K.I.S.S. oder komplex?

Passwörter sind einfach – einfach zu implementieren und zu verstehen, (relativ) einfach zu nutzen, zu verwalten und zu resetten, aber eben auch einfach anzugreifen, sofern es sich um schlechte Passwörter handelt. Da es sich viele Anwender an dieser Stelle gern etwas zu einfach machen, gilt vielen das Passwort schon länger insgesamt als „zu einfach“.

Mit Alternativen tut man sich indessen auch nicht leicht: Smartcards und Token gibt es schon ewig und seit dem Aufkommen der Smartphones sind Authenticator-Apps weithin quasi kostenlos verfügbar. Im breiteren Einsatz wurde dennoch erst in der jüngeren Vergangenheit – nicht zuletzt aufgrund regulatorischen Drucks – verstärkt Zwei-Faktor- Authentifi zierung (2FA) nachgerüstet. All das ist in vielen Szenarien richtig und wichtig. An manchen Stellen wirkt die zusätzliche Sicherheit allerdings beim Anwender erst einmal lästig und unnötig aufwendig – im Backend hat sie die Dinge bestimmt auch nicht gerade einfacher gemacht.

Wie viel mehr Sicherheit rechtfertigt den Mehraufwand? Apps sind längst nicht unangreifbar, teils werden der geladene Akku oder das vergessene Handy zum Single Point of Failure für die Verfügbarkeit, PINs werden vergessen, Token lassen sich verlieren oder klauen und so weiter. Und ist ein 2FA-geschützter Login wirklich so viel sicherer, wenn Anwender aufgrund des nervigen Prozederes – je nach verfügbaren Optionen – dann einfach Tage, Wochen oder dauerhaft angemeldet bleiben und/oder Browser und Mobilgeräte zum „Trusted Device“ erheben? Zu „Assume Breach“ passt das eher nicht so gut. Außerdem lassen sich auch 2FA-Verfahren selbst attackieren – teils mit, teils ohne den eingebundenen „Faktor Mensch“ (vgl. S. 14).

Wie viel mehr Sicherheit rechtfertigt den Mehraufwand? Apps sind längst nicht unangreifbar, teils werden der geladene Akku oder das vergessene Handy zum Single Point of Failure für die Verfügbarkeit, PINs werden vergessen, Token lassen sich verlieren oder klauen und so weiter. Und ist ein 2FA-geschützter Login wirklich so viel sicherer, wenn Anwender aufgrund des nervigen Prozederes – je nach verfügbaren Optionen – dann einfach Tage, Wochen oder dauerhaft angemeldet bleiben und/oder Browser und Mobilgeräte zum „Trusted Device“ erheben? Zu „Assume Breach“ passt das eher nicht so gut. Außerdem lassen sich auch 2FA-Verfahren selbst attackieren – teils mit, teils ohne den eingebundenen „Faktor Mensch“ (vgl. S. 14).