Ist die Zukunft des Passworts eine Zukunft ohne Passwort? Mit Vergangenheit und Gegenwart von Passwörtern haben wir uns schon beschäftigt. Die Quintessenz: Seit dem Mittelalter hat sich in Sachen Identity Management nicht wirklich viel getan. Nicht gerade berauschend, denn selbst das Einrichten eines Passwortmanagers kostet Zeit, Nerven und Gehirnschmalz. Die Zukunft scheint da verheißungsvoller – ein Gedankenexperiment.
Die Zukunft des Passworts – Login ohne Gehirnakrobatik
Zur Entstehung dieser Blogserie
Warum lohnt es sich überhaupt, sich mit dem Thema „Passwörter“ auseinanderzusetzen? In einem Wort: Cybercrime. Um genauer zu sein, die mittlerweile ermüdenden Meldungen über Datendiebstahl, Identitätsdiebstahl und damit einhergehende unberechtigte Zugriffe, Transaktionen und Datenverlust mit gravierenden Folgen.
Vor Kurzem bin ich über einen Artikel eines Software-Herstellers gestoßen, welcher sich als Marktführer im Bereich der sicheren Authentisierung ansieht. In diesem Artikel wurde eine Hilfestellung gegeben, wie man ein sicheres Passwort erstellt und vor allen Dingen auch behält! Mein erster Gedanke war: „Da hat jemand mitgedacht“. Mein zweiter Gedanke: „Ja, aber…“ Und dann sind sie erschienen, die drei Geister. Nicht der Weihnacht, sondern der Passwörter.
Hier geht es zum ersten Geist, dem „Geist der vergangenen Passwörter“, hier zum „Geist der heutigen Passwörter“. In diesem Teil widmen wir uns dem „Geist des zukünftigen Passworts“.
Viele Passwörter – oder ein Passwort?
Bei den Nebentiteln meiner Passwort-Serie habe ich mich augenzwinkernd Charles Dickens‘ Weihnachtsgeschichte bedient: Aufmerksamen Lesern ist vielleicht der sprachliche Unterschied zwischen Teil 2: „Der Geist der heutigen Passwörter“ und Teil 3: „Geist des zukünftigen Passworts“ aufgefallen – der Wechsel vom Plural (der Passwörter) zum Singular (des Passworts). Und tatsächlich ist das zunächst ein naheliegender Gedanke: dass in Zukunft nur noch ein Passwort gefragt sein wird. Wenn das Konzept und die Methodik neu definiert werden darf, sollte im Vordergrund die vereinfachte Nutzung für die Anwender stehen. Und die Vereinfachung beginnt mit der Reduktion von vielen Passwörtern auf ein einzelnes Passwort.
Um dieses eine Passwort möglichst sicher zu machen, gibt es eine Vielzahl von Passwort-Methoden: Hier habe ich bereits auf einen Artikel hingewiesen, in dem ein Software-Hersteller für Passwortmanagement erklärt, wie man das ideale Passwort erstellt. Demnach sollen aus einem persönlich bekannten Satz die Anfangsbuchstaben einzelner Wörter und ggf. verwendete Zahlen/Zahlwörter und Sonderzeichen genutzt werden.
Beispiel gefällig?
Jeder kennt bestimmt den folgenden Satz aus Herr der Ringe: „Ein Ring, sie zu knechten, sie alle zu finden, ins Dunkel zu treiben und ewig zu binden.“ Das Passwort aus diesem Satz könnte dann sein: „1R,szk,sazf,iDztuezb.“
Aus Perspektive der Sicherheit ist dieses Kennwort als ideal anzusehen. Es ist komplex, hat genügend Zeichen und nutzt neben Buchstaben auch Zahlen und Sonderzeichen. Für den Anwender? Um es mal vorsichtig auszudrücken… die Methodik ist sicherlich interessant, aber nicht benutzerfreundlich.
Ich musste besagten Artikel zweimal lesen. Nach der ersten Durchsicht war ich positiv gestimmt, allerdings mit einem Bauchgrummeln. Das Bauchgrummeln wurde dann beim zweiten Lesen bestätigt, mir gefiel die Abwandlung des Merksatzes hin zu: „Ein Passwort, sie zu knechten, sie alle zu finden, ins Dunkel zu treiben und ewig zu binden.“
Recht passend, weil es ironischerweise genau den Umstand beschreibt, in welche die Anwender getrieben werden. Nur weil die Technologie es in der einschränkenden Form vorgibt, ist der Anwender gezwungen, sich Mittel und Wege zu überlegen, ein sicheres Passwort zu generieren. Aus meiner Sicht die falsche Herangehensweise.
Ein Passwort – oder kein Passwort?
Der Anwender sollte sichere und trotzdem einfache Möglichkeiten nutzen können und dürfen, um seine privaten, aber auch beruflichen Daten maximal zu schützen. Das Passwort ist dabei überholt. Mittlerweile hat sich die Technologie in der Gesamtheit (Infrastruktur, Geräte, Protokolle etc.) dermaßen weiterentwickelt, dass ein Passwort in diesem Kontext wirklich als veraltete, als mittelalterliche Methode anzusehen ist.
Die Quintessenz: In Zukunft werden Passwörter abgeschafft oder als notwendiges Übel in Verbindung mit einer weiteren Methode genutzt, der Multifaktorauthentifizierung.
Es wird eine Abkehr stattfinden von einer Sicherheitsinformation, „die man weiß“ zu einer Sicherheitsinformation, „die man hat“. Heutzutage nutzt jeder ein Smartphone – mit den entsprechenden Apps lassen sich Integrationen bereitstellen, die den Zugang zu Daten und Diensten absichern. Die Apps auf dem Smartphone sind ebenfalls vor unberechtigter Nutzung gesichert (bspw. Passcode, Fingerabdruck, Gesichtserkennung), sodass die Nutzung ein sehr hohes Sicherheitsniveau erreicht.
Protokolle helfen uns bei der Standardisierung, d.h. das Rad muss nicht immer wieder neu erfunden werden. Vertraut man bspw. einer Instanz wie Microsoft oder der eigenen Hausbank hinsichtlich sicherer Anmeldung, warum nicht über standardisierte Schnittstellen andere IT-Dienste und Ressourcen integrieren?
Stichwort: „Moderne Authentisierung“. Hinzu kommt, dass es Bestrebungen gibt und technologische Konzepte entwickelt werden, die Identität im Internet zu vereinheitlichen.
Fazit
Ich hoffe die Lektüre hat Spaß gemacht, vielleicht ein paar Informationen hervorgebracht, die bis dato unbekannt waren. Und darüber hinaus hoffentlich Denkanstöße gegeben, wie die Zukunft auch in Ihrem Umfeld aussehen kann, wenn das Passwort an Bedeutung verlieren wird. Wir stehen gerne bereit, Sie bei den kommenden Aufgaben und Herausforderungen zu beraten und zu unterstützen: Sprechen Sie uns an.