6. Oktober 2014 - Methoden der Zugangskontrolle

Passwort-Alternativen auf dem Prüfstand

Passwörter haben ausgedient, neue Methoden der Zugangskontrolle müssen her, so könnte man denken. Doch ganz so einfach ist es nicht mit den Passwort-Alternativen. Vor einer Abschaffung von Passwörtern sollten Sie bei den Alternativen genau hinsehen.

Passwort-Alternativen müssen sorgfältig ausgewählt werden Passwort-Alternativen müssen gut überlegt sein (Bild: Angela Waye/Hemera/Thinkstock)

Passwörter als Schwachstelle Nummer 1

Es gibt einen guten Grund, warum Passwörter so oft in der Datenschutzunterweisung behandelt werden: Passwörter werden sehr häufig missbraucht oder geknackt und unterhöhlen so die Zugangssicherheit. Deshalb ist es auch nicht verwunderlich, wenn viele schon das Ende für die Passwort-Methode in der Zugangskontrolle sehen.

Zugangskontrolle muss verbessert werden

Es steht außer Frage, dass die Zugangskontrolle bei vielen Unternehmen, aber auch bei Online-Diensten und Endgeräten besser werden muss. Allerdings sollte man nicht leichtfertig an die Abschaffung der Benutzername-Passwort-Methode denken. Insbesondere sollte man nicht glauben, dass allein die Abschaffung von Passwörtern und die Einführung von Passwort-Alternativen zu einer erhöhten Zugangskontrolle führen.

Auch Passwort-Alternativen haben Probleme

Tatsächlich können auch Passwort-Alternativen Sicherheitslücken aufweisen: Die meisten Passwort-Alternativen sollen das Gedächtnis der Nutzer entlasten bzw. die Wahl eines komplexen Passworts unnötig machen. Ein Beispiel sind die Fingerabdruck-Leser, die bei Zutrittskontrollanlagen, aber auch bei Smartphones, Tablets, Notebooks und sogar USB-Sticks verbaut werden.

Leider sind nicht alle Implementierungen eines Fingerprint-Readers wirklich gelungen. Manche erkennen selbst den richtigen Fingerabdruck nicht an und sperren so den legitimen Nutzer ungewollt aus. Andere lassen sich relativ leicht austricksen. Sicherheitsforscher zeigen immer wieder, dass einige Passwort-Alternativen im Sinne von Fingerabdruck-Prüfungen umgangen werden können. Teilweise ermöglicht dies sogar der Anbieter des Sicherheitsverfahrens selbst, scheinbar als vorbeugende Maßnahme, wenn ein legitimer Nutzer plötzlich keinen Zugang mehr bekommen sollte. Dann kann statt des Fingerabdrucks wieder ein Passwort eingegeben werden.

Ein einzelner Sicherheitsfaktor sollte keine Alternative sein

Der Passwort-Ersatz via Fingerabdruck-Leser ist nicht das einzige Beispiel, das zeigt, dass Passwörter nicht so einfach abgelöst werden sollten. So gibt es auch Zugangskontrollsysteme, die allein den Besitz eines Hardware-Tokens prüfen, der zum Beispiel über eine USB- oder RFID-Schnittstelle eingelesen wird. Geht ein solcher Token verloren und ist er der einzige Passwort-Ersatz, so entstehen ähnliche Risiken wie beim Verlust eines (unerlaubt) notierten Passworts.

Passwörter sollten deshalb nicht einfach ersetzt werden. Vielmehr sollten Sie weiterhin versuchen, starke Passwörter durchzusetzen, über sichere SSO-Verfahren (Single-Sign-on) die Zahl der notwendigen Passwörter zu reduzieren und bei entsprechendem Schutzbedarf eine Mehr-Faktor-Authentifizierung vorzuschlagen. Dann sind geeignete Verfahren für Fingerabdruck oder Hardware-Token eine gute Ergänzung zum Passwort, nicht aber der komplette Ersatz.

Nutzen Sie am besten die aktuelle Checkliste bei Ihrer Prüfung der Zugangskontrolle.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln