Der lange Abschied vom Passwort

Passwörter: Geissel der Menschheit. Wählt man ein zu kompliziertes, vergisst man es. Wählt man ein einfaches, freuen sich die Hacker. Gesichtserkennung, Fingerabdrücke oder jüngst sogar Schmuck werden als Nachfolger vorgeschlagen. Allerdings: Auch die Alternativen haben ihre Mängel.

Zuletzt hat sich Google mit einem Vorschlag ins Gespräch gebracht: Statt einem Passwort soll in Zukunft Hardware die Authentifizierung übernehmen – schick untergebracht in einem Fingerring zum Beispiel. Ist die hardwaregeschützte Anmeldung einmal erledigt, loggt sich das System automatisch in alle Konten und Dienste des Benutzers ein.

Hardware kann gestohlen werden

Der Vorteil: Niemand muss sich mehr umständliche Kombinationen aus Buchstaben, Zahlen und wenn möglich noch Sonderzeichen merken, um seine Emails abzurufen. Der Nachteil: Damit Googles System funktioniert, müssen auch mitspielen: Gerätehersteller etwa, die Googles Authentifizierungs-Standard übernehmen oder die Webseitenbetreiber.

Auch ein Problem: Wird das Schmuckstück einmal gestohlen, stehen dem Dieb alle Türen weit offen. Man wird also wieder nicht um ein persönliches Passwort herumkommen, das erst den Zugang zur Hardware-Authentifizierung möglich macht.

Auch die Alternativen haben ihre Tücken

Dass Diebstahl ein Problem ist, wenn Hardware als Passwort-Ersatz zum Einsatz kommt, weiss auch Bernhard Plattner, Professor für Kommunikationsnetze an der ETHZ. Etwa bei Modellen, die aufs Smartphone als Türöffner setzen. Das ist zwar bequem, weil wir das Handy als ständigen Begleiter bei uns tragen, aber sicher ist es nicht. Plattner warnt ausserdem vor Trojanern und anderer Malware, die sich auf Handys einnisten und dort Zugangsdaten ausspionieren können.

Aber auch andere Methoden, die in den letzten Jahren als Passwort-Alternativen herumgereicht wurden, haben ihre Tücken (siehe Video). Eine Gesichtserkennung kann beispielsweise derjenige überlisten, der bloss ein Foto des Gesichts vor den Scanner hält. Ähnlich unsicher sind viele Iris-Scanner, die sich ebenfalls von einem Ausdruck der Iris täuschen lassen. Und fremde Fingerabdrücke lassen sich einfach mit Graphit und Klebestreifen sichern und danach vor den Fingerabdruck-Tester halten.

Die wichtigsten Tipps zur Passwort-Wahl

Solange solche Mängel bestehen, wird man sich vom Passwort nicht verabschieden können. Grund genug, sich Gedanken über die «Dos and Don'ts» der Passwortwahl Gedanken zu machen. Das musste auch der «Wired»-Journalist Mat Honan tun, nachdem Hacker seine Google- und Twitter-Konten übernommen hatten. Seine wichtigsten Tipps:

Abwechslung ist wichtig

Erstens: Für jeden Dienst andere Benutzernamen und Passwörter verwenden. Loggt man sich überall mit denselben Benutzerdaten ein, haben Hacker ein leichtes Spiel: Sie müssen nur die Daten eines einzelnen Dienstes stehlen, um Zugang zu allen anderen zu bekommen.

Kleiner Trick, wenn einem so viel Variation zu umständlich ist: Einfach dasselbe sichere Passwort mit einem vorangestellten Buchstaben ergänzen, der dem jeweiligen Dienst entspricht. Also ein «F» für Facebook oder ein «G» für Gmail, was dann Passwörter wie «FMTha1JGuiVh4B» oder «G MTha1JGuiVh4B» ergibt.

Je länger, je besser

Zweiter Tipp: Je länger ein Passwort, desto sicherer. Dank der Rechenleistung moderner Computer, lassen sich sogar Passwörter wie das kryptische «h6!r$q» in angemessener Zeit knacken.

Weil man sich lange Passwörter schlecht merken kann, hilft eine Eselsbrücke: Ein Satz – zum Beispiel: «Meine Tochter hat am 17. Juli Geburtstag und ihr Vorname hat 4 Buchstaben» – von dem man nur die ersten Buchstaben eines Wortes oder die erste Ziffer einer Zahl übernimmt. Aus dem Beispiel oben ergibt sich folgendes Passwort: «MTha1JGuiVh4B».

Zweimal schlägt einmal

Dritter Tipp: Wo immer möglich eine 2-Faktor Authentifizierung benutzen. Meldet man sich dann von einem ungewohnten Ort aus an, muss man seine Identität zum Beispiel über einen zusätzlich ans Handy geschickten SMS-Code beweisen.

Nachteil dieser Methode: Ist man es selbst, der sich von einem anderen Computer aus anmeldet – zum Beispiel während den Ferien in der Ukraine – lassen sich oft keine SMS empfangen und man sperrt sich mittels 2-Faktor Authentifizierung bloss vom eigenen Konto aus.

Vollständige Sicherheit wird es im Internet wie in der Richtigen Welt nie geben – wer sich Zugang zu fremden Daten verschaffen will, wird das mit genügend krimineller Energie auch schaffen. Je besser man seine Daten mit einem guten sichert, umso schneller wendet sich die kriminelle Energie aber leichteren Zielen zu.