„Ein Passwort, sie zu knechten, sie alle zu finden, ins Dunkel zu treiben und ewig zu binden.“
Dieses abgewandelte Zitat aus dem Herrn der Ringe sagt ironischerweise die Wahrheit über Passwörter aus und gilt damals wie heute. Denn: Passwörter gibt es schon länger, als Sie vielleicht denken. Gegenwärtig bereitet die perfekte Kombination aus Buchstaben und Zeichen vielen Menschen Kopfzerbrechen. Und in Zukunft? Wird es sie vielleicht gar nicht mehr geben. Genau damit beschäftigt sich diese Blogserie: Vergangenheit, Gegenwart und Zukunft von Passwörtern. Die ersten zwei Teile umfassen wertvolles Grundlagenwissen, der dritte Teil eine Passwort-Kritik. Zunächst nehme ich Sie mit auf eine Reise in die Vergangenheit.
Zur Entstehung dieser Blogserie
Warum lohnt es sich überhaupt, sich mit dem Thema „Passwörter“ auseinanderzusetzen? In einem Wort: Cybercrime. Um genauer zu sein, die mittlerweile ermüdenden Meldungen über Datendiebstahl, Identitätsdiebstahl und damit einhergehende unberechtigte Zugriffe, Transaktionen und Datenverlust mit gravierenden Folgen.
Vor Kurzem bin ich über einen Artikel eines Software-Herstellers gestoßen, welcher sich als Marktführer im Bereich der sicheren Authentisierung ansieht. In diesem Artikel wurde eine Hilfestellung gegeben, wie man ein sicheres Passwort erstellt und vor allen Dingen auch behält! Mein erster Gedanke war: „Da hat jemand mitgedacht“. Mein zweiter Gedanke: „Ja, aber…“ Und dann sind sie erschienen, die drei Geister. Nicht der Weihnacht, sondern der Passwörter.
Den Auftakt macht: „Der Geist der vergangenen Passwörter“.
Parolen – Die Passwörter der alten Zeit
Passwörter sind keine Erfindung der IT. Wir sollten uns vor Augen führen, welchen Ursprung sie haben: Die Idee der geprüften Zugangsberechtigung ist uralt, wahrscheinlich so alt wie die Menschheit. Schon in der Steinzeit mussten Menschen für sich oder die Besitztümer Schutz suchen und Schutz gewähren. Als Kinder haben wir in Verstecken gespielt, uns Burgen und Schlösser ausgedacht, waren Ritter oder Burgfräulein. Natürlich hatten wir den Spaß nicht allein, gute Freunde durften natürlich mitspielen und den Palast oder die Schatzkammer betreten. Aber: nicht jeder durfte in die Heiligtümer. Um nur die „Guten“ reinzulassen, haben wir uns Parolen ausgedacht, Losungen. Wer diese kannte und fehlerfrei aufsagen konnte, bekam Zutritt gewährt.
Schon Stadttore, Schlösser, Paläste und Geheimverstecke wurden seit jeher auf diese Art geschützt. Begehrte jemand Einlass, wurde eine Losung bzw. Parole abgefragt. War die abgefragte Information korrekt, wurde dem Begehren stattgegeben.
Parolentausch – Umständlicher Passwortwechsel
Aber: Auch damals gab es natürlich schon „die Bösen“. Mit dem Effekt, dass Mithörende in einer dunklen Ecke die Losung bzw. die Parole aufschnappen und ebenfalls nutzen konnten, das dann allerdings nicht zur Freude und zum Wohle der Betroffenen. Warum auch immer, ist diese Methodik über die Jahrhunderte beibehalten worden. Jemand kannte ein Passwort, jemand Unberechtigtes erfuhr die Losung bzw. die Parole, der beabsichtigte Schutz war dahin.
Was hat Abhilfe gebracht? Ein regelmäßiger Wechsel der Losung, der Parole.
Aber mit einem gravierenden Nachteil: Diejenigen, die diese Information benötigten, waren ihrer nicht immer habhaft. Wenn bspw. ein Ritter nach einer wochenlangen Reise zurückkehrte und nur eine alte Version der Losung kannte, hatte er das Problem, dass er nicht den begehrten Einlass bekam. Aus diesem Grund wurden vorherige Versionen der Losung ebenfalls akzeptiert, allerdings nach eingehender Prüfung der Gründe, warum der Ritter mit einer veralteten Information Einlass begehrte.
Die Quintessenz: Es war sehr einfach sich Zugang zu verschaffen, sobald man Kenntnis von der Losung oder der Parole hatte.
Die Alternativen zum Passwort – Referenz, Siegel, Schottenrock
Was waren die Alternativen? Meistens musste der Einlass Begehrende einem Wachhabenden persönlich bekannt sein oder es musste eine Referenz aufgezeigt werden. Und wenn das nicht möglich war? Der Begriff „königliches Siegel“ ist bestimmt nicht unbekannt. Mit diesem Siegel konnte in Verbindung mit der Parole Zutritt gewährt werden, auch ohne zu wissen, wer die Person war.
Und sonst? Tipp: Schottenrock… Das soll kein Witz sein. Es ist hinlänglich bekannt, dass schottische Familienverbünde sich u.a. auch durch das Design des Schottenkaros unterscheiden und erkennen können. Das in Verbindung mit einer Clan-eigenen Parole sorgte ebenfalls für Einlass ohne persönliche Identifikation.
Selbst in der Mythologie wurde schon der Grundstein für eine sichere Authentisierung gelegt, man denke an Thors Hammer oder Excalibur. Sowohl der Hammer als auch das Schwert durften nur durch denjenigen genutzt werden, der bestimmten Anforderungen entsprach.
Im Ergebnis wurde das höchstmögliche Maß an Sicherheit erzeugt. Sollte die Parole abhandenkommen, wurde trotzdem noch das Siegel, der Schottenrock oder ein anderes, ebenfalls eindeutiges Merkmal benötigt, das man nicht ohne weiteres in den eigenen (unberechtigten) Besitz bringen konnte.
Passwörter damals und heute – Die Parallelen
Der ein oder andere geneigte Leser hat sicherlich die Querverweise verstanden, um den Bogen zu schlagen zu unserer heutigen Zeit:
- Losung, Parole: Passwort – Etwas, das jemand weiß
- Siegel, Schottenrock: der weitere Faktor – Etwas, das jemand hat.
- Die Kombination Losung/Parole mit Schottenrock/Siegel: Multifaktorauthentisierung
- Thors Hammer, Excalibur: Berechtigung auf Basis der zugelassenen Biometrie
Welche Auswirkungen hat die historische Methodik auf unsere heutige, digitalisierte Welt? Das erfahren Sie kommende Woche im zweiten Beitrag dieser Serie.