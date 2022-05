Heute gedenken wir der Zeit, als wir noch Passwörter benutzt haben. Ja! Stell dir vor, die Menschen haben sich früher kompliziert zu erratende Geheimnisse ausgedacht, die nur sie selber kennen. Nur damit sie dann damit im Netz beweisen können, dass sie tatsächlich sie selber sind. Ja, wirklich.

Und was haben sie dann mit diesen wichtigen Geheimnissen gemacht? Sie haben sie ständig irgendwelchen anderen Leuten geschickt. Da tauchte dann ein Fenster auf: "Bitte geben Sie ihr Passwort ein". Und schon fingen sie an, zu tippen. Denn das Passwort war das Geheimnis, mit dem sie beweisen, dass sie sie selber sind. Und das haben sie auf Nachfrage an irgendjemand anders geschickt. Was kann da schon schief gehen?

Das offene Geheimnis

Sie wussten natürlich nicht wirklich, wem sie ihr identitätsstiftendes Geheimnis da anvertrauten. Und sie wussten auch nicht so recht, was der- oder diejenige dann damit macht. Aber irgendwie würde das schon in Ordnung sein, haben sie gedacht. Dass das Geheimnis eigentlich nicht mehr so geheim ist, wenn man es ständig an andere schickt, daran wollte niemand denken. Schließlich hatten sie sich doch richtig viel Mühe gegeben, ein extra kompliziertes Passwort zu verwenden!

Und meistens ging das ja auch in Ordnung. Also meistens im Sinne von: in weit über 99 Prozent der Fälle. Aber dieses eine Prozent – das erwies sich dann doch als Problem. Da forderten dann Bösewichte "Bitte geben Sie ihr Passwort ein!". Und weil es nahezu unmöglich war, zu erkennen, dass das keines der 99 Prozent war, in denen das irgendwie in Ordnung ging, folgte das Opfer der Aufforderung nichtsahnend und der Bösewicht bekam das damit nicht mehr so geheime Geheimnis. Oder der Empfänger war zwar kein Bösewicht sondern einfach nur schlampig und ließ sich das Geheimnis klauen – zusammen mit denen von ein paar Tausend oder Millionen anderen Opfern.

So sammelten gut organisierte Kriminelle im Lauf der Zeit Milliarden Passwörter anderer Leute ein. Die verkauften sie weiter oder machten sie direkt zu Geld. Denn schließlich konnten sie damit beweisen, dass sie jemand anderes waren und dann in deren Namen zum Beispiel online shoppen gehen. Oder ins Netz des Arbeitgebers einsteigen und dort Ransomware verteilen. Der damit verursachte Schaden belief sich auf viele Milliarden – jährlich natürlich.

Krude Workarounds

Eine Zeit lang versuchte man, die verfahrene Situation damit zu retten, dass man Passwörter immer komplizierter machte. Experten veröffentlichten Appelle, wie ein gutes Passwort auszusehen hat. Möglichst 20 Zeichen lang, mit Sonderzeichen und so zufällig, dass man sie sich nicht merken kann. Also benutzten die geplagten Anwender Passwort-Safes. Dann schickte Kai sein 20-Zeichen-Passwort aus dem sicheren Safe an einen Betrüger und wunderte sich, dass der immer noch auf seine Rechnung einkaufen konnte.

Dann kam die Phase, als die Experten es für notwendig hielten, dass man bei jeder Anmeldung mehrere Geheimnisse verwendet. Es dauerte wieder eine Zeit, bis man bemerkte, dass es auch keine gute Idee ist, wenn Lea zwei Geheimnisse an einen Betrüger schickt. Auch dann nicht, wenn die zwei Geheimnisse voneinander völlig unabhängig sind und man das irgendwie anders nennt. Die Kriminellen phishten also munter weiter.

FIDO FTW

Doch irgendwann setzte sich schließlich doch die Erkenntnis durch: Ein Geheimnis ist nur dann geheim, wenn man es gar nicht weitergibt! Also auch nicht jemandem, der höflich fordert: "Bitte geben Sie ihr Passwort ein" und vermutlich schon irgendwie "der Richtige" ist.

Die Lösung lag dann auf der Hand: Man schaffte das Passwort ab. Also nicht das Geheimnis, mit dem man seine Identität nachweist. Das blieb erhalten. Aber man hatte nur noch eines (oder ein paar wenige) und die merkte sich der Computer beziehungsweise das Handy. Was man abschaffte, war diese kaputte Idee, dass man dieses Geheimnis weitergibt. Um seine Identität nachzuweisen, genügt es doch vollkommen, dass man Zugang zu einem echten Geheimnis hat und das auch beweist.

Dass ich mit einem Geheimnis, das nur ich selber kenne, trotzdem meine Identität nachweisen kann – also ganz ohne es jemand anders zu geben, das war seit Jahrzehnten bekannt. Dafür gibt es sichere kryptografische Verfahren. Die beruhen darauf, dass ich mit diesem Geheimnis bestimmte Berechnungen ausführe. Und der Shop MyWhiskey.de erkennt am Ergebnis, dass ich das richtige Geheimnis haben muss – auch ganz ohne dass MyWhiskey.de dieses Geheimnis jemals zu Gesicht bekommt.

Trotzdem dauerte es noch viele Jahre, bis sich die passwortlose Anmeldung mit FIDO wirklich flächendeckend durchsetzte. Dafür gab es viele Gründe, doch letztlich war der durch Passwörter verursachte Schaden nicht länger tragbar. Heute können wir darüber lachen, doch glaubt mir – das war richtig harte Arbeit. Also lasst uns gedenken...

Ein Kommentar von Jürgen Schmidt Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

(ju)