Türsteher für jeden Rechner

Die FIDO Alliance will ein neues Authentifizierungssystem etablieren, dass die Sicherheit an die Hardware knüpft und herkömmliche Kennwörter überflüssig macht.

Es ist ein Kreuz mit den Kennwörtern. Befolgt man den Rat von Fachleuten, sollte man für die diversen Online-Dienste je verschiedene, möglichst kryptische Zeichenketten verwenden. Doch die wenigsten sind solche Gedächtniskünstler, dass sie sich alle merken können, und greifen immer wieder zu einfachen Wörtern. Kriminellen macht diese Praxis es leicht, Online-Konten zu knacken.

Gibt es nicht etwas Besseres als Kennwörter? Ja, meint ein Konsortium, an dem der Bezahldienst Paypal und der chinesische Computerhersteller Lenovo beteiligt sind. Die FIDO Alliance will verschiedene Technologien in Rechnern bündeln, damit sich sich Nutzer anmelden können – im Idealfall ohne ein Kennwort.

„Mittels Phishing oder dem systematischen Erraten von Kennwörtern können Kriminelle heute leicht an Nutzerdaten herankommen“, sagt Michael Barrett, Sicherheitsvorstand von Paypal. „FIDO soll uns in eine Welt voranbringen, in der die Nutzerdaten viel stärker an das eigene Gerät gebunden sind.“

Das könnte beispielsweise über den Sicherheitschip funktionieren, der bereits in vielen PCs eingebaut ist, oder mit Hilfe von Lesegeräten von Fingerabdrücken. Ein offener Standard für derartige Lösungen soll helfen, dass die Industrie das neue Verfahren möglichst rasch annimmt und umsetzt. Unternehmen können dabei wählen zwischen einer einer reinen, Hardware-gebundenen Authentifizierung und einer Kombination aus dieser und einem Kennwort.

„Damit könnten wir all den Ärger beenden, mit dem wir uns seit der Zeit der Mainframe-Rechner herumschlagen“, sagt Phil Dunkelberger, der frühere CEO der PGP Corporation, die die Entwicklung des Verschlüsselungsverfahrens „Pretty Good Privacy“ unterhielt. Sein neues Start-up Nok Nok Labs hat Software für die FIDO-Standards entwickelt.

Die FIDO Alliance legt Wert darauf, ihre Sicherheitslösung mit bereits existierender Hardware umzusetzen. Dazu gehört der so genannte TPM-Chip, der in vielen PCs steckt und vor allem für die Verschlüsselung der Festplatte genutzt wird. Mittels der Nok-Nok-Software soll der Chip verifizieren, dass nur eine bestimmte Person die Hardware benutzt. Sie funktioniert auch mit den Sicherheitschips, die in einigen Smartphones eingebaut ist, um drahtlos bezahlen zu können. Die Prozessorhersteller ARM und Intel planen, einen TPM-artigen Chip auch für Smartphones und Tablet-Rechner zu entwickeln.

Eine Kombination aus Hardware und Kennwort wird als „Two-Factor“- Authentifizierung bezeichnet. Viele IT-Sicherheitsexperten plädieren dafür, doch ist sie bis heute nicht verbreitet. Eingesetzt wird sie vor allem in Banken und Großunternehmen. Einige Online-Dienste wie Google, Dropbox und Facebook bieten sie ihren Nutzern als Option an, die jedoch bislang kaum Gebrauch davon machen.

Will eine Firma das FIDO-Verfahren einsetzen, muss sie entsprechende Software auf ihren Servern installieren und ihre Kunden dazu bringen, dasselbe auf ihren Smartphones oder Rechnern zu tun. Die kundenseitige Software könnte dabei Teil einer App sein oder ein Browser-Plug-in.

Der Authentifizierungsvorgang selbst ist gemäß FIDO-Standards ebenfalls sicherer als bei der heute üblichen Kennwort-Prozedur. Die funktioniert so, dass ein Kennwort verschlüsselt an den Mailserver übertragen wird, wenn man sich etwa in sein E-Mail-Konto einloggt. Dritte können diese Daten aber unterwegs abfangen und im Prinzip mit geeigneten Verfahren entschlüsseln. Auch können sie die Datenbank angreifen, in der die Kennwörter abgelegt sind, wie es beim Angriff auf Twitter kürzlich geschah. Sind sie dann im Besitz des Kennworts, haben sie die Kontrolle über das dazugehörige Nutzerkonto.

Im FIDO-Verfahren hingegen wird erst gar kein Kennwort übermittelt. Es wird stattdessen von der Sicherheitssoftware auf dem Gerät verarbeitet. Sie erzeugt kryptographische Zeichenketten, die sie an einen Log-in-Server schickt. Der kann nur prüfen, ob der Log-in in Ordnung war oder nicht, aber nicht die Log-in-Information selbst einsehen. Ist alles korrekt, wird eine Zeichenkette an das Nutzergerät zurückgeschickt, die auch als Nachweis dient, dass kein Mittelsmann die Prüfung vorgenommen hat.

Mit diesem Verfahren gebe es keinen Anreiz mehr, im großen Stil Kennwörter von Online-Diensten zu stehlen, sagt Ramesh Kesanupalli, Mitgründer der FIDO Alliance. Kriminelle müssten dann schon an die Einzelgeräte ran, und diese Angriffe ließe sich sich nicht für viele Nutzerkonten automatisieren. „Ich muss schon gleichzeitig Ihr Kennwort und Ihr Gerät stehlen“, so Kesanupalli.

Dennoch habe auch dieses System einen Haken, erst recht, wenn es von vielen Unternehmen übernommen würde, sagt Michael Versace, Analyst bei IDC, der die Pläne der FIDO Alliance kennt. „Das System würde einen großen Anreiz setzen, die Schwachstelle in der Gesamtarchitektur zu entdecken.“ Ein erfolgreicher Angriff würde gleich systemweit die Identitäten der angeschlossenen Nutzer kompromittieren.

Damit es überhaupt zum Zuge komme, müssten noch deutlich mehr Unternehmen mit ins Boot, sagt Versace. „Die Attraktivität von FIDO ist erst einmal an Paypal gekoppelt.“ Und bislang habe das Konsortium nur das technische Konzept vorgestellt, jedoch noch nicht dargelegt, wie es für Unternehmen wirtschaftlich interessant sein könne. Knackpunkt könnten die Online-Riesen wie Facebook sein, die womöglich eigene Pläne verfolgen. Google etwa testet bereits ein Authentifizierungssystem, das mit USB-Sticks arbeitet. Vorerst wird also alles beim Alten bleiben – und das Web ein Ort mit jeder Menge unsicherer Gassen.

(nbo)