BRINGEN SIE IHRE VERWANDTEN DAZU, IHRE PASSW\u00d6RTER ZU \u00c4NDERN –
Jeder hasst die alten Methoden der Authentifizierung. Doch der Wandel bringt auch Nachteile mit sich.<\/p>\n
Es gibt bestimmte Science-Fiction-Versprechen, die die Zukunft bereithalten soll: Jetpacks, fliegende Autos, eine Marskolonie. Aber es gibt auch einige scheinbar leichter zu erreichende Ziele, die sich irgendwie immer nur am Horizont abzeichnen. Und eines der verlockendsten ist das Ende der Passw\u00f6rter. Die gute Nachricht ist, dass die Infrastruktur – f\u00fcr alle wichtigen Betriebssysteme und Browser – weitgehend vorhanden ist, um die passwortlose Anmeldung zu unterst\u00fctzen. Die weniger gute Nachricht? Sie geben immer noch jeden Tag Passw\u00f6rter f\u00fcr mehrere Websites und Dienste ein, und das wird auch noch eine Weile so bleiben.<\/p>\n
Es besteht kein Zweifel daran, dass Passw\u00f6rter ein absoluter Sicherheitsalbtraum sind. Das Erstellen und Verwalten von Passw\u00f6rtern ist l\u00e4stig, daher werden sie oft wiederverwendet oder leicht zu erratende Logins gew\u00e4hlt – oder beides. Hacker machen sich das nur zu gern zunutze. Im Gegensatz dazu erfolgt die Authentifizierung bei passwortlosen Anmeldungen anhand von Merkmalen, die angeboren und schwerer zu stehlen sind, z. B. biometrischen Merkmalen. Keiner wird Ihren Daumenabdruck erraten.<\/p>\n
Wahrscheinlich verwenden Sie bereits eine Version davon, wenn Sie Ihr Telefon entsperren, z. B. mit einem Scan Ihres Gesichts oder Ihres Fingers anstelle eines Passcodes. Diese Mechanismen funktionieren lokal auf Ihrem Telefon und machen es nicht erforderlich, dass Unternehmen einen gro\u00dfen Bestand an Benutzerpassw\u00f6rtern – oder Ihre sensiblen biometrischen Daten – auf einem Server speichern, um Anmeldungen zu \u00fcberpr\u00fcfen. In bestimmten F\u00e4llen k\u00f6nnen Sie jetzt auch eigenst\u00e4ndige physische Token verwenden, um sich drahtlos und ohne Passwort anzumelden. Die Idee ist, dass man das irgendwann f\u00fcr so ziemlich alles machen kann.<\/p>\n
„Alle Bausteine haben einen Reifegrad erreicht, der es erm\u00f6glicht, dass sie von technikbegeisterten Early Adopters zum Mainstream \u00fcbergehen“, sagt Mark Risher, Senior Director of Product Management f\u00fcr Identit\u00e4ts- und Sicherheitsplattformen bei Google. „Sie haben eine starke Plattformunterst\u00fctzung, sie funktionieren bei allen gro\u00dfen Anbietern und sie werden den Nutzern immer vertrauter. Fr\u00fcher wussten wir als Branche nicht einmal, wie man Passw\u00f6rter loswerden kann. Jetzt wird es einige Zeit dauern, aber wir wissen, wie wir es machen.“<\/p>\n
Ende Juni k\u00fcndigte Microsoft mit Windows 11 eine tiefere Integration der passwortlosen Anmeldung an, insbesondere f\u00fcr die Anmeldung bei Ger\u00e4ten, die biometrische Daten oder eine PIN verwenden. In \u00e4hnlicher Weise k\u00fcndigte Apple einige Wochen zuvor an, dass seine neuen Betriebssysteme iOS 15 und macOS Monterey eine neue Option namens Passkeys in den iCloud-Schl\u00fcsselbund integrieren werden, ein Schritt in Richtung der Verwendung von biometrischen Daten oder Ger\u00e4te-PINs zur Anmeldung bei mehr Diensten. Und im Mai sprach Google \u00fcber seine Bem\u00fchungen, eine sichere Passwortverwaltung zu f\u00f6rdern, w\u00e4hrend es gleichzeitig daran arbeitet, die Kunden von Passw\u00f6rtern wegzubringen.<\/p>\n
Trotz dieser und anderer Bem\u00fchungen der Branche, sowohl Entwickler als auch Nutzer f\u00fcr eine Welt ohne Passw\u00f6rter zu gewinnen, bleiben jedoch zwei gro\u00dfe Herausforderungen bestehen. Zum einen werden Passw\u00f6rter zwar allgemein verachtet, sind aber auch sehr vertraut und in absurder Weise allgegenw\u00e4rtig. Es ist nicht einfach, jahrzehntelang gewachsene Gewohnheiten zu durchbrechen.<\/p>\n
„Es ist ein erlerntes Verhalten – das erste, was man tut, ist ein Passwort einzurichten“, sagt Andrew Shikiar, Gesch\u00e4ftsf\u00fchrer der FIDO Alliance, eines langj\u00e4hrigen Branchenverbands, der sich speziell mit sicherer Authentifizierung besch\u00e4ftigt. „Das Problem ist also, dass wir von einer wirklich schlechten Grundlage abh\u00e4ngig sind. Was wir tun m\u00fcssen, ist, diese Abh\u00e4ngigkeit zu durchbrechen.<\/p>\n
Es war eine schmerzhafte Entgiftung. Eine FIDO-Arbeitsgruppe hat sich im vergangenen Jahr mit der Benutzererfahrung befasst, um Empfehlungen nicht nur f\u00fcr die passwortlose Technologie selbst, sondern auch f\u00fcr die Art und Weise zu geben, wie sie normalen Menschen pr\u00e4sentiert werden kann, damit sie die Sicherheitsvorteile besser verstehen. Die FIDO sagt, dass Organisationen, die ihre Standards f\u00fcr passwortlose Systeme umsetzen, Schwierigkeiten haben, die Benutzer dazu zu bringen, die Funktion tats\u00e4chlich anzunehmen. Daher hat die Allianz Richtlinien f\u00fcr die Benutzererfahrung ver\u00f6ffentlicht, die ihrer Meinung nach bei der Gestaltung und Pr\u00e4sentation helfen werden. „‚Wenn du es baust, werden sie kommen‘ ist nicht immer ausreichend“, schrieb Shikiar letzten Monat.<\/p>\n
Die zweite H\u00fcrde ist noch schwieriger. Selbst wenn all diese Elemente vorhanden sind, funktionieren viele passwortlose Systeme nur auf neueren Ger\u00e4ten und erfordern den Besitz eines Smartphones und mindestens eines weiteren Ger\u00e4ts. In der Praxis ist das ein ziemlich begrenzter Anwendungsfall. Viele Menschen auf der ganzen Welt teilen sich Ger\u00e4te und k\u00f6nnen sie nicht h\u00e4ufig aufr\u00fcsten, oder sie verwenden, wenn \u00fcberhaupt, nur Funktionstelefone.<\/p>\n
Und w\u00e4hrend passwortlose Implementierungen zunehmend standardisiert werden, gilt dies nicht f\u00fcr Optionen zur Wiederherstellung von Konten. Wenn Sicherheitsfragen oder eine PIN als Backup-Optionen dienen, verwenden Sie im Grunde immer noch Passw\u00f6rter, nur in einem anderen Format. Daher bewegen sich passwortlose Systeme hin zu Systemen, bei denen ein Ger\u00e4t, das Sie zuvor authentifiziert haben, ein neues als vertrauensw\u00fcrdig einstufen kann.<\/p>\n
„Nehmen wir an, Sie lassen Ihr Telefon im Taxi liegen, haben aber noch Ihren Laptop zu Hause“, sagt Risher von Google. „Sie besorgen sich ein neues Telefon und verwenden den Laptop, um das Telefon zu segnen, und k\u00f6nnen sich so gewisserma\u00dfen wieder aufbauen. Und wenn dann jemand Ihr verlorenes Telefon findet, ist es immer noch durch die lokale Ger\u00e4tesperre gesch\u00fctzt. Wir wollen das Passwortproblem nicht einfach auf die Kontowiederherstellung abw\u00e4lzen.<\/p>\n
Es ist sicherlich einfacher, als die Codes f\u00fcr die Wiederherstellung von Sicherungskopien auf einem Zettel zu notieren, aber auch hier stellt sich die Frage, welche Optionen f\u00fcr Personen geschaffen werden sollen, die nicht mehrere pers\u00f6nliche Ger\u00e4te verwalten wollen oder k\u00f6nnen.<\/p>\n
Da sich die passwortlose Nutzung immer mehr durchsetzt, bleiben diese praktischen Fragen \u00fcber den \u00dcbergang bestehen. Der Passwort-Manager 1Password, der nat\u00fcrlich ein gesch\u00e4ftliches Interesse daran hat, dass Passw\u00f6rter weiterhin verwendet werden, sagt, dass er die passwortlose Authentifizierung \u00fcberall dort, wo sie sinnvoll ist, gerne unterst\u00fctzt. Auf Apples iOS und macOS k\u00f6nnen Sie beispielsweise Ihren 1Password-Tresor mit TouchID oder FaceID entsperren, anstatt Ihr Hauptpasswort einzugeben.<\/p>\n
Es gibt jedoch einige feine Unterschiede zwischen dem Master-Passwort, das einen Passwortmanager sperrt, und den darin gespeicherten Passw\u00f6rtern. Die vielen Passw\u00f6rter im Tresor werden alle zur Authentifizierung bei Servern verwendet, die ebenfalls eine Kopie des Passworts speichern. Das Master-Kennwort, das Ihren Tresor verschlie\u00dft, ist allein Ihr Geheimnis; 1Password selbst kennt es nicht.<\/p>\n
Diese Unterscheidung macht die passwortlose Anmeldung, zumindest in ihrer aktuellen Form, f\u00fcr einige Szenarien besser geeignet als f\u00fcr andere, sagt Akshay Bhargava, Chief Product Officer von 1Password. Er weist auch darauf hin, dass einige seit langem bestehende Bedenken gegen\u00fcber Passwortalternativen bestehen bleiben. Zum Beispiel sind biometrische Daten in vielerlei Hinsicht ideal f\u00fcr die Authentifizierung, da sie buchst\u00e4blich Ihre einzigartige physische Pr\u00e4senz vermitteln. Die breite Verwendung biometrischer Daten wirft jedoch die Frage auf, was passiert, wenn Daten \u00fcber beispielsweise Ihre Fingerabdr\u00fccke oder Ihr Gesicht gestohlen werden und von Angreifern manipuliert werden k\u00f6nnen, um sich als Sie auszugeben. Und w\u00e4hrend Sie Ihr Passwort aus einer Laune heraus \u00e4ndern k\u00f6nnen – ihre beste Eigenschaft als Authentifikatoren – sind Ihr Gesicht, Ihr Finger, Ihre Stimme oder Ihr Herzschlag unver\u00e4nderlich.<\/p>\n
Es wird Zeit und weitere Experimente brauchen, um ein passwortloses \u00d6kosystem zu schaffen, das alle Funktionen von Passw\u00f6rtern ersetzen kann, vor allem eines, das die Milliarden von Menschen, die kein Smartphone oder mehrere Ger\u00e4te besitzen, nicht zur\u00fcckl\u00e4sst. In einer passwortlosen Welt ist es schwieriger, Konten mit vertrauensw\u00fcrdigen Personen zu teilen, und alles an ein Ger\u00e4t wie das Telefon zu binden, schafft noch mehr Anreize f\u00fcr Hacker, dieses Ger\u00e4t zu kompromittieren.<\/p>\n
Bis zur vollst\u00e4ndigen Abschaffung von Passw\u00f6rtern sollten Sie immer noch die Ratschl\u00e4ge befolgen, die WIRED seit Jahren gibt: Verwenden Sie starke, eindeutige Passw\u00f6rter, einen Passwortmanager (es gibt viele gute Optionen) und eine Zwei-Faktor-Authentifizierung, wo immer Sie k\u00f6nnen. Wenn Sie jedoch die M\u00f6glichkeit sehen, bei einigen Ihrer sensibelsten Konten auf Passw\u00f6rter zu verzichten, wie z. B. bei der Einrichtung von Windows 11, sollten Sie es ausprobieren. Vielleicht sp\u00fcren Sie eine Erleichterung, von der Sie nicht einmal wussten, dass es sie gibt.<\/p>","protected":false},"excerpt":{"rendered":"
Jeder hasst die alten Methoden der Authentifizierung. Doch der Wandel bringt auch Nachteile mit sich. Es gibt bestimmte Science-Fiction-Versprechen, die die Zukunft bereithalten soll: Jetpacks, fliegende Autos, eine Marskolonie. Aber es gibt auch einige scheinbar leichter zu erreichende Ziele, die sich irgendwie immer nur am Horizont abzeichnen. Und eines der verlockendsten ist das Ende der Passw\u00f6rter.<\/p>","protected":false},"author":1,"featured_media":388,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[42],"tags":[102,104,103],"class_list":["post-387","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologien","tag-passwordless","tag-security","tag-sicherheit"],"yoast_head":"\n