SYSTOLA
AUS DEN BÜCHERN
Eine kurze Geschichte von allem
Wie Passwörter in unser Leben traten, was aus ihnen geworden ist und wie SystoLOCK entstanden ist, um die passwortbasierte Authentifizierung zu bekämpfen
Roman Kuznetsov @ 24.12.2024
Follow Roman Kuznetsov on LinkedIn
Eine kurze Geschichte der Passwörter
Bevor das Passwort zu einem Computerbegriff wurde, hat es im Laufe der Zeit eine große Veränderung erfahren. Und mit Zeitalter meinen wir wirklich Zeitalter, nämlich die Zeit, lange bevor sie „Passwörter“ genannt wurden.
Password, /ˈpɑːswəːd/, noun, a secret word or phrase that must be used to gain access to a place.
Merriam-Webster dictionary
Passwörter sind etwas sehr Menschliches, sehr abstrakte Gebilde, die man braucht, um seinen Status oder seine Rechte zu beweisen. In diesem Sinne sind sie so alt wie die menschlichen Gesellschaften.

Die allererste Erwähnung eines Passworts findet sich in der Bibel. Im Buch der Richter wird eine Schlacht zwischen den Gileaditern und den Ephraimiten (zwei alte Stämme am Jordan) beschrieben. Die Gileaditer benutzten das Wort „Schibboleth“, um die Ephraimiten zu identifizieren, als sie versuchten, den Fluss zu überqueren. Die Ephraimiten waren aufgrund ihres Dialekts nicht in der Lage, das Wort richtig auszusprechen, was ihre Identität verriet und zu ihrer Gefangennahme führte. Dieser sprachliche Test war eine frühe Form der Authentifizierung, bei der ein einzigartiges, mit regionalen Unterschieden verbundenes Merkmal zur Unterscheidung von Verbündeten und Feinden genutzt wurde.
Die Ukrainer haben während des russischen Krieges im Jahr 2022 eine ähnliche Technik angewandt und Fremde gebeten, das Wort „Palyanyza“ (Паляниця) auszusprechen, um einen Feind an der Art seiner Antwort zu erkennen.
Später lesen wir von den Römern, die so genannten Wachwörter als eine Form der Authentifizierung für ihre an den Stadttoren stationierten Nachtwächter verwendeten. Diese geheimen Wörter sorgten dafür, dass nur diejenigen, die sie kannten, als Verbündete in der Dunkelheit identifiziert werden konnten, und verwehrten jedem, der die richtige Antwort nicht geben konnte, den Durchgang.

Seit dieser Zeit waren Passwörter immer ein Werkzeug des Militärs und der Geheimdienste. Bis etwa 1960, als Passwörter in ein Computersystem eingeführt wurden und zu einem festen Bestandteil der Computeridentität wurden.

Das erste Computerpasswort wird Fernando Corbato, einem Informatikprofessor am MIT, zugeschrieben, der einen Computer für die gemeinsame Nutzung durch mehrere Personen gebaut hatte und Passwörter als Mittel zur Identifizierung einzelner Benutzer verwendete, um ihnen die Nutzung der ihnen zugewiesenen Zeitfenster zu ermöglichen. Und natürlich wurde der erste Passwortverstoß auf demselben Computer begangen, als Allan Scherr, ein Student am MIT, alle Passwörter ausspähte und sie benutzte, um Zugang zu den anderen zugewiesenen Zeitfenstern zu erhalten.

Um die Benutzer daran zu hindern, wurde später eine neue Technik eingeführt, die zunächst dem Scrambling ähnelte und sich später zum Passwort-Hashing entwickelte, einer Methode, die auch heute noch zur sicheren Speicherung von Passwörtern verwendet wird. Ein mehr oder weniger offizieller Meilenstein für die Speicherung von Kennwörtern in gehashter Form wird Unix um 1974 zugeschrieben.
Passwörter wurden allgegenwärtig, sie waren überall, man musste sie sich merken, und dies schuf ein neues Problem für die Benutzer, da Passwörter nicht benutzerfreundlich waren. Die Benutzer begannen zu „schummeln“: Sie verwendeten gleiche Passwörter auf verschiedenen Systemen oder benutzten lächerlich einfache Passwörter, die mit 12345 begannen und in einem Ein-Zeichen-Passwort wie * gipfelten.

Es musste etwas getan werden, um die Sicherheitsprinzipien von Passwörtern zu schützen, und so wurden in den 1980er Jahren Passwortrichtlinien eingeführt. Darin wurden Mindestlänge, Komplexität und Alter der Passwörter vorgeschrieben. Diese Richtlinien wurden 40 Jahre lang nicht überarbeitet, bis NIST vor kurzem erklärte, dass zyklische Änderungen von Passwörtern die Sicherheit nicht erhöhen, sondern sogar schwächen, da die Menschen dazu neigen, die nun sehr komplexen und schwer zu merkenden Geheimnisse aufzuschreiben. Und als komplexe und richtlinienkonforme Passwörter Institutionen und Unternehmen jeder Größe überfluteten, kamen in den 1990er Jahren Passwortmanager auf, deren erster von keinem Geringeren als Bruce Schneier selbst geschrieben wurde.

Die computerisierte Gesellschaft war noch nicht bereit für starke Passwörter, während die Internetverbindung und die zunehmende Rechenleistung Kriminellen den Weg ebneten, Passwörter zu stehlen, zu knacken und zu berechnen (Brute-Force). Eine neue Technik erwies sich als sehr wirksam gegen sie: die Zwei-Faktor-Authentifizierung. Die Zwei-Faktoren-Authentifizierung (2FA) ist eine Technik, bei der ein Benutzer nicht nur einen, sondern zwei verschiedene Aspekte (Faktoren) seiner Authentifizierung angibt, wobei diese Faktoren sehr unterschiedlicher Natur sein müssen. In der Regel werden Passwörter als erster Faktor (Wissen genannt) verwendet, während ein zweiter Faktor, oft etwas, das den Besitz nachweist, als zusätzlicher Beweis verwendet werden kann.

Obwohl die 2FA in den 1980er Jahren formell entwickelt wurde (mit RSA und AT&T als Vorreiter), konnte sie sich erst in großem Umfang durchsetzen, als die Mittel zur Bereitstellung des zweiten Faktors leichter zugänglich wurden.

2FA hat die Welt sicherer gemacht, aber nicht für sehr lange. In den meisten dieser Systeme spielten Passwörter immer noch eine entscheidende Rolle bei der Authentifizierung, und schon bald gab es fast täglich Meldungen, dass 2FA hier und da umgangen wurde. Es musste also etwas völlig Neues her, nicht nur eine weitere Sicherheitsebene, um ein inzwischen kaputtes Design zu flicken, sondern ein völlig neuer Ansatz für die Authentifizierung.

Dieser neue Ansatz hatte endlich einen Namen. Er wurde passwortlose Multifaktor-Authentifizierung genannt. Sie verwendet zwei oder mehr Faktoren zur Authentifizierung, von denen keiner ein Kennwort ist. Unter der Haube wurde fortschrittliche Kryptographie verwendet, aber sie war sehr benutzerfreundlich und versprach schließlich, alle Probleme früherer Authentifizierungssysteme zu lösen.

Systeme, die durch passwortlose MFA gesichert waren, wurden nahezu unknackbar, und so waren Passwörter in nicht allzu ferner Zukunft zum Verschwinden verurteilt.
Timeline: Password Through the Ages
XI v. Chr.
XI v. Chr.
Schlacht am Jordan
Shibboleth
Sprachliche Unterschiede dienten in der alten Schlacht zwischen den Gileaditern und den Ephraimiten als eine Form der Authentifizierung.
I n. Chr.
I n. Chr.
Die Römer
Wachwörter
Passwörter zur Unterscheidung zwischen Feind und Verbündeten in der Dunkelheit.
1961
1961
Fernando Corbato
Erstes Computer-Passwort
Fernando Corbato entwickelte Passwörter, um die Rechenzeit auf verschiedene Benutzer eines größeren Mehrbenutzer-Computers aufzuteilen.
1970s
1970s
Password hashing
5f4dcc3b 5aa765d6 1d8327de b882cf99
Passwörter werden nun in einer verschlüsselten Form gespeichert, die selbst dann nicht entschlüsselt werden kann, wenn ein Angreifer darauf zugreift.
1980s
1980s
Passwort-Richtlinien
Länge, Komplexität, Alter
Schreiben Sie die Regeln für die Verwendung von Passwörtern vor und versuchen Sie zu verhindern, dass Benutzer unsichere Passwörter erstellen oder sie auf unsichere Weise verwenden.
1990s
1990s
Passwort-Manager
System ins Chaos bringen
Bruce Schneier entwickelt den ersten Passwortmanager unter dem Namen Password Safe, um Passwörter an einem Ort zu speichern und zu verwalten.
2000s
2000s
2FA
Eine extra Schicht
Der zweite Faktor bringt zusätzliche Authentifizierungsdaten ein, um ein potenziell unsicheres Passwort zu schützen.
2020s
2020s
Passwortlos
Kein Passwort => kein Angriff
Die ultimative Lösung für das Problem der Passwort-(un)sicherheit ist die Abschaffung des Passworts und seine Ersetzung durch einen besseren Sicherheitsmechanismus.
Eine kurze Geschichte von SystoLOCK
Im Jahr 2007 stand Systola als einer der ersten Anbieter von Cloud-basierten RDP-Diensten vor einer Herausforderung: Kunden verbanden sich über das Internet mit unseren Servern und nutzten ihre passwortbasierten Anmeldedaten, um sich bei den RDP-Farmen zu authentifizieren.

Alle bekannten Sicherheitsmechanismen waren dazu verdammt, unpraktisch zu sein: VPNs, Smartcards, usw. Es musste etwas Neues, Übertragbares und sehr Einfaches her. Aber es gab eine Sache, die uns störte, egal was wir verwendeten: Passwörter. Wir mussten sie verteilen, sichern und pflegen. Und wir mussten sicherstellen, dass sie nicht kompromittiert werden konnten - eine unmögliche Aufgabe.

Da wir die Passwörter nicht loswerden konnten, mussten wir zumindest dafür sorgen, dass sie das Haus nicht verlassen. Und die einzige Möglichkeit, dies zu erreichen, war eine automatische, verdeckte Passwortverwaltung für den Benutzer. Wie wir später herausfanden, taten dies auch andere MFA-Anbieter (und tun es in gewissem Maße immer noch). So entstand die erste Generation von SystoLOCK, bei der ein MFA-Zugangsnachweis nach erfolgreicher Verifizierung durch ein vorgeneriertes Passwort ersetzt wurde, das an anderer Stelle gespeichert war, ohne dass der Benutzer dies bemerkte.

Die Lösung war robust, aber nicht über lokale Anmeldung und RDP mit deaktivierter Authentifizierung auf Netzwerkebene hinaus skalierbar. Und das war zu einer Zeit, als Microsoft alle dazu drängte, NLA für Remote-Desktop-Verbindungen zu erzwingen. Wir mussten das Protokoll aktualisieren.

Nach einem großen Durchbruch in der Forschung und Entwicklung wurde ein neues und vollständig überarbeitetes SystoLOCK geboren. Mit seiner neu geschriebenen und patentierten Kerntechnologie und einer internen Version 2 war es nun in der Lage, sich gegenüber jedem dem Netz bekannten Knoten zu authentifizieren.

Diesmal wurde zur Authentifizierung des Benutzers nicht mehr ein Passwort, sondern ein digitales Zertifikat verwendet. Und um sicherzustellen, dass ein Passwortangriff unmöglich ist, haben wir das eigentliche Benutzerpasswort ganz entfernt, so dass die einzige Möglichkeit zur Authentifizierung die Verwendung der SystoLOCK-Anmeldedaten ist.
Das System war so gut, dass wir es auf eine der letzten CeBITs mitgenommen haben, um es dort auszustellen und damit zu prahlen.

Es war erstaunlich, das wachsende Interesse der Öffentlichkeit an etwas völlig Neuem zu sehen.
SystoLOCK bei CeBIT
Ein Interview während der Messe
Die eigentliche Arbeit stand uns noch bevor: Mit dem neuen Authentifizierungsschema machten wir das System zwar sehr sicher, aber weniger benutzerfreundlich. Die Nutzer mussten mehr tippen, die Tippfehler nahmen zu, und die Nutzerakzeptanz war gering. Doch Ende 2019 wurde der SystoLOCK Companion eingeführt: die mobile Anwendung, die nun ein schlüsselloses Login, phishing-resistente Token und viele andere nützliche Funktionen ermöglicht. Die App löste alle ergonomischen Probleme und machte SystoLOCK zum benutzerfreundlichsten MFA-System, das man je gesehen hat.

Jetzt ist SystoLOCK in der Lage, Benutzer mit verschiedenen Methoden zu authentifizieren, und aufgrund seiner universellen Architektur werden ständig neue Authentifizierungsschemata eingeführt, die Türen für das neue, sichere und ergonomische Arbeiten öffnen.
Timeline: SystoLOCK Through the Years
2007
2007
Ursprüngliche Idee
Ziel ist es, den Zugang zu RDP über das Internet zu sichern
Durch den Einsatz von SystoLOCK Generation 1 waren wir in der Lage, Dienste über das Internet bereitzustellen, ohne Passwörter außerhalb des Netzwerks preiszugeben.
2015
2015
Generation 2 wird konzipiert
Der neue, skalierbare Ansatz
Generation 2 verwendet unter der Haube digitale Zertifikate anstelle von Passwörtern, um die Benutzer sicher zu authentifizieren.
2017
2017
Patent
Kerntechnologie
Der Kerngedanke hat sich seither nicht geändert: Jede „fremde“ Anmeldung kann in ein sicheres, einmaliges Zertifikat umgewandelt werden.
2018
2018
CeBIT
Showcase auf einer der größten Technologiemessen der Zeit
SystoLOCK wurde der Öffentlichkeit auf der CeBIT vorgestellt, wo wir bei potenziellen Kunden und Mitbewerbern durch die Demonstration unserer Widerstandsfähigkeit gegen Passwortdiebstahl Wellen schlugen.
2019
2019
Fast Login
Smartphone-gestütze Authentifizierungsmethoden
Mit der neuen und fortschrittlichen SystoLOCK Companion Authenticator App können Benutzer ihr Telefon als eine Erweiterung ihrer selbst verwenden, wodurch die Notwendigkeit des Tippens und die Gefahren des Phishings entfallen.
2021
2021
Sales start
Erste zahlende Kunden
SystoLOCK ist jetzt ein ausgereiftes Produkt mit einem soliden Kundenstamm, der sichere Authentifizierung auf einer sehr intrinsischen Ebene genießt.
Now
Now
Alles ist möglich
"Plugable" Authentifizierungsmodell
SystoLOCK ist nun in der Lage, sich in mehreren Szenarien und mit mehreren Authentifizierungsmitteln zu authentifizieren und macht sich damit auf den Weg, ein De-facto-Standard in der Authentifizierung zu werden.