Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll. © Taller de Imagen (TDI) / Cover / Getty Images

Wer sich ein neues Passwort ausdenkt, geht jedes Mal eine Wette ein. Er wettet gegen die wachsende Rechenleistung und den Erfindergeist potenzieller Angreifer. Mit jedem neuen Konto gilt es deshalb, sich ein möglichst kryptisches Passwort auszudenken, zu merken und nach einiger Zeit zu ändern. Das Passwort ist der Ausgangspunkt jeder Sicherheitsstrategie im Netz. Aber die Anforderungen daran sind so hoch wie nie.

Anders als in den Anfangszeiten des Internets schützen Nutzer heute nicht nur ihr E-Mail-Konto und ihren Internetzugang, sondern eine Vielzahl an Diensten wie Facebook, Twitter, Spotify und vielleicht auch noch die AppleID. Wer darüber hinaus noch Wert auf die Verschlüsselung der Festplatte und weitere Sicherheitsmaßnahmen legt, kommt leicht auf noch mehr Passphrasen, die es sich zu merken gilt. Sie alle zu verwalten, ist mit herkömmlichen Methoden kaum noch möglich, zumindest aber umständlich.

Das zeigt auch eine aktuelle Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Demnach wissen zwar 70 Prozent der Deutschen, dass ein sicheres Passwort aus willkürlich zusammengewürfelten kleinen und großen Buchstaben, Zahlen und Sonderzeichen besteht. Oder, wie es bei Twitter scherzhaft heißt, "Ihr Passwort muss Großbuchstaben, Zahlen, Satzzeichen, das Zeichen einer Gang, ein ausgestorbenes Säugetier und Hieroglyphen enthalten."

Viele nutzen das eine ausgedachte Passwort aber einfach zur Absicherung mehrerer Konten. Wird es von einem Angreifer erraten, hat der sofort Zugriff auf alles.

Die neuen Konzepte sind bei Unternehmen schon bekannt

Seit Twitter am vergangenen Wochenende 250.000 Nutzer auffordern musste, ihre Passwörter zu ändern, stellen sich auch große IT-Firmen die Metafrage: Welche Sicherheit können einfache Passwörter überhaupt noch garantieren? Google denkt bereits darüber nach, wie man das ganze Konzept überarbeiten könnte.

Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwörter geben – sie helfen nichts, wenn der Server des Anbieters gehackt wird. Auch gegen die Weitergabe von Passwörtern durch Mitarbeiter kann sich ein Unternehmen nie vollständig schützen. Neue Ideen zur Netzsicherheit sind daher gefragt.

Die neuen Konzepte sind aber eigentlich alt. Bislang wurden sie vor allem in Unternehmen eingesetzt. Eines davon ist die sogenannte Two-Factor-Authentication. Statt wie bisher nur ein Passwort für den Zugang zu verwenden, braucht man bei diesem Konzept zwei Schlüssel: einen, den sich man sich merkt – also das Passwort – und einen, den man auf dem eigenen Rechner besitzt. Der Zugang zu einem Dienst wird damit an ein bestimmtes Gerät gekoppelt.

Die neuen Ideen sind längst da

Google setzt bei Gmail seit einiger Zeit auf dieses Konzept, Facebook ebenso. Wer dort die Two-Factor-Authentication einstellt, wird bei der Anmeldung nicht nur auf sein Passwort, sondern auch auf seinen Rechner hin überprüft. So können Angreifer auch mit einem gehackten Passwort nicht ohne Weiteres an das Konto gelangen. Twitter denkt mittlerweile ebenfalls darüber nach, die Two-Factor-Authentication einzuführen.

Aber auch bei diesem Konzept müssen sich Nutzer weiter für jedes Konto ein Passwort merken. Google will deshalb Hardware-Schlüssel, sogenannte Token, einführen. Ein solcher Schlüssel könnte beispielsweise ein Ring oder ein USB-Stick sein, der Passwörter speichert und bei Bedarf an den Rechner übermittelt; etwa per NFC oder Bluetooth. Der Nutzer müsste sich damit überhaupt kein Passwort mehr merken. Was passiert, wenn der Ring verloren geht, ist aber noch unklar. Denkbar wäre aber – wie im richten Leben – einen Sperrcode oder Ersatzschlüssel bereitzustellen. Auch dieser Ansatz wird von einigen Unternehmen bereits heute genutzt.

Passwort auf Knopfdruck

Mit der Firma Yubico ist Google ebenfalls im Gespräch. Yubico vertreibt einen Token namens Yubikey. Der fingernagelgroße USB-Stick erzeugt auf Knopfdruck einen 32-stelligen Schlüssel und kann über entsprechende Schnittstellen in nahezu jede Anwendung integriert werden, zum Beispiel in die Blogging-Software Wordpress. Der Yubikey läuft unter Mac, Windows und Linux und kostet knapp 25 Euro.

Die Alternative sind Passwort-Manager wie zum Beispiel das Open-Source-Programm KeePass. Open Source heißt, jeder kann den Programmcode auf Schwächen oder Hintertüren überprüfen. KeePass kann große Passwörter generieren, verschlüsselt die Datenbank auf dem Rechner und ruft die Passwörter bei Bedarf ab. Der Nutzer muss sich nur ein einziges starkes Passwort ausdenken, um auf das Programm zugreifen zu können. Außerdem gibt es KeePass für iPhone und Android-Geräte. Wer mag, kann KeePass auch auf einen USB-Stick auslagern und so seine Passwörter komplett vom Rechner trennen.

Wer keinen Passwort-Manager benutzen möchte, sollte über die Anschaffung eines Gedächtnistrainer-Programms nachdenken – um sich die vielen verschiedenen Passwörter dauerhaft merken zu können.