In meinem anhaltenden Versuch, Euer Leben im Internet besser und sicherer zu machen, möchte ich noch mal auf ein Thema aufmerksam machen: Sicheres Anmelden im Internet.

Es ist ja kein Geheimnis, dass Passwörter alleine nicht wirklich der Königsweg sind. Zwingt man z. B. Nutzer*innen zum regelmäßigen Wechseln, läuft man Gefahr, dass Serien (Monat1, Monat2…) genutzt werden oder zu einfache Passwörter.

Zwingt man Nutzer*innen, komplexe Passwörter zu nutzen, neigen sie dazu, die zu vergessen. Und was passiert, wenn jemand Zugriff auf die Passwörter bekommt, ist auch hinlänglich bekannt.

Damit umzugehen ist eine Herausforderung in der IT. Was „Lustig“ ist, weil bei Banken schon seit Jahrzehnten ein Weg bekannt ist: Die sogenannte „Multifaktor-Authentisierung“, oft auch „Zwei Faktor Authentisierung“ genannt.

Wenn Ihr nämlich an die Geldautomaten geht, braucht Ihr ein Geheimnis (die Pin) und einen zweiten Faktor, die Karte. Nur wer beides hat, kann sich Zugriff auf Euer Konto verschaffen.

Das gleiche versucht man schon länger im Internet, das wohl am weitesten verbreitete Verfahren ist OTP, also „One Time Password“. Dabei wird, meistens von einer App, ein 6 bis 8 stellen langer Code erzeugt, der nur eine kurze Zeit gültig ist. Die bekanntesten Apps sind vermutlich Google Authenticator und Microsoft Authenticator. Eine gute Erklärung gibt es beim BSI.

Beides funktioniert auch leidlich, es hat nur ein paar Probleme:

1. Ihr vertraut ausgerechnet zwei der größten Datenkraken.
2. Bei vielen Codes wird es schnell unübersichtlich.
3. Der Wechsel des Handy kann ein Stolperstein sein, da die Apps ans Gerät gebunden sind.

 

Besonders beim Handy kommt aber ein zweiter wichtiger Faktor zum Tragen: Ihr habt gar keinen zweiten Faktor, denn fast alle von Euch speichern die Passwörter für Apps auf dem Telefon und haben auf dem gleichen Gerät die App laufen. Das ist dann, kurzgefasst, vollkommen sinnlos. Denn wer auf Eurem Handy Zugriff auf das eine hat, wird es vermutlich auch auf das andere.

Wie also löst man das Problem jetzt?

Aktuell gibt es zwei Ansätze, die ich für positiv halte und die in Kombination einen hohen Sicherheitsgewinn bieten:

Passkey

Zunehmend bieten Unternehmen die Möglichkeit, sich gar nicht mehr per Passwort anzumelden, sondern per Passkey. Dabei wird, vereinfacht gesagt, auf Eurem Handy oder Computer ein Code-Schnipsel sicher gespeichert, der als Passwort-Ersatz dient. Das BSI erklärt das eigentlich ganz schön. Wenn Ihr Euch z. B. auf einem fremden Computer bei einem Onlinedienst anmeldet, müsst Ihr dort gar kein Passwort eingeben, sondern könnt z. B. Euer Handy nutzen.

Das ist kein zweiter Faktor im eigentlichen Sinne, erschlägt aber zwei Probleme:

1. Ihr müsst Euch keine komplizierten Passwörter merken.
2. Auf fremden Geräten müsst Ihr keine Angst haben, dass Eure Eingabe mitgelesen / gespeichert wird.

Passkeys können aber mit einem wirksamen 2. Faktor verbunden werden:

Fido-Keys

Fido-Keys sind „richtige“ zweite Faktoren, weil sie wie die Bankkarte einen physischen Beweis erbringen, dass Ihr Ihr seid. Sie machen das in Form von USB-Sticks, die es in diversen Formen und Farben gibt.

Diese Fido-Keys haben zwei Funktionen:

1. Sie können als sicherer Speicher für die Passkeys dienen.
2. Sie können den zweiten Faktor darstellen.

Dazu werden einfach die Passkeys direkt auf dem Gerät gespeichert, bzw. bei der Anmeldung eines 2. Faktors wird der USB-Stick ausgewählt.

Das schöne daran ist, dass ich damit extrem flexibel bin. Ich kann mich an jedem beliebigen Gerät anmelden, ohne meine Daten eingeben zu müssen und ich habe immer einen richtigen 2. Faktor.

Die Sticks sind dabei auch mit USB C (siehe oberes Foto) und NFC erhältlich, so das sie auch mit modernen Smartphones funktionieren – dran halten oder einstecken genügt. Damit löst Ihr auch das Problem, alle schützenswerten Daten auf einem Gerät, dem Handy zu haben – ganz abgesehen davon, dass der Stick unabhängig ist, wenn Ihr das Gerät wechselt…

Die Vorstellung, einen USB-Stick mit sich rum zu tragen, mag befremdlich wirken. Allerdings sind FIDO-Keys sehr robust gebaut, oft Wasserdicht und wenn man sie z. B. an den Schlüssel hängt, den man eh immer mit nimmt, auch nicht wirklich auffällig.

Dafür gewinnt man halt Komfort, weil man sich die Passwörter nicht merken muss und Sicherheit, weil man einen echten zweiten Faktor verwendet.

Auch hierzu gibt es wieder etwas ausführliches zum Lesen vom BSI.

Die Kurzfassung ist aber, dass FIDO-Keys das Leben deutlich einfacher und sicherer machen.

Vielleicht probiert Ihr es einfach mal aus?

 

P.S: Es kann sinnvoll sein, 2 Sticks zu haben, falls man einen verliert. Fast alle Anbieter bieten auch an, mehr als einen Passkey / Stick zu verwenden, unangenehme Ausnahme in meinem Leben ist da eBay, das nur einen Stick und einen Passkey erlaubt, also kein Backup…. aber naja… 😉