Authentifizierung – so weist man sich aus

Hintergrund

Ich arbeite zur Zeit viel im Umfeld „Passworte“, suche, lese und schreibe täglich irgendetwas dazu.

Eine Abstraktionsstufe höher heißt das Ganze dann „Authentifizierung“. Wer über Authentifizierung nachdenkt, hebt den Blick über den Tellerrand der einfachen Passwort-Suppe.

Ein weiterer spannender Begriff in diesem Kontext ist „Identität“, noch etwas abstrakter und schon irgendwie fast philosophisch.

Wie hängen die drei zusammen?

In der digitalen Welt hat jeder soviele Identitäten, wie er will. Jedes neue Online-Konto etabliert eine neue Identität. Der Otto-Kunde ist vom Amazon-Kunden verschieden, auch wenn dahinter die gleiche physische Person steht. Doch wie erkennt das Shopping-Portal, die Bank, das E-Mail-Konto, der Router, das Vereinsblog und so weiter: wie erkennen sie alle, wer da gerade mit ihm irgendwie in Kontakt tritt? Via Authentifzierung.

Und die läuft heutzutage nun mal in erster Linie über Passworte. Bei besonders kritischen Themen kommt gelegentlich 2FA zum Einsatz, die 2 Faktor Authentifizierung. Der zweite Faktor ist dann etwa eine TAN, die per SMS zugestellt wird.

IBM-Studie

Vor kurzem bin ich nun auf eine Studie von IBM zu diesem Thema gestoßen, „Future of Identity Study, Consumer perspectives on authentication: Moving beyond the password“, erschienen im Januar 2018. Da haben wir gleich alle drei Begriffe in einem Titel.

In diesem Artikel wird die Studie recht ausführlich vorgestellt, er enthält auch einen Link zum Original-Dokument. Es ist kostenfrei, man muss aber seine Kontaktdaten angeben.

Die englisch-sprachige Studie hat einige interessante Ergebnisse zu Tage gefördert. Doch ob und in wie weit die Daten überhaupt belastbar sind, ist zumindest unsicher.

Kritisches Studien-Design

Es handelt sich um eine „globale Studie“ mit insgesamt 3.977 Befragten.

  • 1.976 in den USA
  • 1.004 in der EU (UK, F, I, D, E)
  • 997 im APAC-Raum (Australien, Indonesien, Singapur)

Süd- und Mittelamerika sowie Afrika sind nicht dabei und im APAC-Raum wurden auch nur Kandidaten aus sehr willkürlich ausgewählten Ländern befragt.

2.000 Befragte in den USA mag noch so gerade angehen, jeweils 1.000 Befragte in so inhomogenen Bevölkerungen wie in der EU oder im APAC-Raum ist deutlich zu wenig. Und eine Studie „global“ zu nennen, bei der gute zwei Drittel fehlen – nun ja.

Bias

Die Studie erfolgte online und es gibt keinen Hinweis darauf, dass in der jeweiligen Landessprache befragt wurde. Im Gegenteil, die Aufbereitung läßt vermuten, dass die Fragebögen nur in englischer Sprache waren.

Neben der zu kleinen Stichprobe ist das Studien-Design also ziemlich sicher auch ergebnisverfälschend: Befragt wurden nur Menschen die recht gut englisch sprechen. Wenn auch andere teilgenommen haben, ist anzunehmen, dass sie die Fragen gar nicht verstanden haben.

Gute Aufbereitung

Die Ergebnisse werden in 14 interpretierten und kommentierten Diagrammen präsentiert. Jedes Thema hat seine eigene Seite, ein Diagramm und etwas erläuternden Text. Das ist lesefreundlich und gut strukturiert umgesetzt. Die Komplexität des Themas belastet nicht die Klarheit und Verständlichkeit der Präsentation.

Findings

Die 14 Grafiken enthalten zahlreiche interessante und zum Teil überraschende Informationen. Wer sich mit dem Thema Authentifizierung beschäftigt, sollte diese Studie kennen.

Besonders aufgefallen sind mir diese Ergebnisse:

E-Mail-Sicherheit wird für unkritisch gehalten

Gleich die erste Grafik gibt Antwort auf die Frage: welche digitalen Bereiche halten die Menschen für besonders schutzbedürftig, und wo sollte es in erster Linie mehr um Bequemlichkeit gehen? Besonderen Schutz soll es danach für Finanzielle Anwendungen geben, ganz zuerst Banking-Apps. Deutlich weniger Schutz, aber dafür viel mehr Komfort benötigen hingegen E-Mail- und Social Media Apps.

Das ist eine sehr gefährliche Sichtweise. Denn das E-Mail-Konto ist mittlerweile von einem Kommunikationsmittel zu einer umfassende Authentifizierungs-Plattform mutiert. Sich irgendwo registrieren lassen? Das kann nur, wer eine E-Mail-Konto hat. Da wird der Bestätigungs-Link hingeschickt. Passwort vergessen? Die Rücksetzungs-Nachricht geht ans E-Mail-Konto.

Wenn Dritte unser E-Mail-Konto kontrollieren, dann kontrollieren sie unser digitales Ich.

Die Verkennung dieses Zusammenhangs bzw. der sehr blauäugige Umgang mit dem eigenen E-Mail-Konto sind besorgniserregend.

Alte Menschen sind vorsichtiger als junge

39% der 18-24-Jährigen verwenden komplexe Passworte aus Buchstaben, Zahlen und Sonderzeichen. In der Altersgruppe 55+ sind es 49%.

Und umgekehrt sagen 42% der Jungen, dass sie das gleiche Passwort mehrfach verwenden, bei den „Alten“ sind es nur 31%.

Die Werte zwischen diesen Jung-Alt-Eckpunkten verlaufen kontinuierlich steigend bzw. fallend.

Ergebnis-Summary

Im Summary der Studie werden noch diese Punkte besonders herausgestellt:

  • Die Menschen sind insgesamt über die verschiedenen Authentifizierungs-Möglichkeiten recht gut informiert.
  • Sie sind sich der Bedeutung des Themas Sicherheit bewusst.
  • Manchen biometrischen Methoden der Authentifizierung stehen viele noch skeptisch gegenüber, aber die allgemeine Bereitschaft dafür ist vorhanden. Man möchte nur die Wahl haben und nicht eine Methode aufgezwungen bekommen.
  • Der Gedanke des Sicherheits-Risikos im Sinne einer Gefährdungs-Wahrscheinlichkeit („risk-based authentication“) stößt auf Akzeptanz. In der Tat ist es schon jetzt absurd, wenn einfach zwischen sicher und nicht sicher unterschieden wird. Schon jetzt gibt es nur eine kleine oder eine größere Chance, dass zum Beispiel ein Konto gehackt wird. Entsprechend dieser Chance könnte die Authentifizierungs-Methode angepasst bzw. ausgewählt werden.

Weitere Passwort-Beiträge

In der jüngeren Vergangenheit sind hierzu noch diese Beiträge von mir erschienen:

  • Teil drei einer Serie rund um das Thema Passwort. Geplant waren ursprünglich sieben Artikel, aber das wird wohl nicht reichen, acht oder neun sind möglich.
  • 8 Fakten zu Passworten, die helfen das Thema Passworte besser zu verstehen.

Ist nun langsam Schluss mit Hassreden?

Um es gleich ganz klar zu sagen: nein, Hassreden gibt es weiterhin im bekannten Umfang.

Das Lieblingsmedium der Hassredner ist immer noch Twitter. Gute 70% all dieser unerfreulichen Beiträge finden sich im Zeichen des kleinen niedlichen Vogels. Beim großen Standard-Bösewicht Facebook sind es nur gute 10%, der Rest verteilt sich auf Foren und Blogs.

Bei keinem dieser Seitentypen konnte ich einen nennenswerten Rückgang innerhalb der letzten 6 Monate (Mai-Oktober 2017) feststellen. Einen irgendwie stetigen Anstieg allerdings auch nicht.

weiterlesenIst nun langsam Schluss mit Hassreden?