Der aspectra-Blog seit 2012

Passwort passé

Passwörter waren lange ein notwendiges Übel. Seit vielen Jahren begleiten sie uns; doch längst gibt es Lösungen, die sicherer, einfacher in der Anwendung und kostengünstiger sind. Der Standard FIDO2 revolutioniert gerade das Prinzip der Authentifizierung.

Heute, am 6. Mai, feiern wir auch dieses Jahr den World Password Day. Manche fragen sich vielleicht: Muss man etwas so Banales wie gute Passwortgewohnheiten feiern? Aber bei genauerem Hinsehen ist ein Passwort alles andere als banal. Es ermöglicht den Zugang zu all den Daten, die unsere Identität ausmachen: Bankkonto, Gesundheitsdaten, vertrauliche berufliche Informationen, persönliche Geheimnisse, und, und, und.

Genau das ist auch der Grund, warum ein Passwort, und sei es noch so ausgeklügelt, längst nicht mehr ausreicht! Ein Passwort kann auf immer raffiniertere Arten gestohlen, gehackt oder durch Phishing ausfindig gemacht werden.

Sicherheit durch kombinierte Faktoren

Als Reaktion auf diese Gefahren werden Passwörter mit verschiedenen Methoden immer sicherer gemacht. Doch im Alltag siegt Bequemlichkeit allzu oft über Sicherheitsbewusstsein. Das wissen die Cyberkriminellen und lachen sich ins Fäustchen.

Deshalb: Das «Passwort» an sich ist bereits seit Jahren passé. Längst wissen wir, dass nur eine Zwei-Faktor- oder Multi-Faktor-Authentifizierung einen ausreichenden Schutz bietet. Diese Methode stützt sich auf mindestens zwei der folgenden Faktoren:

  • Was eine Person weiss, wie beispielsweise ein Passwort
  • Was eine Person hat; das kann ein Token oder ein Badge sein
  • Was eine Person ist, d.h. biometrische Merkmale wie ein Fingerabdruck oder die Gesichtszüge

Flexible Lösungen erhöhen auch den Komfort

Inzwischen gibt es eine Vielzahl an Lösungen, die eine starke Authentisierung ermöglichen. Als besonders sichere, komfortable und kosteneffiziente Lösung hat sich Airlock 2FA erwiesen. Airlock 2FA ist flexibel und stellt sich auf ganz unterschiedliche Geschäfts- und Kundenbedürfnisse ein: zu den Methoden, die es einsetzen kann, gehören etwa Zero Touch, One Touch, (Offline) QR-Code oder ein Einmalkennwort (OTP), das regelmässig automatisch neu generiert wird. Eine so genannte risikobasierte Authentifizierung kann dabei einschätzen, welche Sicherheitsstufe in welcher Situation nötig ist. Airlock 2FA ist zudem nicht nur ein Authentifizierungsmittel, sondern integriert auch die sichere Transaktionssignatur.

Wo bleibt nun das gute alte Passwort? Noch können wir nicht ganz darauf verzichten, denn in den meisten Fällen ist es immer noch eines der Elemente, auf die sich eine Multi-Faktor-Authentifizierung stützt. Aber es zeichnet sich bereits ab, dass wir irgendwann keine Passwörter im herkömmlichen Sinn mehr benötigen werden.

FIDO2 macht das Passwort überflüssig

Nehmen wir zum Beispiel den FIDO2-Standard, der sich auch in Airlock 2FA integrieren lässt. FIDO steht für «Fast Identity Online»; die FIDO-Allianz wurde 2012 durch eine Reihe von Unternehmen gegründet. Der offene Authentifizierungsstandard FIDO2 erlaubt wahlweise eine Zwei-Faktor-Authentifizierung, bei der die gewöhnliche Benutzername-Passwort-Anmeldung um eine Verschlüsselung mit speziellen Keys und ein zusätzliches Token ergänzt wird, oder sogar eine Authentifizierung, die ganz ohne Passwort-Eingabe funktioniert.

Beliebte Sicherheitsschlüssel, die mit FIDO2 genutzt werden, sind beispielsweise der YubiKey oder SoloKeys. Diese Keys oder Sticks können am Schlüsselbund befestigt werden und sind in verschiedenen Geräten und Applikationen registrierbar. Das zweite Element, um einen User zu identifizieren, kann ein Fingerabdruck sein, der aber strikt auf dem lokalen Sicherheitsschlüssel bleibt – er wird lediglich dafür eingesetzt, um zu verifizieren, dass es tatsächlich der richtige User ist, der auf einen Dienst zugreift. Doch im Prinzip bietet ein FIDO2-Key alleine bereits ausreichend Sicherheit: Wenn ein Benutzer sich bei einem PC einloggt, der auf seinen Key registriert ist, dann ist der Einsatz eines zweiten Faktors nicht mehr nötig.

FIDO2 hat das Potential, Passwortschutz und Authentifizierung, wie wir sie kennen, komplett umzukrempeln. Heute wird der Standard von einigen Anbietern in einzelnen Bereichen bereits eingesetzt, aber generell ist die Anwendung noch zögerlich und inkonsequent. Es ist aber nur eine Frage der Zeit, bis Sicherheitsspezifikationen wie FIDO2 sich durchsetzen. In einigen Jahren müssen wir uns wohl eine neue Bezeichnung für den #WorldPasswordDay einfallen lassen.


Airlock IAM und Airlock 2FA sind produktiv bei aspectra im Einsatz. Mit FIDO unterstützt Airlock nun eine weitere Methode der Authentifizierung ohne Passwörter. Wir beraten Sie gerne bei der Implementierung Ihrer sicheren Zugriffslösung.