Unsichere Passwörter sind eine der größten Schwachstellen, was IT-Sicherheit betrifft. Dabei gibt es längst sichere Alternativen. Firmen wie Facebook und Google sind auf der Suche nach Alternativen zum Kennwort und setzen dabei unter andrem auf Yubikeys - kleine USB-Hardware-Tokens des schwedischen Herstellers Yubico.

Facebook hat die Yubikeys einem Bericht von Wired.com zufolge seit 2012 an eine bestimmte Zahl Mitarbeiter herausgegeben, um das Sicherheitsniveau zu erhöhen. Denn die USB-Sticks geben auf Knopfdruck ein langes, komplexes Passwort von sich, das ergänzend zum eigentlichen Anwenderpasswort notwendig ist. Selbst wenn ein PC also mit Schadsoftware infiziert wurde, kommt der Angreifer unter Umständen nicht weit – weil andere Rechner nur mittels Yubikey entsperrt werden können.

Ähnlich wie Facebook setzen auch Google und sechs weitere große IT-Firmen im Sillicon Valley Yubikeys ein, um ihr Network vor Hackern zu schützen. Ein Researchteam von Google sprach sogar eine Empfehlung für die kleinen Sicherheits-Token aus, der unsicheren Passwörter in Zukunft ersetzen könnte. Werden die Einstellungen im Netzwerk oder auf einem Rechner richtig gesetzt, verhindere es effektiv, dass sich jemand einloggen kann, der nicht den richtigen Yubikey besitzt, berichtet Wired.com.

Facebook spricht von einer “zweiten Schicht” an Sicherheit, das durch den Token-Einsatz zum Netzwerk hinzugefügt wird. In der Praxis sieht das so aus: Will sich ein Angestellter zum ersten Mal an einem bislang unbekannten Ort in seine Accounts einloggen, verlangt das System nach dem richtigen Sicherheits-Token. Ist dieser nicht verfügbar, kann der Angestellte die Sicherheits-App “Duo” auf seinem Smartphone verwenden, um sich einzuloggen. So wird verhindert, dass jemand Unbefugtes Zugang zum Netzwerk mit einem gestohlenen Passwort bekommt. Und es macht es für die Angestellten nicht schwerer, an ihren Account zu kommen.

Bei dem Sicherheitssystem “Login Approval” für die User von Facebook setzte der Konzern dagegen auf ein Smartphone-basiertes Sicherheitssystem, statt auf die Yubikeys. Intern ist die Token-Lösung dem Bericht zufolge sehr beliebt, besonders bei Mitarbeitern, die sich oft authentifizieren müssen. Vertriebs-Mitarbeiter setzen dagegen lieber die Smartphone-App “Duo” ein.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.