Um den Zugang zu Daten und zu Onlinediensten zu erhalten, müssen wir uns stets mehr Passwörter merken. Viele Menschen sind damit überfordert. Doch alternative Zugangskontrollen sind kaum praktikabel.
Totgesagte leben länger. Seit 20 Jahren rufen IT-Auguren das Ende des klassischen Passwortes als Methode der Authentifizierung aus. Zuletzt die Firma IBM, die in ihrer aktuellen Trendvorschau "Five-in-Five“ vor-aussagt, dass Passwörter bis 2016 durch biometrische Verfahren wie Fingerabdruck- oder Iriserkennung ersetzt sein werden. Doch vorläufig erfreut sich der Patient noch bester Gesundheit. Was vor allem daran liegt, dass vorgeschlagene Alternativen zu kompliziert, zu teuer oder zu unsicher sind.
Viele Tränen würde dem Passwort kaum jemand nachweinen. Viele Dienste im Internet erfordern eine Anmeldung inklusive Passwort. Wer das Web extensiv nutzt, hat schnell ein paar Dutzend unterschiedliche Passwörter für Webshops, soziale Netzwerke, Diskussionsforen und Ähnliches beisammen. Hinzu kommen Codes für Mobiltelefon und Bankomatkarte.
Kombinationen machen sicher
Es ist praktisch unmöglich, sich alle Passwörter zu merken. Angeblich schreiben 82 Prozent aller Nutzer ihre Zugangsdaten deshalb auf Notizzettel. Das entlastet zwar das Gehirn, führt aber zugleich den Sicherheitsanspruch ad absurdum. Auch von der naheliegenden Praxis, ein und dasselbe Passwort für sämtliche Zugänge zu verwenden, raten Sicherheitsexperten ab. Gelangt dieses nämlich in die Hände von Hackern, hat man im schlimmsten Fall überhaupt keine Kontrolle über sein digitales Leben mehr.
Das amerikanische Sicherheitsunternehmen SplashData veröffentlicht alljährlich ein Ranking der beliebtesten Passwörter. Auch 2011 war "password“ die häufigste Wahl, gefolgt von den Zahlenreihen "123456“ und "12345678“. Solche Passwörter, Namen oder Wörter einer natürlichen Sprache, können von Hackern vergleichsweise einfach geknackt werden. Empfohlen werden stattdessen möglichst kryptische Kombinationen aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen - je länger, desto besser. Hier offenbart sich das Dilemma: je sicherer ein Passwort ist, desto schwieriger kann man es sich merken.
Eine Lösung sind sogenannte Passwortmanager. Diese Programme speichern sämtliche Passwörter in verschlüsselter Form auf Computer oder Mobiltelefon. Um darauf Zugriff zu bekommen, braucht sich der Nutzer nur noch ein Master-Passwort zu merken. "Diese Programme generieren das Master-Passwort allerdings aus einer Schlüsselmenge, die viel kleiner ist, als sie für optimale Sicherheit sein sollte“, sagt Markus Schneider, stellvertretender Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt.
So verwenden sichere Verschlüsselungsverfahren eine Schlüsselmenge aus mindestens 1038 Elementen. Es gibt jedoch nur etwa 1020 verschiedene Möglichkeiten, ein zehnstelliges Passwort mit dem Zeichensatz einer Computertastatur zu erstellen. "Die Anwender müssten ein besonders langes Passwort auswählen, um die nötige Sicherheit zu garantieren“, meint Schneider. "Die Praxis zeigt jedoch, dass das kaum jemand tut.“ Gelingt es einem Angreifer, die verschlüsselten Daten zu kopieren, kann er mittels Spezialsoftware jedes mögliche Master-Passwort ausprobieren. Auf modernen Rechnern gelingt das nach spätestens ein paar Tagen. Passwortmanager leisten hierbei unfreiwillig Beihilfe. Sobald nämlich das richtige Master-Passwort gefunden ist, bestätigen sie die korrekte Eingabe. Dadurch lässt sich der Angriff leicht automatisiert durchführen.
Irreführung der Hacker
Die Wissenschaftler des SIT haben deshalb ein Programm für Smartphones entwickelt, das Hackern das Leben erschwert. Der "Mobile Sitter“ reagiert auf jeden Versuch des Hackers (oder einer Hacker-Software) das richtige Master-Passwort einzugeben, mit einem Entschlüsselungsergebnis, das plausibel aussieht. "So kann der Angreifer nicht erkennen, ob das Ergebnis korrekt ist oder nicht“, erklärt Schneider. "Wird ihm zum Beispiel der PIN einer Bankomatkarte angezeigt, muss er am Geldautomaten ausprobieren, ob der PIN stimmt oder nicht.“ Der Zeitaufwand für den Hacker wird so hoch, dass sich ein Angriffsversuch nicht mehr lohnt.
Bei Authentifizierungsverfahren, die mit Passwörtern arbeiten, muss der Nutzer über ein bestimmtes Wissen verfügen, um den gewünschten Zugang zu erhalten. Ganz anders arbeiten biometrische Verfahren. Sie basieren darauf, dass jeder Mensch individuelle körperliche Merkmale hat. Das Vorhandensein dieser Merkmale, zum Beispiel des Fingerabdrucks, lässt sich mit geeigneten Sensoren erfassen und mit einem vorher gespeicherten Referenzabdruck vergleichen. Bei Übereinstimmung wird der Zugang gewährt. Theoretisch lässt sich jedes körperliche Merkmal für die biometrische Authentifizierung verwenden, solange es individuell genug ist. Neben Fingerabdrücken gibt es am Markt Systeme, die Handvenen, Retina, Iris oder gleich das ganze Gesicht auswerten. In der Regel handelt es sich dabei jedoch um kostspielige Hochsicherheitslösungen für Unternehmen mit hohem Sicherheitsbedarf, etwa Banken, Atomkraftwerke oder Forschungslabors. Lediglich die Fingerabdruckerkennung ist einen Schritt weit in den Consumermarkt eingedrungen.
So verfügen einige aktuelle Notebooks über einen integrierten Fingerabdruck-Scanner. Dieser prüft, ob der Finger tatsächlich dem rechtmäßigen Nutzer des Computers gehört. Leider sind die verwendeten Scanner nicht so täuschungssicher wie hochpreisige Industrielösungen.
Leicht zu täuschen - und teuer
Smartphones mit der aktuellen Version des Betriebssystems Android bieten die Möglichkeit, das Gerät mittels Gesichtserkennung zu entsperren. Dazu hält man sein Gesicht einfach vor das Objektiv der Kamera. Ein witziges Feature, aber weit entfernt vom Sicherheitsstandard eines PIN-Codes: Es lässt sich austricksen, indem man dem Smartphone ein Foto des echten Besitzers vorhält.
Viele biometrische Verfahren befinden sich noch im Forschungsstadium (s. u.). Die meisten etablierten Verfahren hingegen sind für Privatanwender zu komplex. Man benötigt Sensoren, die das Merkmal erfassen; dazu Software zum Vergleich mit den hinterlegten Referenzdaten. Praktisch eignen sich biometrische Verfahren als Zugangskontrolle zu Gebäuden. Zur Authentifizierung über ein Netzwerk, etwa als Anmeldeprozedur bei einem Webdienst, bietet Biometrie nicht mehr Schutz als ein Passwort. Denn beim Dienstanbieter kommt lediglich ein Happen Information in digitaler Form an. Diese kann immer gefälscht oder von einem Hacker illegal besorgt worden sein.
Bislang konnte sich noch keine Technologie als Nachfolgerin des Passwortes etablieren. Passwörter bieten einen bewährten Kompromiss aus Sicherheit und einfachem Handling. Das Prozedere der Eingabe ist eine alltägliche Kulturtechnik geworden.
