Welt ohne Passwörter: Einloggen einfach und sicher?

Die Liste der Regeln für gute Pass­wörter ist lang: Sie sollen etwa möglichst viele Zeichen haben und nicht mehr­fach für unter­schied­liche Dienste verwendet werden. Das ist vielen Menschen offenbar zu aufwendig oder über­for­dert sie schlicht.

So führte die Zahlen­reihe "123456" auch im Jahr 2021 wieder die vom Hasso-Plattner-Institut jähr­lich veröf­fent­lichte Top-Ten-Liste der belieb­testen Pass­wörter an. Aber selbst starke und einzig­artige Pass­wörter können abge­fangen oder gestohlen werden. Fido: Alternative fürs Passwort
Bild: Fido Alliance Und die Anmel­dung in zwei Schritten (Zwei­faktor-Authen­tisie­rung/2FA), bei der neben dem Pass­wort noch ein zweiter Faktor geprüft wird (etwa ein von einer 2FA-App gene­rierter Code oder der Finger­abdruck), erhöht zwar die Sicher­heit, macht Einloggen aber nicht unauf­wen­diger.

Einfach kein Pass­wort lautet die Lösung

Für diese Probleme gibt es eine Lösung, die einfach das Pass­wort selbst über­flüssig machen soll. Die Rede ist von Fido (Fast Iden­tity Online), was zu Deutsch so viel wie schnelle Online-Iden­tifi­kation bedeutet. Fido steht für eine Reihe von IT-Sicher­heits­stan­dards.

Der neueste, Fido 2, soll die sichere, pass­wort­lose Anmel­dung bei Online-Diensten ermög­lichen. Das Pass­wort könnte dann ausge­dient haben. Aber wie funk­tio­niert das? Wer sich per Fido zwei einloggen will, muss dafür zunächst ein Gerät bei dem jewei­ligen Dienst regis­trieren.

Das geht etwa mit Smart­phone, Tablet oder Computer. Bei der Regis­trie­rung werden mittels mathe­mati­scher Verfahren zwei kryp­togra­fische Zeichen­folgen gene­riert, die zusammen ein Paar bilden: den öffent­lichen und den privaten Schlüssel. Den öffent­lichen Schlüssel bekommt der Dienst, der geheime Schlüssel wird im Gerät gespei­chert, das dadurch zum soge­nannten Authen­tifi­kator wird.

Signatur funk­tio­niert wie klas­sische Unter­schrift

Wenn man sich nun einloggen möchte, erstellt das Gerät mithilfe des geheimen Schlüs­sels eine digi­tale Signatur. Diese kann der Dienst nun durch den öffent­lichen Schlüssel auf Authen­tizität über­prüfen.

Im Prinzip funk­tio­niere das wie die klas­sische Unter­schrift auf Papier, erklärt Prof. Markus Dürmuth vom Institut für IT-Sicher­heit an der Leibniz Univer­sität Hannover. "Nur ich weiß, mit welchem Schwung ich die Unter­schrift schreibe - mit einer Vergleichs­probe kann jeder diese über­prüfen."

Das Verfahren ist im Vergleich zum Pass­wort sicher, weil der private Schlüssel nur beim Nutzer liegt. Pass­wörter hingegen sind Geheim­nisse, die über Tasta­turen eingeben werden: Sie können lokal oder auf dem Weg durchs Netz abge­fangen werden.

Zudem werden die Pass­wörter auch beim jewei­ligen Dienst in verschlüs­selter Form abge­legt, um das vom Nutzer einge­gebene Pass­wort abglei­chen zu können, sagt Dürmuth. Beim Abgleich liege das Pass­wort kurz­zeitig im Klar­text vor, was ein Sicher­heits­risiko darstellt.

Fido zwei dagegen bietet sogar noch mehr Sicher­heit: Die digi­tale Signatur beinhalte einen Zeit­stempel, sagt Dürmuth. Selbst wenn es Angrei­fern gelänge, die Signatur abzu­fangen, könnten sie sie später nicht nutzen.

Spezi­eller Chip spei­chert den Schlüssel

Außerdem ist der private Schlüssel, auch Geheimnis genannt, auf den Authen­tifi­kator-Geräten sicher: Der Schlüssel wird auf den Geräten in einem soge­nannten Trusted Plat­form Module (TPM) gespei­chert, erklärt Jan Mahn von der "c't". "Das sind Hard­ware-Chips, die so designt sind, dass sie keinen Ausgang für das Geheimnis haben."

Der private Schlüssel werde einmal im Gerät berechnet und dort gespei­chert. Beim Log-in verlässt nur besagte Signatur das Gerät, nicht der private Schlüssel selbst, so Mahn. TPMs mit Krypto-Chips stecken mitt­ler­weile in den aller­meisten Smart­phones sowie in neueren PCs und Note­books. Micro­soft hat ein TPM sogar zu einer Voraus­set­zung für die Instal­lation von Windows 11 auf Rech­nern gemacht.

Wer noch einen älteren Rechner oder ein älteres Smart­phone ohne TPM hat, kann den privaten Schlüssel aber auch auf Sticks spei­chern, die per USB (Rechner) oder NFC (Smart­phone) verbunden werden. Diese Sticks mit einge­bautem Krypto-Chip werden auch Token genannt und können bei Fido zwei nicht nur das Pass­wort ersetzen.

Stick als Pass­wor­ter­satz oder zweiter Faktor

Je nach Dienst kann ein USB-Token auch als zweiter Faktor dienen. Ist der Stick am Gerät einge­steckt, muss man nur noch eine PIN eingeben oder sich per Finger­abdruck authen­tisieren, wenn der Stick einen Sensor dafür hat. Denn auch 2FA ist Teil der Fido-Stan­dards.

Aber was ist, wenn ein Nutzer etwa das Smart­phone verliert, auf dem der private Schlüssel liegt? "Die offi­zielle Empfeh­lung bei Fido 2 ist es, zwei Geräte zu regis­trieren", sagt Prof. Dürmuth. Das zweite Gerät muss nicht zwin­gend ein Smart­phone oder Computer sein: Als Backup bietet sich etwa auch ein sicher verwahrter USB-Token an.

Jahn Mahn nennt noch eine Möglich­keit, im Notfall an ein Konto zu kommen: Zahl­reiche Dienste geben bei der Regis­trie­rung einen Backup-Code aus. Den notiert man sich am besten auf Papier und verwahrt ihn an einem sicheren Ort.

Schlüssel in die Cloud?

Eine relativ neue Idee zur Lösung des Verlust-Problems und für noch mehr Nutzer­freund­lich­keit ist es, den privaten Schlüssel zusätz­lich in der Cloud, also auf Internet-Servern, zu sichern bezie­hungs­weise ihn auf unter­schied­lichen Geräten über das Internet zu synchro­nisieren. So verfährt beispiels­weise Apple bei seiner Umset­zung des Fido-2-Stan­dards.

Grund­sätz­lich geht durch den Cloud-Weg zwar ein Stück Sicher­heit verloren. Doch das sei ange­sichts der höheren Nutz­bar­keit von Fido 2 vertretbar, findet Markus Dürmuth. Die Cloud-Spei­cher seien zudem beson­ders geschützt.

Hinter dem offenen und lizenz­freien Fido-Stan­dard steckt die nicht-kommer­zielle Fido-Allianz. Viele Unter­nehmen, Dienst­leister und Behörden haben sich darin zusam­men­geschlossen.

Das haben die Tech-Konzerne vor

Anfang Mai 2022 erklärten Apple, Google und Micro­soft gemeinsam, Fido 2 bis 2023 um weitere Funk­tionen ergänzen zu wollen. Benut­zerinnen und Benutzer sollen auf verschie­denen - auch neuen Geräten - auto­matisch auf die Zugangs­daten zugreifen können, ohne sich für jedes Konto neu anmelden müssen. Zudem soll es möglich werden, sich mit einem Mobil­gerät als Authen­tifi­kator bei einer App oder Website auf einem anderen Gerät in der Nähe anzu­melden, und zwar unab­hängig von Betriebs­system oder Browser.

Micro­soft hat pass­wort­loses Anmelden bereits etwa für die Outlook-Webver­sion sowie für sein Spiele­netz­werk Xbox Live einge­führt. Es kann in den erwei­terten Sicher­heits­ein­stel­lungen des Micro­soft-Kontos akti­viert werden.

Und Dropbox, Google oder Twitter unter­stützen Fido zwei zumin­dest schon als zweiten Faktor per USB-Token, App oder SMS, auch wenn in der Regel nicht von Fido 2, sondern von Sicher­heits­schlüssel oder Passkey die Rede ist.

Fido zwei ist so sicher wie seine Umset­zung

Auch das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) ist Mitglied der Fido-Allianz. Das Amt bewertet den Fido-2-Stan­dard in vielen Aspekten positiv, wie ein Spre­cher der Behörde sagt. Ein echter Sicher­heits­gewinn ergebe sich aller­dings nur, wenn das Authen­tifi­kator-Gerät entspre­chend gesi­chert sei.

Für höhere Sicher­heits­niveaus müsse laut BSI zudem unab­hängig geprüft und zerti­fiziert werden, wie der Fido-2-Stan­dard etwa auf einer Webseite imple­men­tiert wird. Denn die Sicher­heit hänge immer davon ab, wie der jewei­lige Anbieter Fido 2 für seinen Dienst umsetzt.

2FA und Pass­wort-Ersatz akti­vieren wo immer möglich

"IT-Sicher­heit soll im besten Fall den Angreifer nerven", sagt Jahn Mahn - und Nutze­rinnen und Nutzer möglichst wenig. "Fido 2 schafft das, vor allem mit den neuen Imple­men­tie­rungen." Mit den meisten Android-, iOS- und MacOS-Geräten, aber auch unter Windows sei es mitt­ler­weile sehr einfach, Fido zwei mit bestehender Hard­ware zu nutzen.

Mahn rät, in den Konto­ein­stel­lungen des jewei­ligen Dienstes im Bereich Sicher­heit zu prüfen, welche Optionen es gibt, und Fido 2 zu nutzen, wo immer es geht: entweder als Pass­wort-Ersatz oder als zweiten Faktor.

Ein sicheres und nicht zu erra­tendes Pass­wort ist heut­zutage uner­läss­lich. Doch wie sicher ist Ihres - und wurde es viel­leicht schon mal irgendwo geklaut, ver­öffentlicht und miss­braucht? Diverse Portale geben darüber Auskunft.