InternetkriminalitätDas Zeitalter des Passworts neigt sich dem Ende zu

Das Passwort ist die Versicherung im Netz – vor modernen Angriffen bietet es dennoch kaum Schutz. Google und andere Firmen tüfteln bereits an einer passwortfreien Welt. von 

Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll.

Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll.  |  © Taller de Imagen (TDI) / Cover / Getty Images

Wer sich ein neues Passwort ausdenkt, geht jedes Mal eine Wette ein. Er wettet gegen die wachsende Rechenleistung und den Erfindergeist potenzieller Angreifer. Mit jedem neuen Konto gilt es deshalb, sich ein möglichst kryptisches Passwort auszudenken, zu merken und nach einiger Zeit zu ändern. Das Passwort ist der Ausgangspunkt jeder Sicherheitsstrategie im Netz. Aber die Anforderungen daran sind so hoch wie nie.

Anders als in den Anfangszeiten des Internets schützen Nutzer heute nicht nur ihr E-Mail-Konto und ihren Internetzugang, sondern eine Vielzahl an Diensten wie Facebook, Twitter, Spotify und vielleicht auch noch die AppleID. Wer darüber hinaus noch Wert auf die Verschlüsselung der Festplatte und weitere Sicherheitsmaßnahmen legt, kommt leicht auf noch mehr Passphrasen, die es sich zu merken gilt. Sie alle zu verwalten, ist mit herkömmlichen Methoden kaum noch möglich, zumindest aber umständlich.

Anzeige

Das zeigt auch eine aktuelle Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Demnach wissen zwar 70 Prozent der Deutschen, dass ein sicheres Passwort aus willkürlich zusammengewürfelten kleinen und großen Buchstaben, Zahlen und Sonderzeichen besteht. Oder, wie es bei Twitter scherzhaft heißt, "Ihr Passwort muss Großbuchstaben, Zahlen, Satzzeichen, das Zeichen einer Gang, ein ausgestorbenes Säugetier und Hieroglyphen enthalten."

Viele nutzen das eine ausgedachte Passwort aber einfach zur Absicherung mehrerer Konten. Wird es von einem Angreifer erraten, hat der sofort Zugriff auf alles.

Die neuen Konzepte sind bei Unternehmen schon bekannt

Seit Twitter am vergangenen Wochenende 250.000 Nutzer auffordern musste, ihre Passwörter zu ändern, stellen sich auch große IT-Firmen die Metafrage: Welche Sicherheit können einfache Passwörter überhaupt noch garantieren? Google denkt bereits darüber nach, wie man das ganze Konzept überarbeiten könnte.

Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwörter geben – sie helfen nichts, wenn der Server des Anbieters gehackt wird. Auch gegen die Weitergabe von Passwörtern durch Mitarbeiter kann sich ein Unternehmen nie vollständig schützen. Neue Ideen zur Netzsicherheit sind daher gefragt.

Die neuen Konzepte sind aber eigentlich alt. Bislang wurden sie vor allem in Unternehmen eingesetzt. Eines davon ist die sogenannte Two-Factor-Authentication. Statt wie bisher nur ein Passwort für den Zugang zu verwenden, braucht man bei diesem Konzept zwei Schlüssel: einen, den sich man sich merkt – also das Passwort – und einen, den man auf dem eigenen Rechner besitzt. Der Zugang zu einem Dienst wird damit an ein bestimmtes Gerät gekoppelt.

Leserkommentare
  1. Siehe dieser sehr aufschlussreiche Comic auf xkcd:
    http://imgs.xkcd.com/comi...

    Variationen einzelner Teile der Passphrase können helfen, die Phrase für verschiedene Seiten zu individualisieren, ohne die theoretische Passwortstärke zu reduzieren.

    8 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Diese von XKCD geschilderte Methode zur Erzeugung von Passwörtern hat sicher Vorteile gegenüber der leider gar nicht unüblichen Variante, welcheim gleichen Comic kritisiert wird - doch ist sie keine Lösung für die Dutzenden von Passwörter, mit denen man heute üblicherweise so hantieren müsste, wenn man nicht wie leider sehr üblich, überall das gleiche Passwort einsetzt.

    KeePass ist ein gutes Tool, solange man nur einen PC nutzt, oder solange die Geräte, mit denen man so unterwegs ist, wenigstens über irgendeine Art von Webdrive synchronisiert sind (Dropbox und Co), damit man stets Zugriff auf die aktuellen Passwörter hat.

    Spätestens auf mobilen Geräten (Tablet, Smartphone) werden die Komforteinbußen bei der Nutzung eines solchen Tools aber derart hoch, daß das kein Mensch mehr benutzt. Copy&Paste und Taskswitching auf Handys und Tablets? Abtippen von 20, 30 oder gar mehr Zeichen Buchstaben+Ziffernsalat?

    Eine durch Token verstärkte 2-Phasen-Authentifizierung über einen vertrauenswürdigen Identitätsdienst ... viele Jahre nach dem Single-Sign-On und Open-ID-Hype auf der CeBit und in der Fachpresse setzt sich sowas vielleicht also doch mal so langsam durch.

    Doch verlagert sich das Problem hier: was ist ein vertrauenswürdiger Identitätsdienst? Google? Microsoft? Eine kleine OpenID-Klitsche?
    Oder Vater Staat, mit e-Perso & Co.?
    Was ist hier mit den Kosten, Sicherheit, Mißbrauch?

    Das Thema bleibt spannend, und das Ende des klassischen Passworts ist m.E. noch nicht absehbar.

    • Gestath
    • 06. Februar 2013 8:30 Uhr

    Direkt vor dem Lesen des Artikels beschloss ich einen Kommentar mit Keepass und eben diesem XKCD-Comic zu schreiben, beides hat sich jetzt erübrigt :-) Schön, dass vor allem der Comic einen so prominenten Platz gefunden hat.

    Wer KeePass nicht nutzen will könnte immer noch eine handschriftliche Passwortliste führen, so sicher wie die Server der meisten Anbieter ist das allemal …

    Was die Sache mit den gleichen Passwörtern angeht: Für Webshop 1–100 (gefühlt zumindest) habe ich auch nur eins, besonders gut ist das nicht, aber sehr praktisch.

    • Bodman
    • 06. Februar 2013 8:30 Uhr

    Es ist eine Krux, dass der xkcd - Comic (https://sslimgs.xkcd.com/...) noch immer als eine gute Anleitung durch die Foren geistert, ein sicheres Passwort zu erzeugen. Die in diesem Comic propagierte Methode ist nicht sicher!

    Die Kombination mehrerer Worte zu einem Passwort ergibt keinen signifikanten Zuwachs an Sicherheit. Die Rechenleistung heutiger Computer ist so hoch, dass ein so entstandenes Passwort einer Mischung aus Wörterbuchangriff und Brute-Force-Attacke nicht standhalten würde.

    Möchte man ein Passwort bilden indem man Worte kombiniert, ist es eben absolut notwendig, neben kleinen und Großbuchstaben auch Zahlen und Satzzeichen zu nutzen. Letztere machen einen Wörterbuchangriff unmöglich und erst dann entfalltet die Länge des Passwortes ihre Wirkung.

    Hier eine Zusammenfassung der wichtigsten Regeln: http://www.wired.com/gadg...

    Seh ich ganz genauso, allerdings aus einem anderen Grund.
    Ich kann problemslos ein einfaches PW nutzen,sollte allerdings nicht im Wörterbuch zu finden sein. Der Webseitenbetreiber muss bloß implementieren, dass nach 3 Loginversuchen 30s gewartet werden muss. Dann wieder nach 3 Loginversuchen 1 Minute .. usw
    wie zb bei Linux realisiert. Das ganze aber Account gebunden und nicht IP-gebunden. So kann auch keiner ein PW alla "H4n5Z" cracken. Oder seh ich da was falsch?

  2. ... die übliche Bankkombination aus Karte und PIN.... nichts neues also. Zumal vorgenanntes (HCBI) bereits etabliert ist.

  3. "Wer keinen Passwort-Manager benutzen möchte, sollte über die Anschaffung eines Gedächtnistrainer-Programms nachdenken – um sich die vielen verschiedenen Passwörter dauerhaft merken zu können."

    --- Sarkasmus? Es gibt auch Menschen, die nicht so viele verschiedene Internetdienste nutzen. Und Menschen mit gutem Gedächtnis.

    Oder Arroganz gegenüber "Technikverweigerern"?

    Dieser Schlusssatz hätte besser formuliert sein können.

    2 Leserempfehlungen
  4. Diese von XKCD geschilderte Methode zur Erzeugung von Passwörtern hat sicher Vorteile gegenüber der leider gar nicht unüblichen Variante, welcheim gleichen Comic kritisiert wird - doch ist sie keine Lösung für die Dutzenden von Passwörter, mit denen man heute üblicherweise so hantieren müsste, wenn man nicht wie leider sehr üblich, überall das gleiche Passwort einsetzt.

    KeePass ist ein gutes Tool, solange man nur einen PC nutzt, oder solange die Geräte, mit denen man so unterwegs ist, wenigstens über irgendeine Art von Webdrive synchronisiert sind (Dropbox und Co), damit man stets Zugriff auf die aktuellen Passwörter hat.

    Spätestens auf mobilen Geräten (Tablet, Smartphone) werden die Komforteinbußen bei der Nutzung eines solchen Tools aber derart hoch, daß das kein Mensch mehr benutzt. Copy&Paste und Taskswitching auf Handys und Tablets? Abtippen von 20, 30 oder gar mehr Zeichen Buchstaben+Ziffernsalat?

    Eine durch Token verstärkte 2-Phasen-Authentifizierung über einen vertrauenswürdigen Identitätsdienst ... viele Jahre nach dem Single-Sign-On und Open-ID-Hype auf der CeBit und in der Fachpresse setzt sich sowas vielleicht also doch mal so langsam durch.

    Doch verlagert sich das Problem hier: was ist ein vertrauenswürdiger Identitätsdienst? Google? Microsoft? Eine kleine OpenID-Klitsche?
    Oder Vater Staat, mit e-Perso & Co.?
    Was ist hier mit den Kosten, Sicherheit, Mißbrauch?

    Das Thema bleibt spannend, und das Ende des klassischen Passworts ist m.E. noch nicht absehbar.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    ich habe die gleichen Bedenken hinsichtlich vertauenwürdiger Identititätsdiensten. Wurde nicht kürzlich bekannt das so ein vertauenswürdiges Unternehmen, das Zertifikate für Regierungen ausgestellt hatte, mit einfachsten Mittel ausspioniert wurde!

    Das klassische Passwort wird beibehalten bis wir eine biometrische Lösung des Problems angeboten bekommen. Aber Achtung, mit dem neuen biometrischen Pass oder Personalausweis sind diese Informationen ja auch in irgendeiner Weise schon mal auf einem staatlichen Server abgelegt, der wahrscheinlich auch nur mit einem klassischen Passwort versehen ist.

    Wenn Internet Banking dann per HBCI, kein PayPal und falls es nicht zu umgehen ist im Internet zu shoppen, für jeden Kauf einen neuen User anzulegen und nur für diesen einen Kauf ein simples einmaliges Passwort zu vergeben. Dazu noch regelmäßig alle Cookies vom Rechner zu löschen. Auch wenn das

    • lestard
    • 05. Februar 2013 20:15 Uhr

    Im Text wird gesagt, dass das beste Passwort nichts nützt, wenn der Server des Anbieters gehackt wird. Das ist aber nur dann der Fall, wenn der Anbieter schlampig programmiert hat. Ein verantwortungsvoller Programmierer speichert Passwörter so, dass sie praktisch unknackbar sind, selbst wenn der Server gehackt wird. Das ist ansich auch nicht sonderlich schwierig umzusetzen, man muss sich nur an eine Handvoll einfacher Richtlinien halten.
    Man sollte den Firmen und Anbietern in dieser Hinsicht häufiger auf die Finger schauen

    3 Leserempfehlungen
    • m_pi
    • 05. Februar 2013 20:23 Uhr

    Die unkomplizierte Bedienbarkeit und die Kosten. Noch ein Vorschlag wäre die Identifikation über das Benutzerverhalten, das heutzutage eh von den größeren Anbietern im Großen Stil vorgenommen wird. Ungewöhnliches Verhalten wird gesperrt und ist nicht so leicht auslesbar, wie ein Passwort. Der Massenhafte Identitätsdiebstahl basiert vor allem auf unzureichende Sicherung auf der Serverseite. Unverschlüsselte oder schlecht verschlüsselte Logins und Daten dürften nicht mehr erlaubt sein. Allein dies würde die Sicherheit enorm erhöhen, die Kosten aufgrund von gestiegener Rechenkraft und Energie aber auch. Und unsichere Passwörter wären automatisch sicherer, wenn man nur eine begrenzte Zahl an Fehlversuchen zulässt. Auf Nutzerseite gibt es sicherlich ebenfalls Handlungsbedarf, aber auf der Anbieterseite liegen massenhaft Daten vor und Änderung lassen sich dort schneller und ohne großen Bedienkomfort umsetzten. Die entscheidende Frage dort wird wohl die Finanzierung sein.

  5. siehe http://www.usher.com/

    das wird kommen - kein Passwort mehr merken, nur Telefon mitnehmen - das reicht

    Reaktionen auf diesen Kommentar anzeigen

    Aus der Werbung von der Webseite: "Your Usher Code proves you are Barack Obama. You may start the nuclear missiles now". Ganz ohne Augenoperation, mit einem einfachen Trojaner.

  6. ich habe die gleichen Bedenken hinsichtlich vertauenwürdiger Identititätsdiensten. Wurde nicht kürzlich bekannt das so ein vertauenswürdiges Unternehmen, das Zertifikate für Regierungen ausgestellt hatte, mit einfachsten Mittel ausspioniert wurde!

    Das klassische Passwort wird beibehalten bis wir eine biometrische Lösung des Problems angeboten bekommen. Aber Achtung, mit dem neuen biometrischen Pass oder Personalausweis sind diese Informationen ja auch in irgendeiner Weise schon mal auf einem staatlichen Server abgelegt, der wahrscheinlich auch nur mit einem klassischen Passwort versehen ist.

    Wenn Internet Banking dann per HBCI, kein PayPal und falls es nicht zu umgehen ist im Internet zu shoppen, für jeden Kauf einen neuen User anzulegen und nur für diesen einen Kauf ein simples einmaliges Passwort zu vergeben. Dazu noch regelmäßig alle Cookies vom Rechner zu löschen. Auch wenn das

    Eine Leserempfehlung

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Google | Bluetooth | Facebook | Linux | Passwort | Twitter
Service