Warum Zwei-Faktor-Authentisierung immer wichtiger wird

sectank_artikelbilder_03

Im August war es wieder soweit: 1,2 Milliarden Passwörter waren gestohlen worden, der Blätterwald rauschte laut und vernehmlich. An Sicherheitslücken hat sich die Öffentlichkeit langsam gewöhnt. Kleinere Problemchen schaffen es gar nicht erst in die Fachmagazine und Newsdienste, von den Tageszeitungen ganz zu schweigen. Es müssen schon Superlative sein, damit noch jemand aktiv Aufmerksamkeit aufbringt. Doch nur weil Passwortdiebstähle mittlerweile seltener eine große Meldung wert sind, heißt das nicht, dass sie auch seltener vorkommen. Im Gegenteil, gerade in den letzten Monaten mussten recht viel Unternehmen zugeben, dass ihnen Benutzerdaten abhanden gekommen waren, die Supermarktkette Home Depot/Target beispielsweise (56 Millionen) oder eBay (233 Millionen).

Mittlerweile muss man davon ausgehen, dass bei Dritten gespeicherte persönliche Daten gestohlen werden, egal ob es sich dabei um Unternehmen der Privatwirtschaft oder um Behörden handelt. Für die Sicherheit der verwendeten Passwörter hat das eine sehr simple Folge: Sie ist nicht mehr vorhanden. Passwörter kann man heute bestenfalls als temporäre Sicherungsmethode sehen, die zeitlich begrenzt ist und streng auf einen Account limitiert sein muss. Doch erfahrungsgemäß werden identische Passwörter für viele, wenn nicht alle Accounts verwendet, weil es nicht praktikabel ist, einige Dutzend ausreichend starke Passwörter auswendig zu lernen. Privatanwender können das Problem umgehen und den Schutz ihrer Daten verbessern, indem sie einen sicheren Passwortsafe wie 1Passwort oder KeePass auf den Endgeräten anlegen und ihn mit einem wirklich starken Passwort schützen. Der Safe enthält alle anderen Accounts mit ihren Passwörtern und fügt sie automatisch in den Login-Prozess ein.

Ebenso sicher wäre eine Zwei-Faktor-Authentisierung, bei der Anwender neben seinem Passwort auch eine zweite Komponente zur Verifizierung benötigt. Bei diesem Verfahren muss der Benutzer Wissen (Passwort) mit Besitz (Handy, Token) kombinieren. Im professionellen Bereich gehört Zwei-Faktor-Authentisierung bei sicherheitskritischen Anwendungen schon lange zum Standard. VPN-Zugänge können beispielsweise seit vielen Jahren mit einem zweiten Faktor abgesichert werden. Meist kam dabei ein Token zum Einsatz, ein kleines Gerät mit Display, dass zum Einlog-Vorgang eine Zahl anzeigte. Dieses One-Time Passwort (OTP) musste der Benutzer zusätzlich zum Passwort eingeben. Mittlerweile gibt es auch andere Umsetzungen, die ohne Token auskommen. NCP engineering ermöglicht in der Version 3.0 ihres VPN-Produkts Secure Enterprise Management (SEM) das OTP in Verbindung mit einem Handy oder Smartphone kostenlos. Das Passwort wird über den NCP Advanced Authentication Connector oder einen SMS-Service-Provider auf das mobile Gerät des Nutzers übermittelt.

Webseiten-Betreiber, mit Ausnahme von Online-Banking, hatten bislang nur selten Zwei-Faktor-Authentisierung im Programm. Doch die Zahl der Angebote wächst stetig, auch im Zuge der immer öfter vorkommenden Datendiebstähle. So bieten mittlerweile Microsoft (OneDrive, Word.com, etc.) und Facebook diese Möglichkeit, auch Dropbox lässt sich mit einem zweiten Anmeldefaktor absichern. Datendiebstähle verlieren so ihren Schrecken, auch wenn man beim Passwort nicht vom Namen des Haustiers lassen konnte oder sich gleich für die weltweit beliebteste Variante entschieden hat: „123456“.