25.04.2017 Authentifizierung

Das Passwort muss endlich verschwinden

Von: Ingo Steinhaus

Simpelpasswörter wie „hallo“ sind bequem: Der Anwender muss sich nichts merken und ist flott angemeldet. Da ist ebenso bequemer Ersatz gefordert.

Leider ist es immer noch da: Das Passwort. Es will einfach nicht aussterben, das schrullige Relikt aus den Zeiten der elektronischen Datenverarbeitung. Es entstand zu einer Zeit, als Computer groß und teuer waren und vorwiegend von speziell Technikern genutzt wurden. Damals gab es nur wenige Möglichkeiten, einen Benutzer an einem Computersystem anzumelden.

Heute dagegen gibt es viele Authentifizierungsverfahren mit verschieden starken Sicherheitsstufen. Apple zum Beispiel hat vor einigen Jahren auf seinem iPhone einen Fingerabdrucksensor eingeführt. Er ist zwar nicht 100prozentig sicher, da er mit ein wenig krimineller Energie ausgetrickst werden kann. Doch er ist vollkommen ausreichend für seinen Zweck: Das Entsperren des iPhones und das kontaktlose Bezahlen.

Andere Verfahren setzen auf Chipkarten, Gesichtserkennung, Stimmerkennung, Zusendung von Codes per SMS oder auf eine spezielle Authentifizierungs-App, die bei der Anmeldung an einen Webservice eingesetzt wird. Diese Verfahren haben sich allerdings bei Privatanwendern noch nicht recht durchsetzen können. Der Grund: Sie erfordern immer zusätzliche Hardware, die zusätzlich kostet und deswegen nicht besonders beliebt ist. Unternehmen dagegen nutzen moderne Verfahren inzwischen relativ häufig.

Weit verbreitet ist die sogenannte Zwei-Faktor-Authentifizierung, bei der in Ergänzung zu einem Kennwort noch ein weiterer Identifizierungsfaktor hinzukommt. Das kann beispielsweise ein aufgrund der Anmeldung gesendeter SMS-Code sein. Dieses Verfahren wird von zahlreichen Webservices angeboten, aber noch von viel zu wenig Anwendern eingesetzt.

Gibt es überhaupt sichere Passwörter?

Leider wird sie ein weiteres Problem. Ein schlechtes Passwort ist die bequemste und schnellste Art, sich bei einem Benutzerkonto anzumelden. Das ist der eigentliche Grund für ein Phänomen, das zuletzt vom Hasso-Plattner-Institut festgestellt wurde: Die beiden beliebtesten Passwörter lauten „hallo“ und „passwort“.

Dafür haben die Wissenschaftler insgesamt rund eine Milliarde Nutzerkonten analysiert und ausgewertet, die aus 31 veröffentlichten Datenlecks in unterschiedlichen Bereichen stammen und im Internet frei verfügbar sind. „123456“ ist laut der Studie weltweit das meistbenutzte Passwort. Und man glaubt es kaum, auf Platz zwei steht „123456789“.

Gibt es also überhaupt sichere Passwörter? Absolut sichere gibt es nicht, aber relativ sichere. So ist ein zwölfstelliges Passwort aus per Zufall ausgewählten Buchstaben, Zahlen und Sonderzeichen wie „g0+7K6{m^%M8“ recht sicher, da es nicht erraten und nur mit unrealistischem Aufwand errechnet werden kann. Die Sicherheit kann noch gesteigert werden, wenn der Anwender jeweils pro Benutzerkonto ein Passwort nutzt und es verschlüsselt mit einem Passwortmanager speichert.

Dadurch können zumindest Privatleute ein für Alltagswandungen ausreichendes Maß an Sicherheit erreichen. Nur leider gehen die wenigsten Anwender auf diese Weise vor. Da ist guter Rat teuer und sowohl Wissenschaftler als auch die großen IT-Unternehmen entwickeln Alternativen zum Passwort. Ein etwas verblüffendes Verfahren haben kürzlich Forscher an der ETH Zürich entwickelt.

Dabei werden zwei Geräte eingesetzt, die Hintergrundgeräusche vergleichen.  Bei einem positiven Ergebnis erfolgt die Authentifizierung, denn dann befinden sie sich im gleichen Raum. Das eine Gerät könnte beispielsweise ein Computersystem sein, das allerdings ein Mikrofon besitzen muss. Das andere Gerät könnte ein Smartphone sein, das dieselben Umgebungsgeräusche wie der Computer ermitteln muss, damit die Anmeldung gelingt.

Microsoft führt Anmeldung ohne Passwort ein

Doch es geht auch einfacher: Microsoft bietet in der neuen Version seiner App „Microsoft Authenticator“ für iOS und Android ein neues Verfahren an, dass die von vielen Anwendern als umständlich empfundene Zwei-Faktor-Authentifizierung ersetzen kann. Bei ihr wird vor jeder Anmeldung ein Zahlencode angezeigt, den der Anwender eingeben muss.

Das neue Verfahren funktioniert etwas einfacher und erfordert nur noch einen Daumendruck in der App. Ein Beispiel: Bei der Anmeldung an einem Microsoft-Dienst zeigt die Anmeldeseite einen Zahlencode an. Die App erkennt via Cloud die Anmeldung und zeigt nun mehrere solcher Codes, darunter den auf der Webseite angezeigten. Der Nutzer muss nun den richtigen Code auswählen und bestätigen. Damit ist er auf der Webseite angemeldet.

Dieses Verfahren ist für Hochsicherheitsbereiche nicht sicher genug, da eine rechtssichere Identifizierung des Anwenders damit nicht möglich ist - jeder könnte das Smartphone mit der App besitzen. Doch es entspricht recht gut den Bedürfnissen der durchschnittlichen Anwender von Webservices: Es ist schnell und bequem. Und sicherer als das Passwort „Passwort“ ist es allemal.

Bildquelle: Thinkstock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH