{"id":23473,"date":"2022-08-30T06:00:00","date_gmt":"2022-08-30T04:00:00","guid":{"rendered":"https:\/\/difue.de\/?p=23473"},"modified":"2022-12-20T16:21:34","modified_gmt":"2022-12-20T15:21:34","slug":"passwortfreie-zukunft-interview-alexander-koch","status":"publish","type":"post","link":"https:\/\/difue.de\/en\/news\/gefahrenschutz\/passwortfreie-zukunft-interview-alexander-koch\/","title":{"rendered":"“Die Zukunft wird passwortlos, komfortabel und sicher”"},"content":{"rendered":"
\t\n

Ein gutes Passwort muss lang sein. Es besteht aus Gro\u00df- und Kleinbuchstaben, Ziffern und Sonderzeichen – und ist f\u00fcr viele von uns eher schwer zu merken. Das f\u00fchrt dazu, dass viele Menschen eher unvorsichtig sind, wenn es um ihre Passw\u00f6rter und die Absicherung ihrer Online-Konten geht. Alexander Koch von Yubico<\/a> spricht im DiF\u00fc-Interview dar\u00fcber, wie wir in Zukunft die Passw\u00f6rter hinter uns lassen k\u00f6nnen. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

difue.de: Herr Koch, eine Frage an den Fachmann: Wie sieht Ihre Passwort-Routine aus?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Alexander Koch: Das hat sich in den letzten Jahren bei mir ge\u00e4ndert. Fr\u00fcher hatte ich einen Pool von Passw\u00f6rtern, die ich der Reihe nach durchgewechselt und immer komplexer gemacht habe, weil auch die Anforderungen an die Passwortsicherheit immer h\u00f6her wurden. Seit drei oder vier Jahren nutze ich einen Hardware-Token als zweiten Faktor. Das garantiert die gr\u00f6\u00dftm\u00f6gliche Sicherheit f\u00fcr meine privaten Konten und meine Firmen-Accounts.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Sie haben es angesprochen: Die Anforderungen an Passw\u00f6rter werden immer h\u00f6her. Was denken Sie, warum halten sich viele Menschen nicht an die Grundregeln f\u00fcr sichere Passw\u00f6rter, obwohl die meisten sie wahrscheinlich kennen?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ich glaube schon, dass es gerade in den letzten Jahren deutlich mehr Menschen bewusst geworden ist, wie wichtig ein sicheres Passwort ist. Trotzdem \u00fcberwiegen im Alltag oft Bequemlichkeit und Schnelligkeit. Ich glaube, es ist gar nicht so schwierig, sich ein schweres Passwort auszudenken und sich das zu merken. Die Komplexit\u00e4t kommt rein, weil wir zu viele Accounts im Beruf und im privaten Umfeld haben. Da bekommen wir dann irgendwann Probleme. <\/p>\n<\/div><\/div><\/div>\n\n\n

\n\t
\n\t\t
\n\t\t\t
\n\n\t\t\t\t
\n\n\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
Zwei-Faktor-Authentisierung (2FA)<\/div>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t

2FA bedeutet, dass man zur Anmeldung bei einem Dienst nicht nur ein Passwort braucht, sondern noch eine zweite Authentisierungsmethode, einen zweiten Faktor. Beim Online-Banking kann das ein PIN oder eine TAN sein, manche Dienste versenden Best\u00e4tigungscodes an eine hinterlegte E-Mail-Adresse oder Telefonnummer. Faktoren lassen sich in “Wissen” (Passwort, PIN), “Besitztum” (Hardware-Key) und “Eigenschaften” (Fingerabdruck, Aussehen, Stimme) einteilen. 2FA ben\u00f6tigt immer zwei dieser Faktoren.<\/p>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t

<\/p>\n

Zur Bequemlichkeit kommt wahrscheinlich oft auch ein mangelndes Sicherheitsbewusstsein. K\u00f6nnen Sie als Experte klarstellen, wie gro\u00df das Risiko ist, dass Nutzernamen und Passwort irgendwo abgegriffen werden?<\/strong><\/p>\n

 <\/p>\n

<\/p>\n

Username-Passwort-\u00dcbernahmen mithilfe von Phishing Angriffen sind eine der am weitesten verbreiteten Angriffsarten. Account-\u00dcbernahmen geh\u00f6ren zum t\u00e4glichen Gesch\u00e4ft. Es werden aber nicht nur E-Mail-Adressen ausgesp\u00e4ht, sondern auch Bankinformationen und andere vertrauliche Daten. Die landen dann in Datenbanken, wo man oft nicht wei\u00df, was da damit passiert. Hier ist also die Awareness ganz wichtig, also dass Leute wissen, dass das so ein starker Angriffsfaktor ist, auch bei privaten Nutzern. Und dass heutzutage ein Passwort nicht reicht, sondern dass man am besten auch einen zweiten Faktor hinzunimmt.<\/p>\n

<\/p>\n\n\t\t\t\t<\/div>\n\n\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n<\/section>\n\n\n

\t\n

Wie w\u00fcrden Sie Menschen davon \u00fcberzeugen, auf jeden Fall die Zwei-Faktor-Authentisierung anzuwenden, auch wenn es vielleicht erst einmal umst\u00e4ndlich wirkt?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wir verschlie\u00dfen ja auch unsere Wohnung, wenn wir das Haus verlassen oder unser Auto, wenn wir Einkaufen gehen. Das sind Dinge, die uns im Alltag ganz normal und gew\u00f6hnlich von der Hand gehen. In der virtuellen Welt ist das letztlich \u00e4hnlich. Ich muss daf\u00fcr sorgen, dass meine Daten im Netz abgesichert sind. Das ist so wie bei einem Einbruch. Der Einbrecher geht immer dahin, wo er es am leichtesten hat. Und je schwieriger ich es dem potenziellen Datendieb mache, desto geringer wird die Wahrscheinlichkeit, dass ich Opfer eines Datenmissbrauchs werde.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Viele Menschen, die ein Smartphone haben, nutzen einen biometrischen zweiten Faktor, zum Beispiel den Fingerabdruck-Scanner oder die Gesichtserkennung. Sind diese Methoden so sicher, wie wir denken?<\/strong> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Grunds\u00e4tzlich gilt: Jeder zweite Faktor ist besser als kein zweiter Faktor. \u00dcber die Sicherheit kann man sich streiten. Sicher gibt es M\u00f6glichkeiten, hier zu manipulieren. Nichtsdestotrotz sind gerade biometrische Faktoren heute so weit entwickelt, dass sie schon eine sehr, sehr hohe Sicherheit bieten. M\u00f6chte man hier sicherheitstechnisch noch etwas draufsetzen, empfiehlt sich die Verwendung eines dedizierten Sicherheitstokens wie zum Beispiel dem Yubikey oder auch andere, die hier auf dem Markt angeboten werden. Das ist deutlich sicherer als eine Handy-App oder andere Dinge. Und die Anwendbarkeit ist sehr einfach. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Worum handelt es sich bei diesen Sicherheitstokens genau? Die sehen ja ein bisschen aus wie ein USB-Stick, sind aber etwas anderes. <\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Als der Yubikey 2007 auf den Markt kam, wurden wir auch gefragt: Was ist das f\u00fcr ein komischer USB-Speicher? Aber da ist gar kein Speicher drauf. Es handelt sich um einen Krypto-Chip, auf dem verschiedene verschl\u00fcsselte pers\u00f6nliche Keys gespeichert werden k\u00f6nnen. Die erm\u00f6glichen dann den Zugang zu verschiedenen Applikationen und Anwendungen. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Vorausgesetzt, der Anbieter, bei dem ich mich anmelde, unterst\u00fctzt diese Authentisierungsmethode auch.<\/strong> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wir haben eine sehr hohe Verbreitung. Die meisten Google-Produkte oder auch Microsoft unterst\u00fctzen den Key nativ. Das hei\u00dft, hier ist keine weitere Software als sogenannte Middleware erforderlich. Man steckt den Yubikey in den USB-Port des Rechners, registriert ihn und kann sich danach entweder \u00fcber diese USB-Schnittstelle oder auch kontaktlos \u00fcber NFC an beliebig vielen Ger\u00e4ten authentisieren. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Dann muss man aber immer seinen Stick dabei haben, um sich anzumelden. Das ist vielen Nutzer:innen sicher immer noch einen Schritt zu kompliziert. Glauben Sie, dass diese Zwei-Faktor-Sticks eine breite Masse ansprechen k\u00f6nnen? Oder bleibt das eher ein Nischenprodukt?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wir haben neben Gro\u00dfunternehmen, wo wir \u00fcber Yubikeys in Gr\u00f6\u00dfenordnungen von \u00fcber 200.000 St\u00fcck einsetzen, auch viele private Nutzer weltweit, die den Yubikey einsetzen. Man kann jeden Key an seinen Schl\u00fcsselbund machen, was wir auch empfehlen. Dann wird er nicht vergessen. Wenn ich das Haus verlasse und meine Wohnung abschlie\u00dfe, habe ich den Yubikey dabei und kann mich an den meisten Ger\u00e4ten anmelden. Mit den meisten Smartphones und Apple-Ger\u00e4ten geht das kontaktlos \u00fcber NFC. Ich halte den Yubikey kurz hinten an die Antenne des jeweiligen Ger\u00e4tes und bin authentifiziert. Also gerade der dieser Komfort-Vorteil ist ein wesentliches Plus eines solchen Security-Keys.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Und wenn mir jemand im Worst Case meinen Laptop und meinen Schl\u00fcsselbund mit dem Yubikey klaut, habe ich dann dem Dieb oder der Diebin die T\u00fcr zu all meinen Online-Konten ge\u00f6ffnet?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das ist sicherlich ungew\u00f6hnlich, dass beides gleichzeitig gestohlen wird. Weil ich nat\u00fcrlich darauf achten sollte, meinen Schl\u00fcsselbund eher in der Tasche und auch getrennt von meinem Laptop aufzubewahren. Sollte das trotzdem passieren, sind die Zug\u00e4nge immer noch \u00fcber eine PIN gesichert. Das hei\u00dft, hier gibt es noch mal eine zus\u00e4tzliche Sicherheitssperre, damit nicht mit dem Besitz des Keys auch automatisch der Zugang zu den Daten erfolgt.<\/p>\n<\/div><\/div><\/div>\n\n\n

\n\t
\n\t\t
\n\t\t\t
\n\n\t\t\t\t
\n\n\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
FIDO-Alliance<\/div>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t

FIDO steht f\u00fcr “Fast Identity Online”. Die nichtkommerzielle Organisation arbeitet seit 2012 an offenen und lizenzfreien Authentisierungsstandards, um Internetanmeldungen f\u00fcr alle sicherer zu machen. Zu den Mitgliedern der Fido-Allianz geh\u00f6ren unter anderem Microsoft, Google, Apple, Lenovo, PayPal, Mastercard, Samsung und Yubico.<\/p>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t

<\/p>\n

Yubico ist Mitglied der FIDO-Alliance. Das ist ein Zusammenschluss von mehreren Unternehmen, die zusammen an sicheren Authentisierungsmethoden arbeiten und eine passwortfreie Zukunft anstreben. Die hat sich aber noch nicht materialisiert – warum nicht? <\/strong><\/p>\n

<\/p>\n

Wir sind hier auf einem guten Weg. Die Fido-Alliance hat einen weltweiten Authentisierungs-Standard entwickelt und auch etabliert. Gerade in den letzten anderthalb bis zwei Jahren sind enorme Fortschritte gemacht worden, was die passwortlose Authentisierung angeht. Wir k\u00f6nnen heute schon Implementierungen vorweisen, die komplett passwortlos sind.<\/p>\n

<\/p>\n

M\u00fcssen wir uns dann nie wieder komplizierte Buchstaben-Zahlenkombinationen merken?<\/strong><\/p>\n

<\/p>\n

Es gibt immer noch eine PIN und die wird in regelm\u00e4\u00dfigen oder unregelm\u00e4\u00dfigen Abst\u00e4nden abgefragt, um zwischendurch sicherzustellen, dass es sich noch um den Nutzer handelt. Das schreibt der Fido-Standard vor. Beim Yubikey haben wir als Absicherung einen sogenannten kapazitiven Sensor. So k\u00f6nnen wir sicherstellen, dass ihn ein Mensch bedient und der Key nicht von einer Software oder einer Malware kompromittiert wurde. Au\u00dferdem haben wir den sogenannten Yubikey Bio, da wird mithilfe des Fingerabdrucks noch ein zus\u00e4tzlicher Authentisierungsschritt eingef\u00fchrt.<\/p>\n

<\/p>\n\n\t\t\t\t<\/div>\n\n\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n<\/section>\n\n\n

\t\n

Und meine Zugangsdaten zu den einzelnen Diensten speichere ich dann auf dem Stick? Oder wie erkennen die Dienste, dass ich ich bin?<\/strong> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das geht \u00fcber den gespeicherten privaten Key auf dem Yubikey. Hier kann eine Vielzahl von privaten Keys f\u00fcr die verschiedensten Anwendungen gespeichert werden. Dieser pers\u00f6nliche Key verl\u00e4sst den Stick nicht. Er ist also sehr sicher aufbewahrt und garantiert, dass eine ganz klare personenbezogene Authentisierung m\u00f6glich ist.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Was ist, wenn ich so einen Stick nicht habe und auch nicht haben will? Gibt es auch andere L\u00f6sungen f\u00fcr eine passwortfreie Zukunft, an denen die Fido-Alliance arbeitet?<\/strong> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Die Fido-Alliance ist generell Richtung “passwordless” aufgestellt. Da wird aber immer ein Hardware-Key empfohlen und man sieht auch, dass in den letzten ein, zwei Jahren sehr viele Fido-Keys auf den Markt kommen. Das ist also schon ganz klar ein starker Trend, den man hier beobachten kann.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das hei\u00dft in Ihren Worten, wenn ich f\u00fcr mich und meine Online-Konten eine passwortfreie Zukunft anstrebe, komme ich um so einen Key nicht herum.<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Zumindest wenn ich sehr hohe Sicherheitsanforderungen habe.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das ist ja gerade das Problem, dass viele Menschen nicht so hohe Anforderungen an ihre eigene Sicherheit haben. Gibt es denn \u00fcberhaupt Wege in eine sichere passwortfreie Zukunft, die bequemer sind und nicht so einen Hardware-Key erfordern?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Die gro\u00dfen Hersteller haben ja auch eigene Authentisierungs-Methoden, die dann eben an das jeweilige Ger\u00e4t gebunden sind und die sicherlich auch ein passwortloses Authentisieren erm\u00f6glichen. Ein dedizierter Hardware-Token bietet aber eine h\u00f6here Sicherheitsstufe, weil er einfach daf\u00fcr gebaut ist, eine sichere Authentisierung durchzuf\u00fchren.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wenn ich meine gesamten Online-Anmeldeinformationen auf einem Key speichere oder bei Anbieter hinterlege, baue ich da nicht ein zus\u00e4tzliches Risiko ein? Was ist, wenn ich den Key verliere oder die Server des Anbieters kompromittiert werden?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wenn Sie Ihren Key verlieren, k\u00f6nnen Sie nat\u00fcrlich sofort einen neuen Key registrieren und den alten Key damit ung\u00fcltig machen oder dem Key die Rechte entziehen, wenn er mal verloren geht. Das merke ich ja meistens recht schnell. Gerade im Unternehmensumfeld empfehlen wir zudem, einen Backup-Key zu haben. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Gro\u00dfe Anbieter wie Apple, Microsoft oder Google arbeiten im Rahmen der Fideo-Alliance auch an einer Cloud-L\u00f6sung, bei der Nutzer:innen ihre Anmeldeinformationen in der Cloud beim jeweiligen Anbieter hinterlegen k\u00f6nnen und dann dar\u00fcber bequem von allen m\u00f6glichen Ger\u00e4ten aus auf ihre Dienste zugreifen k\u00f6nnen. Kritiker:innen sagen, dass man den Unternehmen damit noch mehr Nutzungsdaten zur Verf\u00fcgung stellt, sich noch “gl\u00e4serner” macht als ohnehin schon. <\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Bei den Cloud-L\u00f6sungen kann ich schwer absch\u00e4tzen, was die gro\u00dfen Hersteller mit den Daten machen. Grunds\u00e4tzlich w\u00fcrde ich aber sagen – und da schlie\u00dft sich auch der Kreis: Jeder zweite Faktor ist besser als gar kein zweiter Faktor. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wie sieht aus Ihrer Sicht unsere Authentisierungs-Zukunft aus? Wird sie passwortlos sein?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ich bin fest davon \u00fcberzeugt, dass wir uns in Zukunft wirklich passwortlos und sehr komfortabel und sicher zu allen m\u00f6glichen Applikationen und Webanwendungen anmelden k\u00f6nnen. Der Yubikey ist bereits 2019 auf der Europ\u00e4ischen Identity Konferenz f\u00fcr das Thema “Passwordless” als Innovationstreiber ausgezeichnet worden. Ich denke, dass sich das nicht nur in Unternehmen, sondern auch f\u00fcr Privatanwender in den n\u00e4chsten, zwei bis f\u00fcnf Jahren weiter durchsetzen wird.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Jedes Jahr landen Passw\u00f6rter wie “12345678” auf den ersten Pl\u00e4tzen im Ranking der d\u00fcmmsten Passw\u00f6rter. Meinen Sie, dass das dann irgendwann endlich der Vergangenheit angeh\u00f6ren wird?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ich hoffe es schon. Wobei ich glaube, dass es sicherlich immer noch Nutzer geben wird, die hierauf vertrauen, dass ihre Daten vielleicht nicht interessant sind oder denen es vielleicht ein St\u00fcck weit egal ist, ob ihre Daten kompromittiert werden. Das wird es sicherlich immer geben. Das “123” wird wahrscheinlich nicht verschwinden, aber wenn man das “123” dann als PIN f\u00fcr einen zweiten Faktor nimmt, hat man schon einen erheblichen Sicherheitsgewinn.<\/p>\n<\/div><\/div><\/div>","protected":false},"excerpt":{"rendered":"

Ein gutes Passwort muss lang sein. Es besteht aus Gro\u00df- und Kleinbuchstaben, Ziffern und Sonderzeichen – und ist f\u00fcr viele […]<\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[5,7],"tags":[48,66,49],"class_list":["post-23473","post","type-post","status-publish","format-standard","hentry","category-gefahrenschutz","category-internet","tag-2fa","tag-passwort","tag-zwei-faktor-authentisierung"],"acf":{"show_similar_posts":"Ja","similar_posts":[19780,22419,17973,19814,22938,30948,31563,32466,34095],"sleeve":"","kicker":"Sorgenfrei dank Zwei-Faktor-Stick? ","bild":25032,"bildunterschrift":"Alexander Koch wei\u00df, wie eine passwortfreie Zukunft aussehen kann. Bild:Pixabay\/A. Koch \/ Montage difue.de","anreisser":"Lange und komplizierte Passw\u00f6rter k\u00f6nnten wir bald nicht mehr brauchen - die Fido-Alliance arbeitet an einer passwortlosen Zukunft. Wie die aussehen kann und wie wir schon heute weitgehend auf Passw\u00f6rter verzichten k\u00f6nnen, erkl\u00e4rt Alexander Koch von Yubico im Interview. ","podcast":"