“Haustürschlüssel” statt Passwörter: Johannes Kunke erforschte Authentifizierung der Zukunft

Dutzende Onlinedienste nutzen wir in unserem alltäglichen Leben – und jeder Dienst verlangt einen Login. Dabei verwenden wir Passwörter, auch für finanzielle Dinge wie Online-Banking oder Online-Shopping. Deshalb sind sie auch ein beliebtes Angriffsziel von Hackerinnen und Hackern. Wie also damit in Zukunft umgehen?

Die Forschung arbeitet daran, solche Angriffe mit physischen Sicherheitsschlüsseln, z.B. durch FIDO2 Security Keys, in Zukunft zu verhindern. Wie bei echten Türschlössern kommen Nutzerinnen und Nutzer dann nur noch in ihren Online Account, wenn sie den richtigen physischen Schlüssel in den Computer stecken oder an das Smartphone halten. Passwörter sind nicht mehr notwendig, weshalb auch von “passwortloser Authentifizierung” gesprochen wird. Aber was passiert, wenn wir diesen Schlüssel verlieren? Im virtuellen Leben gibt es schließlich keinen 24/7 Schlüsseldienst, der den Account mit Gewalt aufbrechen könnte. Nutzerinnen und Nutzer müssten sich dann also damit abfinden, nie wieder Zugriff auf ihren Account zu erhalten.

Wie Onlinedienstbetreiber mit diesem Problem umgehen können, hat Johannes Kunke in seiner Bachelorarbeit an der H-BRS erforscht. In seiner Arbeit hat er 12 Verfahren zur Accountwiederherstellung bei passwortloser FIDO2 Authentifizierung miteinander verglichen. Daraus hat er Handlungsempfehlungen für die nutzertaugliche Implementierung abgeleitet. Die Ergebnisse zeigen, dass es in diesem Bereich noch einigen Nachholbedarf gibt. So setzten einige Betreiber weiterhin auf veraltete Technologien wie Sicherheitsfragen oder Backup-Passwörter – was die angestrebte Passwortlosigkeit ad absurdum führt. Bessere Verfahren basieren auf kryptographischen Möglichkeiten. Viele der als gut evaluierten Verfahren werden bisher noch nicht in der Praxis eingesetzt.

Die sehr gute Arbeit von Johannes Kunke wurde als wissenschaftlicher Artikel beim Open Identity Summit 2021 eingereicht und vom Gutachtergremium zur Publikation angenommen. Die Ergebnisse werden am 1. und 2. Juni 2021 auf der Konferenz vorgestellt. Die Konferenzpublikation “Evaluation of Account Recovery Strategies with FIDO2-based Passwordless Authentication” ist in Zusammenarbeit mit dem betreuenden Professoren Luigi Lo Iacono und Markus Ullmann sowie dem Doktoranden Stephan Wiefling (alle H-BRS) entstanden.