Eine Welt ohne Passwörter – das klingt wie eine ferne Zukunftsvorstellung. Nach Julian Totzek-Hallhuber, Solution Architect bei Veracode, ist dies jedoch schon bald Realität. Er erklärt, warum die Anzahl an sicheren Passwörtern sinkt und wie sich das auf die Anwendungssicherheit auswirkt.
Theoretisch gesehen gibt es weltweit genauso viele Passwörter wie Accounts. Gemessen an den Unique Usern pro Anwendung oder pro Internetdienstleistung besitzt jedes Anmeldekonto genau ein Passwort. In der Praxis sieht das etwas anders aus. Die meisten Menschen verwenden ein einziges Passwort für mehrere Accounts. Das bestätigt auch eine aktuelle Studie des russischen Internet-Security-Unternehmens Kaspersky. Nach dieser nutzt einer von sieben Befragten nur ein Passwort für alle seine Internetkonten.
Das scheint sehr leichtsinnig zu sein. Vor allem vor dem Hintergrund, dass die häufigste Ursache von Anwendungshacks nicht – wie vermutet werden könnte – Schwachstellen, sondern gestohlene Anmeldedaten sind. Laut dem amerikanischen Telekommunikationskonzern Verizon nutzten Hacker in 50,7 Prozent der Anwendungshacks im vergangenen Jahr gestohlene Benutzernamen und Passwörter, um in die Systeme zu gelangen.
Die Gesamtanzahl an gestohlenen Zugangsdaten nimmt dabei immer weiter zu. Im Jahr 2014 entwendeten Hacker beim sogenannten CyberVar-Hack 1,2 Milliarden Anmeldedaten. Im Hinblick auf die Ergebnisse von Kaspersky wird von diesen 1,2 Milliarden Passwörtern ein Großteil mit hoher Wahrscheinlichkeit für mehrere Internet-Services genutzt. Beim CyberVar-Hack handelt es sich allerdings nicht um einen Einzelfall. Bereits 2011 hackten Cyberkriminelle das PlayStation-Netzwerk und stahlen 77 Millionen Passwörter. Während auf der einen Seite die Anzahl an gestohlenen Zugangsdaten wächst, sinkt auf der anderen die Anzahl der sicheren Passwörter. In anderen Worten: Wir leben in einer Welt, in der es bald keine Passwörter mehr geben wird.
Eine Welt ohne Passwörter hat große Auswirkungen auf verschiedene Sicherheitsbereiche, insbesondere auf die Anwendungssicherheit. Hier erfordert sie ein Umdenken bei Entwicklern. Eine Schwachstelle, bei der sich der Nutzer zuerst einloggen muss, gilt bislang als weniger ernstzunehmend. Hunderte von Schwachstellen sollen dadurch sicher vor Hackern sein. Ohne den Einsatz sicherer Passwörter verliert diese Annahme ihre Gültigkeit, sodass Entwickler diese Schwachstellen neu analysieren und auf eine andere Weise abschwächen müssen – oder letztendlich mehr Zeit aufwenden müssen, um sie zu reparieren.
Auch auf die IT-Branche im Allgemeinen wirkt sich die sinkende Anzahl an sicheren Passwörtern negativ aus. Bald werden IT- und Cyber-Sicherheits-Unternehmen nicht mehr in der Lage sein, Authentifizierungen durch Benutzernamen und Passwörter weiterhin zu empfehlen. Aber auch biometrische Technologien scheinen keine geeignete Alternative darzustellen, denn auch Daten, die über Fingerabdrücke gesichert sind, haben Hacker bereits gestohlen. Beliebte zentralisierte Log-In-Verfahren wie bei Facebook und Twitter zentralisieren daneben ebenfalls das Risiko.
Sowohl Nutzern als auch Anwendungsentwicklern bleiben schließlich nicht mehr viele Möglichkeiten. Die beste kurzfristige Lösung für Nutzer ist die Verwendung eines Passwort-Managers und starker, einzigartiger Passwörter für jeden einzelnen Internet-Service. Anwendungsentwickler können zusätzliche Faktoren zu Benutzername und Passwort integrieren, beispielsweise Sicherheitstoken von RSA oder Duo Mobile. Eine weitere Möglichkeit ist die Nutzung eines komplett neuen Authentifizierungsverfahrens, woran Google, Yahoo und andere Technologieunternehmen zurzeit arbeiten. Doch ganz gleich für welchen Weg sich Entwickler entscheiden, eines steht fest: Auf das Passwort allein ist kein Verlass mehr.
Zitat: “Während auf der einen Seite die Anzahl an gestohlenen Zugangsdaten wächst, sinkt auf der anderen die Anzahl der sicheren Passwörter.”
Ich muss gestehen, diesen Zusammenhang sehe ich (noch) nicht so. Ich gehe davon aus das die meisten Nutzer Passwortlängen um die 10 Zeichen nutzen. D.h. nur durch eine Verlängerung mit weiteren 5-10 Zeichen kann ich doch weitere (sicherlich endliche) Passwörter generieren die zudem durch ihre zusätzliche Länge wieder sicherer werden – oder mache ich da einen Gedankenfehler?