Weg mit den lästigen Passwörtern!
Fast jedes Onlineangebot erfordert ein Passwort. Es soll einzigartig und möglichst schwer zu knacken sein. Trotz aller Bemühungen sind Hacks eine stete Gefahr. An besseren Alternativen wird gearbeitet.
Auf den Punkt gebracht
- Unachtsam. Passwörter sollen einzigartig und lang sein, werden von den Usern jedoch zu oft nachlässig angelegt.
- Zielkonflikt. Je sicherer ein Passwort, desto mühsamer ist es, sich dieses einzuprägen und die Motivation sinkt, die Codes regelmäßig zu ändern.
- Pro-Tipp. Die Länge des Passworts ist wichtiger als Komplexität, sehr gut eignet sich ein ganzer Satz in Mundart.
- Biometrie. Gesichtserkennung oder Fingerabdruck sind sicherer als Passwörter, sie sind auf der Hardware gespeichert und landen nicht im Netz.
Passwörter sind ein Problem. Für Internetnutzer sind sie mühsam und für Security-Experten wie uns ein stetes Sicherheitsrisiko. Die beiden meistverwendeten Passwörter in den USA, wo Statistiken dazu vorliegen, sind immer noch „Password“ und „123456“. Das zeigt eindeutig ein mangelndes Problembewusstsein. Ein derart simples Passwort ist in wenigen Sekunden gehackt und die Konsequenzen können gravierend sein.
Mehr Digitales
- David S. Wall erklärt, wie unsere Welt erpressbar wurde
- Scott Borg über Datendiebstahl: Die versteckte Gefahr
- Edward Oughton schätzt ein: Wie verwundbar sind wir wirklich?
- Lukas Bittner über Cyberattacken im Krieg: Bytes statt Bomben
Ein gutes Beispiel dafür ist der Hack der Datingplattform Ashley Madison im Jahr 2015. Auf dieser Seite konnten sich Nutzer registrieren, die auf der Suche nach außerehelichen Affären waren. Durch den Hackerangriff wurden rund 37 Millionen Mailadressen, Passwörter und Kreditkarteninformationen der User – es waren fast nur Männer – ins Netz gestellt.
Gestohlene Identität
Viele Kunden hatten sich noch dazu mit Firmenadressen angemeldet. Das hatte natürlich katastrophale Folgen für das Privatleben all jener Menschen, deren Daten damit öffentlich wurden. Angeblich soll der Datenklau sogar mehrere Suizide verursacht haben. Auch zahlreiche prominente Namen fanden sich unter den Nutzerdaten; darunter Hunter Biden, Sohn des nunmehrigen US-Präsidenten Joe Biden.
Sonnensturm – Der Blackout aus dem All
Hunter Biden gab damals wie viele registrierte Nutzer an, jemand anders habe sich mit seiner Mailadresse angemeldet – was theoretisch möglich wäre, weil die Mailadressen von Ashley Madison nicht verifiziert wurden. Allerdings dürften die meisten Nutzer in diesem Punkt nicht die Wahrheit gesagt haben. Ihnen wurde zum Verhängnis, dass sie dasselbe Passwort, mit dem sie bei Ashley Madison angemeldet waren, auch bei anderen Diensten wie Dropbox oder Facebook nutzten. So war es nicht mehr schwer, ihre Identität festzustellen.
Natürlich hat nicht jeder Hack solch fatale Folgen. Doch abgesehen von der zusätzlichen Brisanz dieses Beispiels lauert die Gefahr überall. Es ist jederzeit möglich, dass ein Dienst, bei dem wir registriert sind, gehackt wird und die Anmeldedaten und Passwörter im Netz landen. Das bedeutet nicht nur, dass Betrüger auch auf alle anderen Dienste zugreifen können, bei denen dasselbe Passwort verwendet wird. Es heißt auch, dass die Identität gestohlen werden kann.
Der Username „georg.beham“ zum Beispiel ist wertvoll, weil damit eine digitale Identität und Reputation missbraucht werden kann. Wird ein beruflicher Account gehackt, wiegen die Folgen oft doppelt schwer. Zum Beispiel, wenn jemand als Georg Beham Sicherheitstipps gibt, die in Wirklichkeit dazu dienen, Schadsoftware bei jemandem einzuschleusen oder via WhatsApp zu betrügen.
Passwort-Software kann helfen
Das heißt also: Es ist immer gefährlich, ein Passwort für mehrere Dienste zu verwenden – ganz egal, wie sicher es sein mag, und auch wenn alle Regeln der Komplexität eingehalten werden. Ein durchschnittlicher Internetnutzer hat sich heutzutage wohl bei rund hundert Apps und Seiten registriert. Eine Passwortmanager-Software, die es ermöglicht, jedes Mal ein anderes Passwort zu verwenden, sollte also selbstverständlich sein.
Eine Software, die auf jeder Seite ein eigenes Passwort verwendet, sollte selbstverständlich sein.
Aber auch hier gibt es Gefahren, denn theoretisch kann auch ein Passwortsafe gehackt werden. Es ist also notwendig, sich auf diesen Fall vorzubereiten: Welche Accounts muss ich schnell ändern? Wo könnte ich Geld verlieren? Im Prinzip läuft es wie bei einem klassischen Einbruch; Polizei und Versicherung wollen als Erstes wissen, was alles gestohlen wurde. Das sollte man geistig durchspielen.
Die Liste mit den wichtigsten Accounts kann man auch ausdrucken und sichern; zudem ist es wichtig, dass man für den Passwortsafe ein gutes Passwort wählt. Dabei gilt: Länge schlägt Komplexität, am besten ein ganzer Satz in Mundart. Das ist völlig ausreichend und besser als ein komplexes unmerkbares Passwort mit zwölf Stellen.
Komfort siegt bei Passwörtern
Das alles verursacht Aufwand und nervt. Aber die gute Nachricht ist: Im privaten Bereich wird das Passwort mehr und mehr wegfallen. Wer sich bei einem Streamingdienst anmeldet, braucht schon jetzt nicht mehr unbedingt ein Passwort. Man scannt einen QR-Code, und die Sache ist erledigt. Ab dem Zeitpunkt, wo es kritischer wird oder wo es gesetzliche Vorgaben gibt – etwa bei Banken –, kommt man an Passwörtern trotzdem nicht vorbei. Die Lösungen sind bei manchen Geldinstituten mühsamer als bei anderen, aber es gibt gesetzliche Vorgaben, die eingehalten werden müssen. In vielen anderen Bereichen wird letzten Endes der Komfort siegen.
Die Identifikation erfolgt durch das Entsperren des Handys – ob über einen Code, Gesichtserkennung oder den Fingerabdruck.
Es gibt auch immer mehr Alternativen zum Passwort. Größere Provider wie Google, Apple und Microsoft setzen zunehmend auf Technologien wie One-Time-Passwords (OTP). Das funktioniert ganz einfach: Ich habe eine App, möchte mich irgendwo anmelden, am Handy poppt eine Mitteilung auf, ich muss das Handy entsperren und kann mich anmelden. Es wird kein eigenes Passwort benötigt. Die Identifikation erfolgt durch das Entsperren des Handys – ob über einen Code, Gesichtserkennung oder den Fingerabdruck.
Passkeys ersetzen Passwörter
Diese Konzepte erreichen langsam auch den Geschäftsbereich. Wenn ich bei einem Servicedesk anrufe, werde ich normalerweise einige Dinge gefragt, um meine Identität festzustellen. In Zukunft wird die Frage hoffentlich lauten, ob ich mich mit Tablet oder Handy identifizieren möchte. Das spart dem Anbieter nicht nur unmittelbar Zeit, sondern macht die Transaktion auch weniger betrugsanfällig.
Zahlen & Fakten
Das iPhone-Betriebssystem iOS 16 arbeitet bereits mit Passkeys. Das heißt: Kunden brauchen kein Passwort mehr, um sich etwa bei einer App anzumelden. Die Authentifizierung wird vom iPhone übernommen und ist sicherer als ein Passwort. Die Nutzer müssen nichts eingeben, sich nichts merken und nichts speichern. Die Technologie beruht auf dem Fido-Standard (Fido steht für Fast Identity Online), der von großen IT-Unternehmen wie Google, Microsoft und PayPal erarbeitet wurde. Die Chancen stehen gut, dass sich dieser Standard überall durchsetzen wird. Die Identifizierung für Passkeys funktioniert über Fingerabdruck oder Gesichtserkennung – TouchID oder Face-ID heißt das bei Apple.
Biometrische Sicherheit
Biometrische Daten sind insgesamt eine gute Alternative zum Passwort. Das Problem ist oftmals aber die Akzeptanz. Viele Menschen glauben, dass die gesamten Fingerabdrücke gespeichert werden und vielleicht sogar im Netz landen könnten. Aber das ist ein Irrtum; gesichert wird nur ein Destillat der Fingerabdrücke, und bei modernen Geräten liegt das auf der Hardware.
Chinas Sozialkredite: Totale Kontrolle
Das Destillat wird nicht ins Internet und nicht in die Cloud geschickt. Bei Apple-Geräten zum Beispiel gibt es einen supersicheren Chip (der übrigens in Österreich hergestellt wird), auf dem die biometrischen Daten liegen. Natürlich geht es bei der Biometrie auch um die Frage der Sicherheit: Wäre die Gesichtserkennung zweidimensional, würde ein einziges Foto einer Person reichen, um das System zu hacken.
Alles hängt am Handy
Bei der Gesichtserkennung von Handys wird ein Gesicht aber mit Infrarot dreidimensional abgetastet – was eine Fälschung viel schwieriger macht. Biometrie zu verwenden ist also eine gute Idee, wenn man auf etablierte und bewährte Anwendungen zurückgreift.
Biometrische Daten sind eine gute Alternative. Das Problem ist die Akzeptanz. Viele glauben, dass ihre Fingerabdrücke gespeichert werden und im Netz landen.
Ein Problem gibt es mit all diesen Technologien leider dennoch: Sie hängen am Endgerät. Wenn das Handy kaputt ist, man es verloren hat oder es gestohlen wurde, ist man von sämtlichen Diensten ausgeschlossen, die das Handy zur Anmeldung brauchen. Es kann in solchen Fällen viel Aufwand verursachen, sich wieder Zugang zu seinen Diensten zu verschaffen. Aber die Alternative ist auch nicht besser: Das wäre die Rückkehr zum ungeliebten und unsicheren Passwort.
Conclusio
Das Internet hat unser Leben in vielerlei Hinsicht bequemer und einfacher gemacht. Wenn da nicht dieser ständige Ärger mit den Passwörtern wäre: Für fast jede App und jedes Onlineangebot wird ein Passwort verlangt. Es soll einzigartig und möglichst schwer zu knacken sein, aber bei der Fülle an Anwendungen kann das ganz schön Aufwand verursachen. Trotz aller Vorsicht besteht immer die Gefahr eines Hacks, mit allen möglicherweise schwerwiegenden Folgen. Zum Glück wird an Alternativen gearbeitet, die Passwörter in den meisten Fällen schon bald unnötig machen werden. Ein guter Ersatz sind zum Beispiel biometrische Daten wie etwa der Fingerabdruck oder ein Scan des Gesichts, mit denen sich heute schon viele Handys entsperren lassen. Sie könnten die leidigen Codes irgendwann ganz ersetzen.
Weiterlesen
Internes Geheimnis Cybersecurity
Ist ChatGPT besser als seine Schöpfer?
Zum Newsletter anmelden
Post vom Pragmaticus
Unser Newsletter. Jede Woche das Wichtigste in Ihrem Posteingang.