Ist das passwortlose Internet sicherer?

Am 20. November 2018 meldete Microsoft, dass sich 800 Millionen Microsoft Kontoinhaber ab sofort ohne Passwort bei Diensten wie Outlook, Office, Skype und Xbox-Live anmelden können. Diese Ankündigung ist ein weiterer Schritt hin zu einem passwortlosen Web – genau zum richtigen Zeitpunkt, denn auch Mozilla-Firefox, Google-Chrome und Microsoft-Edge unterstützen nun auch WebAuthn, eine der dafür benötigten Technologien. Die passwortlose Authentifizierung ersetzt Benutzernamen und Passwörter durch Biometrie, etwa Fingerabdrücke oder Gesichtserkennung.

Michael Veit, Technology Evangelist bei Sophos

„In Bezug auf die Sicherheit ist dies eine gute Nachricht. Allerdings ist nicht garantiert, dass Internetnutzer diese Technologie zügig annehmen, nur weil sie sicherer ist. Wenn man die zögerliche Akzeptanz der Zwei-Faktor-Authentifizierung als Vergleich heranzieht, kann es harter Kampf werden, bis Nutzer die passwortlose Authentifizierung adaptieren“, erklärt Michael Veit, Sicherheitsexperte bei Sophos.

Einer der Gründe, warum sich die passwortgestützte Identifizierung so lange hält ist, dass sie sehr leicht zu verstehen ist. Zudem kommt es leicht zu Missverständnissen: Benutzer die mit einer Passwortauthentifizierung arbeiten fragen sich, ob die Verwendung beispielsweise ihrer Fingerabdrücke bedeutet, dass sie diese an Dritte weitergeben (was nicht der Fall ist). Zudem sind viele der Meinung, dass man ein Passwort im Gegensatz zu einem Fingerabdruck bei einen Zwischenfall ändern kann.

 

Anmeldung ohne Passwort: komplex aber sicher

Bei der passwortgestützten Authentifizierung teilt man einer Web-Seite mit, wer man ist und welches Passwort man verwendet. Sobald man das Passwort eingegeben hat, besteht keine Kontrolle mehr darüber, was auf der Web-Seite damit passiert. Man vertraut darauf, dass es sicher gespeichert ist. Und genau in dieser Annahme liegt der Fehler. Allein die Anzahl der Datenschutzverletzungen zeigt, dass Passwörter nicht sicher gespeichert sind.

Mit der passwortlosen Authentifizierung muss man der Website kein Passwort oder andere geheime Informationen anvertrauen. Die dahinterstehende Technologie verwendet einen öffentlichen Schlüssel, der mit einem Paar kryptographischer Schlüssel authentifiziert wird: einem privaten, geheimen und einem öffentlichen Schlüssel.

Bei einer Anmeldung behält der Nutzer den geheimen, privaten Schlüssel und gibt den öffentlichen Schlüssel an die Website weiter. Da der öffentliche Schlüssel kein Geheimnis ist, besteht auch keine Sorge darüber, ob die Website diesen sicher aufbewahrt.

Bei einer passwortlosen Authentifizierung nutzt man den privaten Schlüssel für die Verschlüsselung einer „Challenge“ (eine sehr große Zufallszahl), die von der Website gesendet wird. Die Web-Seite nutzt dann den öffentlichen Schlüssel, um diese zu entschlüsseln. Sofern die Verschlüsselungs-/Entschlüsselungssequenz funktioniert und der Webserver seine „Challange“ zurück erhält, ist bewiesen, dass man der Besitzer des privaten Schlüssels ist.

 

Schutz von Fingerabdruck-, Gesichts- oder Irisdaten ist gefragt

Soweit zur Theorie. Damit dies in der Praxis funktioniert, benötigen man einen Authentifikator, der Schlüssel erstellen und speichern kann. Darüber hinaus ist eine Reihe von Regeln nötig, die einem Computer, einem Browser und den besuchten Websites die Zusammenarbeit ermöglichen. WebAuthn beispielsweise ist ein solches Regelwerk, beziehungsweise ein API (Application-Programming-Interface), mit der Websites und Webbrowser die Authentifizierung via Public-Key-Kryptographie anstelle von Passwörtern ermöglicht.

Damit die passwortlose Authentifizierung funktioniert, müssen Website-Besitzer den Code entsprechend ändern. Anstatt einem Anmeldeformular für Benutzernamen und Passwort, authentifizieren sich Benutzer mithilfe von JavaScript-Code, der in der Webseite eingebettet ist. Dieser Code verwendet die WebAuthn-API, um den Browser aufzufordern, die Anmeldeinformationen zu erstellen.

Obwohl der JavaScript-Code mit der Webseite heruntergeladen und auf dem Computer des Nutzers ausgeführt wird, wird dieser im Browser nach wie vor als Teil der Website betrachtet. Damit ist sichergestellt, dass er keinen Zugriff auf private Schlüssel oder andere geheime Informationen Zugriff hat. Stattdessen fungiert es nur als Vermittler zwischen Browser und Webserver.

Per Design weiß eine Website nicht, wie private Schlüssel generiert werden. Man ist also frei, dies auf jede erdenkliche Art und Weise zu tun. Dies kann im Betriebssystem integriert erfolgen, wie beispielsweise die Gesichtserkennung Windows-Hello von Microsoft oder per Remote-Authentifikator wie ein Mobiltelefon. Um die Vielzahl von Remote-Authentifikatoren effizient zu unterstützen, müssen sich die wichtigsten Akteure auf eine Reihe von Regeln einigen, wie Webbrowser und Authentifikatoren miteinander kommunizieren.

Diese Regeln werden CTAP genannt, das Client to Authenticator-Protocol. Sie definieren, wie ein Client, etwa ein Webbrowser, mit einem Remote-Authentifikator über USB, Bluetooth oder NFC (Near-Field-Communication) kommuniziert.

Der Authentifikator stellt das kryptografische Know-how für die gesamte Transaktion zur Verfügung, generiert und speichert Schlüssel und verschlüsselt die WebAuthn-„Challenge“ der Website quasi im Auftrag des Browsers. Und genau hier kommen die verschiedenen Formen der Authentifizierung ins Spiel, und warum beispielsweise Fingerabdrücke beim Anmelden auf einer Website, nicht mit dieser geteilt werden. Fingerabdruck-, Gesichts- oder Irisdaten sowie private Schlüssel werden immer nur mit dem Authentifikator auf einem Gerät geteilt, das sich im Besitz des Nutzers befindet.

„Obwohl sich die passwortlose Authentifizierung aus technischer Sicht etwas komplexer gestaltet, hat sie für Nutzer eindeutige Vorteile. Erstens identifiziert sich der Nutzer in nur einen einfachen Schritt. Zweitens braucht sich der Nutzer weder um gute Passwörter kümmern, noch einen geeigneten Schutz für Passwörter einrichten. Drittens sind biometrische Daten sicherer als Passwörter“, resümiert Michael Veit.

#Netzpalaver #Sophos