Cyberbedrohungen
Das Ende des Passwort-Desasters
MIcrosoft kündigt die allgemeine Verfügbarkeit des passwortlosen Accounts an. Wie sinnvoll ist dieser Paradigmenwechsel?
Von Richard Werner, Business Consultant
Am 15. September 2021 kündigte Microsoft die allgemeine Verfügbarkeit des passwortlosen Accounts an. Wie bei allen Änderungen, die eine massive Umstellung der Sicherheitsgewohnheiten mit sich bringen, lohnt es sich auch hier zu hinterfragen, wie sinnvoll diese Entwicklung ist.
Gewohnheiten des Menschen
Wir können es drehen, wie wir wollen — Menschen lieben ihre Rituale. Doch Passwörter scheinen da eine Ausnahme zu bilden. Es gibt wahrscheinlich niemanden, der nicht schon einmal verzweifelt vor seinem Bildschirm saß und versuchte, sich an die korrekte Schreibweise eines alten Passworts zu erinnern. Nicht selten sind auch Postix an Monitoren oder in Schreibtischschubladen mit kryptischen Ausdrücken. Je komplexer die Passwörter gefordert werden desto weniger können sich Menschen diese merken. Also gehen wir dazu über uns das Leben zu erleichtern und nutzen Muster, etwa den Namen der Applikation, wobei wir Buchstaben durch Zahlen oder Sonderzeichen ersetzen (T3en4M!cr0), oder wir umgehen Sicherheitsbeschränkungen. Es gibt Fälle, in denen Mitarbeiter am Tag der eingeforderten Passwortänderung dieses zwanzig Mal in Folge umstellten, um dann wieder das gewohnte alte Passwort zu nutzen.
Das Merken von Passwörtern ist eine konstante Herausforderung, und doch wurde uns bei jeder sich bietenden Gelegenheit erklärt, dass sichere Passwörter entscheidend sind – zu Recht.
Ohne Passwort?
Zwangsläufig wird die Ankündigung von Microsoft auf Misstrauen stoßen. Ist nun diese essenzielle Sicherheitsschranke plötzlich hinfällig? Aus Security-Sicht muss man sagen: zumindest teilweise. Erstens, die grundsätzliche Herausforderung, die bislang über Passwörter gelöst wurde, hat sich nicht geändert, denn immer noch versuchen einige Menschen, nicht autorisierten Zugriff auf Inhalte oder Systeme zu erlangen. Eine wie auch immer geartete Zugangskontrolle ist deshalb nach wie vor notwendig. Sie wird lediglich ersetzt durch andere Authentifizierungsverfahren. Das allein aber ist eine positive Entwicklung.
Zweitens muss bei jeder Authentifizierungsmethode jemand/etwas auf der anderen Seite vorhanden sein, um die Identität zu bestätigen. Ähnlich wie Pässe von der Regierung ausgestellt und registriert werden, erfolgt das nun auch für die Online-Identität. Anstelle einer staatlichen Behörde tritt ein Privatunternehmen.
Deshalb wird es höchstwahrscheinlich keine allgemeine Authentifizierung geben, sondern verschiedene Verfahren, die jeweils einzeln mit den entsprechenden Serviceanbietern abgestimmt werden müssen. Wer welche Identität kennt oder bestätigt, wird dabei davon abhängen, ob das im Unternehmenskontext oder Privatbereich geschieht. Große Firmen wie Microsoft haben hier einen Vorteil. Dadurch, dass sie viele, teilweise unverzichtbare Angebote liefern, werden sie automatisch einen großen Teil der Identitätsautorität erhalten und diese möglicherweise auch in Serviceangeboten von kleineren Anbietern durchsetzen können.
Das Passwort aus IT-Sicherheitssicht
Der Diebstahl und Verkauf digitaler Identitäten wie Login-Daten und Passwörter ist das am stärksten boomende Geschäftsmodell im Untergrund. Unter dem Stichwort „Access as a Service“ gibt es fertig angelegte Systemzugänge oder einfach nur besagte Login-Daten – je nach Preis und Möglichkeit. Auch die meisten und gefährlichsten Malwarevarianten beinhalten in der Regel eine Komponente für das Abgreifen von Passwörtern – sei es durch Brute Force mithilfe der Mustererkennung oder durch Tools zur Wiederherstellung (z.B. Mimikatz). Ein Wegfall der Passwörter führt zu einer deutlichen Verbesserung der Sicherheit für potenzielle Opfer bei aktuellen Angriffsszenarien. Er ist deshalb aus Security-Sicht unbedingt zu befürworten!
Bedeutet dies das Ende der Cyberkriminalität? Ganz sicher nicht. Die Technik, Zugänge auch ohne Passwort zu erlangen und Identitäten direkt zu übernehmen wie auch das Knacken von Zweifaktor-Authentifizierungen ist bekannt und in „Proof of Concept“-Modellen bestätigt. Diese Verfahren sind aber für die Angreifer teuer und aufwändig. Sie werden deshalb nur selten eingesetzt. Je mehr vor allem Firmen auf den Einsatz von Passwörtern verzichten, desto schwerer werden es Cyberkriminelle haben, die aktuellen Modelle weiter anzuwenden. Dies gibt einer modernen Firma sicherlich eine Atempause in der aktuellen Situation. Ein Ersatz für eine vernünftige Sicherheitslösung, speziell der Einsatz von übergreifenden Detection & Response-Verfahren (XDR), ist es nicht.