Login ohne Kennwort (Passwordless)

Mindestenes jeden Monat geht eine Meldung durch die Ticker, dass wieder einmal eine Datenbank mit Zugangsdaten irgendwo kopiert und über dunkle Kanäle verbreitet wird. Das Risiko, dass ihre persönlichen Zugangsdaten zu Diensten und ihre Firmendaten damit anderen Personen bekannt werden, ist real. Wie wäre es, wenn ein Anwender gar kein Kennwort mehr verwenden muss und es damit auch nicht mehr beim Dienst gespeichert oder über das Internet übertragen werden muss?

Herausforderung

Die Anmeldung per Benutzername und Kennwort ist sehr einfach umzusetzen und einfach zu verstehen. Sie ist natürlich unsicher, da diese Paarung einfach "kopiert" werden kann. Das passiert sowohl auf dem Client durch Viren und Keylogger oder auf dem Kabel bei unverschlüsselten Übertragungen oder "Man in the Middle"-Angriffen. Am häufigsten aber sind Einbrüche bei Firmen der Weg, über den Anmeldedaten in großen Mengen ohne Verschulden des Anwender veruntreut werden. Viele Anbieter sichern ihre Benutzerdatenbanken mit den Anmeldedaten nicht oder zu schwach. Lange als sicher geltende Hash-Werte können heute dank "Cloud Rechenleistung" und spezialisierten CPUs in überschaubarer Zeit geknackt werden.

Auch E-Mails mit Links zu solchen Phishing-Seiten werden immer wieder bei Mitarbeitern von Firmen aber auch Privatanwendern zugestellt. Spamfilter können diese Mails nur dann erkennen, wenn Sie schlecht gemacht sind. Ansonsten bemühen sich die Angreifer die üblichen Prüfungen (IP-Listen, SPF,DKIM, DMARC u.a.) zu bestehen und selbst die Webseite wird besonders vorbereitet, indem Sie einen ähnlich klingenden Namen hat, per SSL abgesichert ist und der Schadteil erst aktiviert wird, wenn die Mail anscheinend zugestellt wurde.

Wir werden also damit leben müssen, dass solche Angriffe auch in Zukunft passieren und Anwender darauf hereinfallen. Natürlich können Sie Mitarbeiter trainieren und sensibilisieren aber einen 100% Schutz bietet das nicht.

Dieser Abschnitt gibt es so auch auf FIDO2 da die Herausforderungen identisch sind.

Anmelden ohne Kennwort

Aber wie wäre es denn ganz ohne Kennwort zu agieren? Was ein Anwender nicht eingibt, kann ein Bösewicht auch nicht abfischen. Auch das ist möglich, indem Sie nur noch ihren Benutzernamen eingeben und dann ein Hardware-Token eine Rechenaufgabe korrekt löst. Microsoft propagiert das sogar aktiv

Dabei gibt es unterschiedliche Verfahren. Ein Fido-Key, bei dem man einfach nur dann eine Taste drückt, wäre mir zu unsicher, da der Schlüssel quasi der Generalschlüssel ist. Es gibt solche Sticks natürlich auch mit einem Fingerabdruckscanner. Interessanter ist hier aber ein Smartphone mit einer passenden App. Ich habe diese "passwordlose Anmeldung" z.B. mit meinem Microsoft Konto aktiviert (vormals Passport).

Seit dem kann ich auf jedem Browser der Welt mich mit meinem OneDrive verbinden und nach der Eingabe meines Benutzernamens sehe ich folgenden Dialog:

Nachdem ich zugestimmt haben, bekomme ich einen weiteren Dialog:

Auf dem Smartphone muss ich nun die gleiche Nummer in meine Authenticator-App bestätigen. Ich sehe hier nicht nur meinen Benutzername sondern auch das Land, aus dem die Anmeldung angefordert wurde:

Wenn der Anwender nicht ganz blind ist, kann ich so verhindern, dass ein Angreifer z.B.: aus der Ferne meine Anmeldung mitbekommt und seinerseits versucht sich anzumelden. Der große Vorteil dabei ist aber, dass ich nie ein Kennwort eingegeben oder übertragen habe. Keylogger haben keine Change aber auch ein HTTP-Proxy mit SSL-Inspection läuft ins Leere wie auch jede andere Man in the Middle-Attacke.

AzureAD und Anmelden ohne Kennwort

Standardmäßig ist in AzureAD die Anmeldung ohne Kennwort deaktiviert. Sie können dies aber global oder für ausgewählte Benutzer oder Benutzergruppen über das Azure Portal aktivieren.

Genau wie bei FIDO2 kann dann der Benutzer die Einrichtung über sein Sicherheitsportal machen:

Kritik an Passwordless

Wenn ich kein Kennwort für den Zugang zu einem Dienst eingeben muss, sondern z.B. mein Smartphone, einen Code oder etwas anderes nutze, dann sollte ich immer noch aufpassen, wie und für wen der Zugriff auf dieses Medium möglich ist. Eine App auf dem Smartphone ist nur so gut, wie der Schutz des Smartphone oder der App. Wenn Sie dann den Zugang zu den Diensten ohne Kennwort betreiben, dann hat der Besitzer leichtes Spiel. Wie sicher und zuverlässig aber ein Fingerabdruckleser an dem Stick ist, muss dann weiter bewertet werden.

Denken Sie einfach mal an

  • Diebstahl
    Wenn sie einen einfachen Fido-Key mit "Taste" nutzen, dann kann der zwar offiziell nicht kopiert werden aber er kann ihnen gestohlen werden.
  • "Erben"
    Ich wünsche niemanden den Tod aber noch gibt es keinen Jungbrunnen und wenn der Moment gekommen ist, dann sind andere Personen für den Nachlass zuständig. Ein Kennwort kann der Tote nicht mehr verraten aber mit dem Passwordless-Login öffnen sich für die Erben alle Türen zur digitalen Identität. Bei einer geregelten Erbschaft ist das sogar ein Vorteil aber wenn die Erben zerstritten sind, dann sind die Folgen kaum vorhersehbar.
  • "Reisende"
    Wir verhalten Sie sich bei der Einreise in ein anderes Land, in welchen Sie natürlich ihren Key mitnehmen werden. Sonst kommen sie von Unterwegs ja nicht an die Daten ran. Da heute schon an Grenzen teilweise Smartphones "durchsucht" werden, ist eine "Begutachtung" der sozialen Netzen und anderer Dienste mittels einem zur Inspektion temporär Stick nur die nächste logische Folge.
  • "Ermittlungsbehörden" und Beschuldigter
    Soweit ich weiß, gibt es in Deutschland keine Mitwirkungspflicht bei Ermittlungen, bei denen man als Beschuldigter geführt wird. Wenn ich mich an mein Kennwort nicht erinnern kann, darf das nicht als Nachteil angesehen werden. Ein Passwordless Login per USB-Stick ohne weitere Authentifizierung, der natürlich bei einer Hausdurchsuchung auch beschlagnahmt werden dürfte, eröffnet die Konten für Strafverfolger. Da müssen Sie schon selbst wissen wie bequem ihre Anmeldung noch sein darf.
  • "Ermittlungsbehörden" und Zeuge
    Hier verhält es sich sogar noch kniffliger. Als Zeuge gibt es nur ganz wenige Gründe für ein "Zeugnisverweigerungsrecht". Wenn man nicht nahe genug verwandt ist, dann bleibt fast nur der Ansatz sich nicht selbst beschuldigen zu müssen. Das dürfte aber gerade einige Leute hellhörig machen. Wenn man als Zeuge aber den Stick abgibt, dann kann man nicht mehr steuern, welche Dienste nicht betrachtet werden

Mit Ausnahme beim Todesfall haben aber alle anderen Fälle noch den großen Nachteil, dass man nicht nur dem neuen Besitzer des Schlüssels den Zugang gewährt sondern man selbst mangels Schlüssel gar keinen Zugang mehr hat. Zumindest solange man keinen zweiten Schlüssel hinterlegt hat oder der Anbieter keine "Rücksetz-Option" bereitstellt. Wobei natürlich auch ein Smartphone als zweiter Faktor nicht wirklich hilft, da auch dieses Gerät vermutlich mit beschlagnahmt, geklaut oder konfisziert wird. Selbst ein "Rücksetzen" per Mail kann auch durch einen Ermittler angefordert und mit Zugriff auf das Postfach genutzt werden.

Insofern ist der "Password-Less"-Ansatz mit den Risiken auch nicht 100% sicher. Aber es dürfte in den meisten Fällen auf jeden Fall sicherer sein, als Kennworte, die immer irgendwann "bekannt" werden. Es hindert sie ja niemand, auch den Schlüssel durch einen zweiten Faktor (Gesicht, Fingerabdruck, PIN o.ä.) sichern. Der zweite Faktor sollte aber immer auch eine aktives Mitarbeiten des Anwenders erfordern. Wobei selbst hier "sensible" Anwender eine alleinige Authentifizierung über Fingerabdruck oder Fotoidentifikation verzichten, da diese Verfahren auch ohne aktives Einverständnis des Anwenders z.B. im Schlaf genutzt werden können und erste Berichte melden, dass auch ein Fingerabdruck erzwungen werden kann. Insofern ist ein Kennwort aus meiner Sicht immer noch ein wichtiger Teil des Anmeldeprozess.

Letztlich bleibt es eine Risikobetrachtung: Wie viel Mehraufwand ist es mir wert, mich gegen die alltäglichen Angriffe von Phishing und Leaks zu schützen und wie viel Sorge habe ich vor einem Zugriff durch Behörden.

Weitere Links