Ein Login ohne Passwort ist seit 2019 als prinzipielle Möglichkeit technische Realität. Nutzer melden sich dabei mit biometrischen Daten (bevorzugt Fingerabdruck) bei einem Webshop oder sonstigen Anbieter an, bei dem sie bislang eine Zugangskennung und ein Passwort eingeben mussten. Das Verfahren ist einfach und sicher, stößt bislang jedoch (Stand: Juli 2021) auf Skepsis bei den Nutzern. Wie groß diese noch ist, haben Forscher mehrerer Universitäten untersucht.
Wie funktioniert der Login ohne Passwort?
Er funktioniert über das sogenannte WebAuthn, ein neues, vom W3C vorangetriebenes Verfahren im Rahmen der FIDO2-Zertifizierung. Die Nutzer melden sich mit einem Endgerät beim Anbieter an (Social Network, Onlineshop etc.) und nutzen zur Identifizierung biometrische Daten wie den Fingerabdruck oder die Gesichtserkennung, die auf modernen Geräten meistens schon zum Entsperren hinterlegt sind.
Das ist zunächst sehr bequem und erscheint auch sicher. Allerdings entsteht bei den Nutzern dabei der Eindruck, dass sie ihre biometrischen Daten an den Anbieter übermitteln und dieser sie speichert, wo sie dann Opfer eines Hackerangriffs werden könnten. Mit Passwörtern geschieht das schließlich: Diese speichern die Anbieter in Datenbanken. Bei Hackerangriffen auf solche Datenbanken wurden schon unter anderem bei Kreditkartengesellschaften oder auch bei Twitter (mehrfach) viele Millionen Zugangsdaten, bestehend aus Zugangskennung (Nutzername) und Passwort, gestohlen.
Jedoch ist das bei WebAuthn nicht der Fall, wie die beteiligte Forscherin Leona Lassak erläutert. Sie untersuchte an der RUB (Ruhr-Universität Bochum) die Akzeptanz von WebAuthn bei den Nutzern. Am Forschungsprojekt waren außerdem Wissenschaftler der University of Chicago und des MPI-SP (Max-Planck-Institut für Sicherheit und Privatsphäre in Bochum) beteiligt. Sie ließen in Onlinestudien 414 Nutzer:innen das neue WebAuthn-Verfahren testen und befragten sie danach zu ihren Eindrücken. Im Fokus standen mögliche Bedenken zur Sicherheit, zum Datenschutz und zur Nutzbarkeit.
Ergebnisse der Nutzerbefragungen
Die Ergebnisse werden am 11. August 2021 auf der USENIX Security veröffentlicht, sie wurden schon vorab am 22. Juni 2021 in den Medien kommuniziert. Verantwortlich zeichnen neben Leona Lassak noch Dr. Maximilian Golla (MPI-SP) sowie Prof. Dr. Blase Ur und Annika Hildebrandt (beide University of Chicago). Zunächst kurz zur Funktionsweise von WebAuthn:
Das Verfahren gehört zu dem neuen FIDO2-Standard des W3C-Konsortiums, der Passwörter überflüssig machen soll. Die Identifikation bei einem Anbieter erfolgt nicht mehr mit Nutzernamen und Passwort, sondern über ein Gerät, das einem Nutzer eindeutig zuzuordnen ist. Damit nicht mit einem verlorenen oder gestohlenen Gerät der Login ohne Passwort möglich ist, bestätigen die Nutzer per Biometrie oder wahlweise einer PIN den Loginvorgang.
Bei eBay und auch bei einigen Microsoftdiensten ist inzwischen dieser Login ohne Passwort per WebAuthn-Verfahren möglich. Die im Rahmen des Forschungsprojekts befragten Nutzer:innen sind nun mehrheitlich der Auffassung, dass sie sich mit ihren biometrischen Daten beim Onlinedienst anmelden.
In Wahrheit gelangen diese Daten aber nicht zum Anbieter. Vielmehr entsperren sie nur einen kryptografischen Schlüssel auf dem Gerät. Dieses wiederum wird vom Anbieter als dem betreffenden Nutzer zugehörig identifiziert. Das konnten knapp 70 % der befragten Nutzer:innen nicht erkennen. Die beteiligten Forscher verweisen nun darauf, dass es höchste Zeit sei, dieses Missverständnis auszuräumen. Ansonsten werde sich WebAuthn trotz seiner großen Vorteile möglicherweise nicht durchsetzen.
Login ohne Passwort, aber mit PIN
Fingerabdrucksensoren können auch einmal nicht funktionieren. Für diesen Fall bietet WebAuthn als Alternative meistens die Eingabe einer PIN an, wobei wiederum die auf dem Endgerät hinterlegte PIN präferiert wird. Diese Option zeigt der Anmeldevorgang per WebAuthn aber nicht deutlich genug. Deshalb waren ~60 % der befragten Nutzer:innen der Meinung, dass sie bei ausgefallenem Fingerabdrucksensor den Zugang zum betreffenden Nutzerkonto verlieren.
Als wie sicher empfinden Nutzer den Login ohne Passwort?
Eine Frage lautete, als wie sicher die Nutzer:innen den biometrischen Schutz empfinden. In dieser Hinsicht herrscht prinzipiell großes Vertrauen. 93 % der Befragten hatten keine Bedenken, dass bei Diebstahl oder Verlust des Geräts eine andere Person auf ihre Konten zugreifen könne. Dieses Vertrauen, darauf verweisen die Forscher, ist zu groß. Kriminelle können nämlich mit modernen Programmen PINs ermitteln. Das ist in der Öffentlichkeit sogar mehr oder weniger bekannt. Doch viele Nutzer erkennen gar nicht, dass die PIN beim WebAuthn-Verfahren eine alternative Zugangsmöglichkeit bietet (siehe vorheriger Abschnitt). Dies erschien den Forschern als problematisch.
Wie lässt sich WebAuthn besser kommunizieren?
Auch mit diesem Thema war die Forschungsgruppe befasst. Die Wissenschaftler ließen Teilnehmende der Befragung in sieben verschiedenen Gruppen Texte und Grafiken erstellen, die das WebAuthn-Verfahren kommunizieren sollen, und zwar aus Sicht eines bislang wenig informierten Nutzers. Sechs der entwickelten Varianten erschienen brauchbar genug, um sie vergleichsweise in einer Onlinestudie zu untersuchen.
Das Ergebnis: Der wichtigste Punkt ist wohl, dass die Anwender verstehen, dass ihre biometrischen Daten nicht an den Anbieter eines Nutzerkontos übertragen werden. Man könnte auch über das Für und Wider von Passwörtern reden, diese Diskussion ist schließlich seit vielen Jahren ein Dauerbrenner. Doch das ist überflüssig bis ineffektiv, jedermann kennt diese Argumente.
Wichtig sei es vielmehr, die Vertrauenswürdigkeit und Sicherheit von WebAuthn zu betonen, dabei auch vertrauenswürdige Unternehmen zu erwähnen, die am Standard mitgearbeitet haben, und die Möglichkeit der PIN-Eingabe inklusive ihrer kleinen Schwachstelle zu kommunizieren.
Endbewertung durch die Befragten
Insgesamt vertrauen Nutzer:innen der Authentifizierung mit biometrischen Daten deutlich mehr als der Passworteingabe. Das ist das Fazit der Forscher. Sie regen an, WebAuthn gründlich in die Öffentlichkeit zu transportieren und über seine Vor- und Nachteile so umfassend aufzuklären, dass es eine Chance hat, sich durchzusetzen.