Das Passwort ist nicht totzukriegen - oder doch?

Stirbt das Passwort?

Anmelden einmal anders: Hardware-Sicherheitsschlüssel von Yubico, der vom Nutzer via USB verbunden wird und auch noch eine Authentifizierung per Fingerabdruck bietet.
Quelle: Yubico
Kein Wunder, dass nicht nur anlässlich des diesjährigen «World Password Day» immer wieder vom «Tod des Passworts» die Rede ist, wobei bislang offenbar oft mehr Wunsch als Wirklichkeit dahintergesteckt hat. Hört man sich bei Security-Experten um, wird eines schnell deutlich: Keiner von ihnen würde die Anmeldung via Passwort vermissen, wenn sie denn aus dem IT-Alltag verschwände. Aber sie haben wenig Hoffnung, dass das tatsächlich bald geschieht.
Thomas Uhlmann, Security Specialist bei Eset Deutschland, beantwortet die Frage nach dem baldigen Ableben des Passworts zum Beispiel kurz und knapp mit einem «Leider nein». Er weist allerdings auch darauf hin, dass ein einfaches «Sterbenlassen» der Anmeldung per Passwort durchaus problematisch sein könnte. So böten einige Webseiten den Nutzern zum Beispiel die Möglichkeit, sich mit «anonymous» und einer beliebigen Adresse anzumelden. Und er gibt zu bedenken, dass das Verschwinden von «Passwort» oder «Benutzername» auch das Wegfallen eines Anmeldefaktors bedeuten würde, was dem vielfach geforderten Prinzip einer Zwei- oder Mehrfaktor-Anmeldung entgegenwirken würde.
“Es gibt Anmeldeformen, bei denen ich zwar den Login absichern, gleichzeitig aber so anonym wie möglich sein möchte„
Thomas Uhlmann, Security-Spezialist bei Eset Deutschland (www.eset.com)
Stratos Komotoglou, Business Lead Micro­soft 365 Security bei Microsoft Deutschland, legt sich fest: «Das Passwort in seiner ursprünglichen Form ist nicht mehr zeitgemäss. Im Kontext der technischen Entwicklung wird die klassische Anmeldeform via Kennwort zu einer kritischen Variablen für die IT-Sicherheit. So geraten Passwörter insbesondere bei IT-Abteilungen immer mehr ins Abseits.» Einem baldigen Aus redet er dennoch nicht das Wort. Er sieht eher ein allmähliches Verdrängtwerden voraus.
Für Komotoglou hängt das Schicksal des Passworts in erster Linie an seiner Akzeptanz: «Aufgrund der Gefahr für die Cybersicherheit steht die klassische Passwort-Anmeldung bei IT-Abteilungen schon länger zur Debatte. Auch bei Anwendern sinkt die Akzeptanz, denn Passwörter werden nicht selten als unpraktisch empfunden, weil sie möglichst komplex sein müssen - und daher nur schwer zu merken sind.» Die unpraktische Handhabung werde, davon ist Komotoglu überzeugt, irgendwann auch den letzten Skeptiker dazu bewegen, sich über zeitgemässe und sichere Authentifizierungs-Alternativen Gedanken zu machen: «Ich denke, dass wir zwar noch einige Zeit mit Passwörtern werden leben müssen, dass sich aber zusätzlich Mechanismen wie Multi-Faktor-Authentifizierung etablieren werden. Viele Unternehmen machen dies schon. Gleichzeitig sind Single-Sign-on-Mechanismen (SSO) hilfreich, um die Benutzerakzeptanz zu stärken.»
“Passwörter sind zum schwächsten Glied im Prozess der Authentifizierung geworden.„
Martin Grauel, EMEA Technical Sales Manager bei One Identity (www.oneidentity.com)
Auch Peter Machat, Vice President Central EMEA bei MobileIron, Spezialist für das Management mobiler Geräte, sieht für die Anmeldung nur mit Passwort und Kontonamen keine Zukunft mehr, weiss aber: «Schlechte Gewohnheiten halten sich immer länger als man es sich wünschen würde. Denn ganz ehrlich: Welche Sicherheit bringt ein Verfahren, das nicht wenige Nutzer dazu veranlasst, gefühlte 1000- oder 2000-mal im Jahr das jeweils gewählte Passwort zurücksetzen zu lassen, weil sie es so genial gewählt haben, dass sie es gleich wieder vergessen.»
Für Machat steht fest, dass Passwörter mehr Probleme hervorrufen als sie lösen: «Es wäre wünschenswert, dass diese - schlechte - Tradition schnell zu Ende geht. Schliesslich gibt es mittlerweile sehr sichere und benutzerfreundliche passwortlose Verfahren.» Martin Grauel, EMEA Technical Sales Manager beim Identity-und-Access-Management-Anbieter One Identity, weist in diesem Zusammenhang besonders auf den World Password Day hin: «Er erinnert uns jährlich da­ran, welch wichtige Rolle Passwörter bei der Online-Authentifizierung spielen. Allerdings offenbart er auch, dass Passwörter inzwischen zum schwächsten Glied in diesem Prozess geworden sind.»
Boris Cipot, Sicherheitsingenieur beim Software-Entwickler Synopsys, teilt die Ansichten seiner Kollegen hinsichtlich der Schwächen von Passwörtern: «Passwörter sind definitiv nicht die sicherste Art der Authentifizierung. Obwohl bessere Technologien längst vorhanden sind, werden diese von vielen Unternehmen, Organisationen oder Endbenutzern bislang nicht angenommen.»




Das könnte Sie auch interessieren