherheitssperre, damit nicht mit dem Besitz des Keys auch automatisch der Zugang zu den Daten erfolgt.
FIDO steht für „Fast Identity Online“. Die nichtkommerzielle Organisation arbeitet seit 2012 an offenen und lizenzfreien Authentisierungsstandards, um Internetanmeldungen für alle sicherer zu machen. Zu den Mitgliedern der Fido-Allianz gehören unter anderem Microsoft, Google, Apple, Lenovo, PayPal, Mastercard, Samsung und Yubico.
Yubico ist Mitglied der FIDO-Alliance. Das ist ein Zusammenschluss von mehreren Unternehmen, die zusammen an sicheren Authentisierungsmethoden arbeiten und eine passwortfreie Zukunft anstreben. Die hat sich aber noch nicht materialisiert – warum nicht?
Wir sind hier auf einem guten Weg. Die Fido-Alliance hat einen weltweiten Authentisierungs-Standard entwickelt und auch etabliert. Gerade in den letzten anderthalb bis zwei Jahren sind enorme Fortschritte gemacht worden, was die passwortlose Authentisierung angeht. Wir können heute schon Implementierungen vorweisen, die komplett passwortlos sind.
Müssen wir uns dann nie wieder komplizierte Buchstaben-Zahlenkombinationen merken?
Es gibt immer noch eine PIN und die wird in regelmäßigen oder unregelmäßigen Abständen abgefragt, um zwischendurch sicherzustellen, dass es sich noch um den Nutzer handelt. Das schreibt der Fido-Standard vor. Beim Yubikey haben wir als Absicherung einen sogenannten kapazitiven Sensor. So können wir sicherstellen, dass ihn ein Mensch bedient und der Key nicht von einer Software oder einer Malware kompromittiert wurde. Außerdem haben wir den sogenannten Yubikey Bio, da wird mithilfe des Fingerabdrucks noch ein zusätzlicher Authentisierungsschritt eingeführt.
Und meine Zugangsdaten zu den einzelnen Diensten speichere ich dann auf dem Stick? Oder wie erkennen die Dienste, dass ich ich bin?
Das geht über den gespeicherten privaten Key auf dem Yubikey. Hier kann eine Vielzahl von privaten Keys für die verschiedensten Anwendungen gespeichert werden. Dieser persönliche Key verlässt den Stick nicht. Er ist also sehr sicher aufbewahrt und garantiert, dass eine ganz klare personenbezogene Authentisierung möglich ist.
Was ist, wenn ich so einen Stick nicht habe und auch nicht haben will? Gibt es auch andere Lösungen für eine passwortfreie Zukunft, an denen die Fido-Alliance arbeitet?
Die Fido-Alliance ist generell Richtung „passwordless“ aufgestellt. Da wird aber immer ein Hardware-Key empfohlen und man sieht auch, dass in den letzten ein, zwei Jahren sehr viele Fido-Keys auf den Markt kommen. Das ist also schon ganz klar ein starker Trend, den man hier beobachten kann.
Das heißt in Ihren Worten, wenn ich für mich und meine Online-Konten eine passwortfreie Zukunft anstrebe, komme ich um so einen Key nicht herum.
Zumindest wenn ich sehr hohe Sicherheitsanforderungen habe.
Das ist ja gerade das Problem, dass viele Menschen nicht so hohe Anforderungen an ihre eigene Sicherheit haben. Gibt es denn überhaupt Wege in eine sichere passwortfreie Zukunft, die bequemer sind und nicht so einen Hardware-Key erfordern?
Die großen Hersteller haben ja auch eigene Authentisierungs-Methoden, die dann eben an das jeweilige Gerät gebunden sind und die sicherlich auch ein passwortloses Authentisieren ermöglichen. Ein dedizierter Hardware-Token bietet aber eine höhere Sicherheitsstufe, weil er einfach dafür gebaut ist, eine sichere Authentisierung durchzuführen.
Wenn ich meine gesamten Online-Anmeldeinformationen auf einem Key speichere oder bei Anbieter hinterlege, baue ich da nicht ein zusätzliches Risiko ein? Was ist, wenn ich den Key verliere oder die Server des Anbieters kompromittiert werden?
Wenn Sie Ihren Key verlieren, können Sie natürlich sofort einen neuen Key registrieren und den alten Key damit ungültig machen oder dem Key die Rechte entziehen, wenn er mal verloren geht. Das merke ich ja meistens recht schnell. Gerade im Unternehmensumfeld empfehlen wir zudem, einen Backup-Key zu haben.
Große Anbieter wie Apple, Microsoft oder Google arbeiten im Rahmen der Fideo-Alliance auch an einer Cloud-Lösung, bei der Nutzer:innen ihre Anmeldeinformationen in der Cloud beim jeweiligen Anbieter hinterlegen können und dann darüber bequem von allen möglichen Geräten aus auf ihre Dienste zugreifen können. Kritiker:innen sagen, dass man den Unternehmen damit noch mehr Nutzungsdaten zur Verfügung stellt, sich noch „gläserner“ macht als ohnehin schon.
Bei den Cloud-Lösungen kann ich schwer abschätzen, was die großen Hersteller mit den Daten machen. Grundsätzlich würde ich aber sagen – und da schließt sich auch der Kreis: Jeder zweite Faktor ist besser als gar kein zweiter Faktor.
Wie sieht aus Ihrer Sicht unsere Authentisierungs-Zukunft aus? Wird sie passwortlos sein?
Ich bin fest davon überzeugt, dass wir uns in Zukunft wirklich passwortlos und sehr komfortabel und sicher zu allen möglichen Applikationen und Webanwendungen anmelden können. Der Yubikey ist bereits 2019 auf der Europäischen Identity Konferenz für das Thema „Passwordless“ als Innovationstreiber ausgezeichnet worden. Ich denke, dass sich das nicht nur in Unternehmen, sondern auch für Privatanwender in den nächsten, zwei bis fünf Jahren weiter durchsetzen wird.
Jedes Jahr landen Passwörter wie „12345678“ auf den ersten Plätzen im Ranking der dümmsten Passwörter. Meinen Sie, dass das dann irgendwann endlich der Vergangenheit angehören wird?
Ich hoffe es schon. Wobei ich glaube, dass es sicherlich immer noch Nutzer geben wird, die hierauf vertrauen, dass ihre Daten vielleicht nicht interessant sind oder denen es vielleicht ein Stück weit egal ist, ob ihre Daten kompromittiert werden. Das wird es sicherlich immer geben. Das „123“ wird wahrscheinlich nicht verschwinden, aber wenn man das „123“ dann als PIN für einen zweiten Faktor nimmt, hat man schon einen erheblichen Sicherheitsgewinn.
Datenwelt
21.06.2022 6:00 Uhr
Algorithmen begegnen uns überall im Alltag. Sie bestimmen unsere Google-Suchergebnisse, unsere Timeline in sozialen Netzwerken und die Film- und Musikempfehlungen […]
Gefahrenschutz
19.07.2022 13:19 Uhr
Karin Wilhelm vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kauft nicht nur selbst gerne im Internet ein – sie […]
07.06.2022 8:00 Uhr
Erpressung ist ein lukratives Geschäft. Das gilt auch und vor allem für die digitale Welt. Jedes Jahr werden mehr Unternehmen […]
05.07.2022 6:00 Uhr
Wer im Netz persönliche Daten oder sensible Informationen schützen will, macht mit einer Anti-Viren-Software und einer funktionierenden Firewall schon vieles […]
Internet
08.08.2022 9:55 Uhr
Wenn Sie vom Internet reden, meinen die meisten Menschen das World Wide Web (www). Doch im Internet gibt es auch […]
11.05.2023 13:08 Uhr
Onlinebanking wird immer beliebter. Zum einen, weil es für viele bequemer ist, laufende Kosten mit einer digitalen Überweisung zu begleichen. […]
06.06.2023 13:00 Uhr
Eine von drei Personen nutzt im Internet dasselbe Passwort bei verschiedenen Diensten. Das ergab eine Bitkom-Umfrage aus dem Februar 2023. […]
Nachrichten
11.07.2023 12:30 Uhr
Wer tagsüber unterwegs ist und Datenvolumen sparen möchte, freut sich über öffentlich zugängliches WLAN in Cafés, Schnellrestaurants oder im Einzelhandel. […]
Kommunikation
21.09.2023 11:00 Uhr
Im Oktober 1971 verschickte der US-amerikanische Informatiker Ray Tomlinson die erste E-Mail der Welt. Und obwohl sie über 50 Jahre […]
Wir freuen uns, dass Sie sich entschieden haben, einen Kommentar zu hinterlassen. Bitte beachten Sie, dass Kommentare gemäß unserer Kommentarrichtlinien bewertet werden.
Name *
E-Mail *
Website
Meinen Namen, meine E-Mail-Adresse und meine Website in diesem Browser speichern, bis ich wieder kommentiere.
Kommentar abschicken
Was halten Sie vom Digitalführerschein?
Sagen Sie uns Ihre Meinung und helfen Sie uns den Digitalführerschein noch besser zu machen.
Zur Kurzumfrage
