Passwortlose Anmeldung : SPoF statt 2FA?
Einmalcode per Mail statt Passwort: Was nach mehr Sicherheit klingt, macht das E-Mail-Konto oft zum Single Point of Failure. Warum auch 2FA und Passkeys ihre Schwächen haben und klassische Passwörter erstaunlich „souverän“ sind, kommentiert der Chefredakteur der ‹kes›.
In letzter Zeit beobachte ich gehäuft eine Verschlimmbesserung bei der Abkehr von Passwörtern: Sowohl bei einem Lebensmittelversandhändler als auch bei einem großen Reiseportal gibt es für mich als Kunden beispielsweise keine Möglichkeit mehr, mich per selbstgewähltem Kennwort anzumelden (und wer weiß, wie viele selten genutzte Dienste das auch schon so machen, ohne mich darüber informiert zu haben?!). Das zuvor genutzte Passwort wurde offenbar komplett aus den Konten entfernt und es gibt auch keine entsprechende Option zur Passwortspeicherung/-änderung mehr – stattdessen senden mir diese Dienste nun für jede Anmeldung per E‑Mail einen einmalig gültigen numerischen Zugangscode.
Einmalcode statt Passwort klingt vielleicht erstmal nicht verkehrt – auch wenn hiermit ja durch das Abschaffen des Passworts kein zweiter Faktor entsteht. Bei näherer Überlegung wird für die erfolgreiche Anmeldung aber eigentlich nur das vormalige Dienstpasswort über einen Zwischenschritt durch das Passwort des E‑Mail-Kontos ersetzt. Warum sollte nun aber jemand, der sein früheres Passwort für einen Dienst schlecht gewählt und möglicherweise mehrfach verwendet hat, für seinen Mail-Account eine bessere Sicherung eingerichtet haben? Und wer dienstspezifische starke Passwörter nutzt, verliert auf jeden Fall. Zusätzlich wird die E‑Mail durch ein solches Vorgehen zum nervigen zusätzlichen (Zeit-)Faktor und zu einem „Single Point of Failure“ (SPoF): Angreifer erhalten mit einem ergatterten E‑Mail-Passwort Zugriff auf eine ganze Reihe von Services – und wenn der Mailserver hakt, geht gar nix mehr.
Aus Business-Sicht ist möglicherweise auch der zusätzliche Anmeldeschritt heikel: Einer repräsentativen YouGov-Umfrage im Auftrag des DE-CIX zufolge ist es nämlich um die Geduld der Internetnutzer nicht gut bestellt – 56 % warten höchstens zehn Sekunden, bis eine Website oder ein Onlinedienst vollständig geladen ist, und brechen Anwendungen ab, wenn diese zu langsam reagieren. Zur E‑Mail-Anwendung wechseln, möglicherweise warten, bis die Nachricht durch die Spamprüfung gelaufen ist und dann den Code abschreiben zu müssen, könnte da womöglich ähnliche Reaktionen hervorrufen.
Wie sehen die Alternativen aus? Zwei-Faktor-Authentifizierung (2FA) ist aus denselben Gründen der „Unhandlichkeit“ nicht sonderlich beliebt und außerdem sind mit der höheren Verbreitung solcher Verfahren längst auch passende Angriffe entstanden. Statt auf die Jagd nach Passwörtern zu gehen, phishen Kriminelle nun halt nach OAuth-Token oder anderen Device-Codes. Berichten von Sicherheitsanbietern zufolge gibt es dafür bereits eine erhebliche Zahl von Tools − einschließlich entsprechend ausgestatteter Phishing-as-a-Service-Plattformen (PhaaS).
Passkeys nutzen letztlich Kryptoschlüssel statt Passwörter, was eine klare Verbesserung darstellt – doch auch hier gibt es Fragen zur Sicherheit, die aus der konkreten Implementierung und Nutzung resultieren: Wo werden die Credentials gespeichert? Wie sicher ist ihre Freigabe? Gibt es einfache Wiederherstellungsoptionen? Grob aufgezählt: Eine Konzentration auf das eigene Smartphone schafft erneut einen SPoF, bei klassischen PCs ohne Biometrie reicht eventuell (immerhin nur lokal) schon die Windows-Hello-PIN für „stark gesicherte“ Anmeldungen. Je komfortabler ein PasskeyÖkosystem ist, desto angreifbarer wird es durch verteilte Speicherung – Bigtech-Dienste zur synchronisierten Nutzung von Passkeys sorgen zudem für Fragezeichen in Sachen digitaler Souveränität.
So gesehen sind klassische Passwörter übrigens ziemlich „digital souverän“, denn dieses Verfahren ist für Nutzer transparent und kommt ohne spezifische Infrastruktur aus – das eigene Sicherheitsniveau und den Passwortmanager, um den man für starke Passwörter nicht herumkommt, kann sich immerhin jeder selbst aussuchen.
Wenn wir dieses an sich leicht verständliche etablierte System, das zugegebenermaßen seine Schwächen hat, durch etwas Besseres ersetzen wollen, sollten wir jedenfalls sehr genau darauf achten, es letztlich nicht nur gegen ein komplizierteres, eventuell teureres, weniger transparentes und weniger „souveränes“ System auszutauschen, das dann andere Schwächen hat. Singuläre Schwachstellen sind auf jeden Fall zu vermeiden – egal ob sie im E‑Mail-Konto, Smartphone oder in einer faktisch kaum vermeidbaren Abhängigkeit von Bigtech-Anbietern bestehen!
Hinweis: Die aktuelle Ausgabe der Zeitschrift <kes> finden Sie hier.