InternetkriminalitätDas Zeitalter des Passworts neigt sich dem Ende zu

Das Passwort ist die Versicherung im Netz – vor modernen Angriffen bietet es dennoch kaum Schutz. Google und andere Firmen tüfteln bereits an einer passwortfreien Welt. von 

Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll.

Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll.  |  © Taller de Imagen (TDI) / Cover / Getty Images

Wer sich ein neues Passwort ausdenkt, geht jedes Mal eine Wette ein. Er wettet gegen die wachsende Rechenleistung und den Erfindergeist potenzieller Angreifer. Mit jedem neuen Konto gilt es deshalb, sich ein möglichst kryptisches Passwort auszudenken, zu merken und nach einiger Zeit zu ändern. Das Passwort ist der Ausgangspunkt jeder Sicherheitsstrategie im Netz. Aber die Anforderungen daran sind so hoch wie nie.

Anders als in den Anfangszeiten des Internets schützen Nutzer heute nicht nur ihr E-Mail-Konto und ihren Internetzugang, sondern eine Vielzahl an Diensten wie Facebook, Twitter, Spotify und vielleicht auch noch die AppleID. Wer darüber hinaus noch Wert auf die Verschlüsselung der Festplatte und weitere Sicherheitsmaßnahmen legt, kommt leicht auf noch mehr Passphrasen, die es sich zu merken gilt. Sie alle zu verwalten, ist mit herkömmlichen Methoden kaum noch möglich, zumindest aber umständlich.

Anzeige

Das zeigt auch eine aktuelle Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Demnach wissen zwar 70 Prozent der Deutschen, dass ein sicheres Passwort aus willkürlich zusammengewürfelten kleinen und großen Buchstaben, Zahlen und Sonderzeichen besteht. Oder, wie es bei Twitter scherzhaft heißt, "Ihr Passwort muss Großbuchstaben, Zahlen, Satzzeichen, das Zeichen einer Gang, ein ausgestorbenes Säugetier und Hieroglyphen enthalten."

Viele nutzen das eine ausgedachte Passwort aber einfach zur Absicherung mehrerer Konten. Wird es von einem Angreifer erraten, hat der sofort Zugriff auf alles.

Die neuen Konzepte sind bei Unternehmen schon bekannt

Seit Twitter am vergangenen Wochenende 250.000 Nutzer auffordern musste, ihre Passwörter zu ändern, stellen sich auch große IT-Firmen die Metafrage: Welche Sicherheit können einfache Passwörter überhaupt noch garantieren? Google denkt bereits darüber nach, wie man das ganze Konzept überarbeiten könnte.

Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwörter geben – sie helfen nichts, wenn der Server des Anbieters gehackt wird. Auch gegen die Weitergabe von Passwörtern durch Mitarbeiter kann sich ein Unternehmen nie vollständig schützen. Neue Ideen zur Netzsicherheit sind daher gefragt.

Die neuen Konzepte sind aber eigentlich alt. Bislang wurden sie vor allem in Unternehmen eingesetzt. Eines davon ist die sogenannte Two-Factor-Authentication. Statt wie bisher nur ein Passwort für den Zugang zu verwenden, braucht man bei diesem Konzept zwei Schlüssel: einen, den sich man sich merkt – also das Passwort – und einen, den man auf dem eigenen Rechner besitzt. Der Zugang zu einem Dienst wird damit an ein bestimmtes Gerät gekoppelt.

Leserkommentare
  1. Heute könnte man leicht mit der eigebauten Webcam Gesichtserkennng machen. Auf den Facebook-Account könnte dann nur der Besitzer zugreifen, egal von wo.
    Der Kunde will aber auch gar nicht die 100%ige Sicherheit, die in mindestens 10% der Fälle dann den Account sperren lassen würde. Man will unkompliziert sicher stellen, dass nicht der Bruder oder Freund oder ein Unbekannter im Cyber Cafe mal eben neugierig durch die eigenen Seiten klickt. Und wirkliche Hacker haben kein Interesse an dem ganzen Krempel, der tagtäglich durch die sozialen Netzwerke wabert. Völlig belanglos.
    Facebook will, dass nur tatsächliche Personen online sind, weil sie das Ziel der Werbestrategien, also der Einnahmengenerierung, sind. Darum geht es.

    2 Leserempfehlungen
  2. Wozu sollte ich denn ein E-Mailkonto oder einen Account irgendeines beliebigen Forums mit was anderem absichern, als einem schnöden Passwort? Ich will mich auch überall separat anmelden müssen. Somit ist sicher, daß wenn einziger Account geknackt wurde, die anderen noch sicher sind. Habe ich eine Generalauthentifizierung, habe ich ein echtes Problem, wenn die jemand geknackt hat. 100%ige Sicherheit gibt es nicht, von daher ist es keine Frage ob, sondern nur wann jedes Verfahren geknackt wird (oder eine Möglichkeit gefunden wird, das Verfahren zu umgehen).

    2 Leserempfehlungen
    • MrWho
    • 05. Februar 2013 21:42 Uhr

    "Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwörter geben – sie helfen nichts, wenn der Server des Anbieters gehackt wird."

    Wenn der Server des Anbieters gehackt wurde, sprich auf Daten auch ohne Authentifizierung zugegriffen werden kann, versagen ALLE Authentifizierungsverfahren, ausnahmslos.

    Ich bin froh, dass dann höchstens auf ein Pseudonym (Username) und dessen Passwort zugegriffen werden kann, nicht z.B. auf meinen Fingerabdruck-Hash, der bedeutend mehr Missbrauch zulässt.

    Bindung an IP oder einen Rechner-Schlüssel möchte ich nicht, ebenfalls aus Gründen des Datenschutz und möglicher Migration auf Neuanschaffungen.

    Token auf USB-Sticks o.ä. kann man auch einfach wieder Base64-codieren und als in KeePass (oder Firefox Password Manager) hinterlegtes starkes Passwort benutzen, das läutet also nicht wirklich das Ende der Passwörter/Credentials ein. Wenn man es sich sowieso nicht merken können soll, spielt die Länge keine Rolle mehr.

    SPNEGO (Kerberos) Tickets werden im Web auch Base64-codiert übertragen.

    2 Leserempfehlungen
    • Tetsu
    • 05. Februar 2013 22:14 Uhr

    Ein Passwort muss nicht über kompliziert sein nur nicht ganz einfach zu erraten (Name+ Geburtsdatum oder 1234 gehen natürlich gar nicht) viel wichtiger ist die Einzigartigkeit - Passwörter werden nur selten geknackt in den meisten fällen sind sie schlicht und ergreifend bekannt.

    Zum Merken der Passwörter gibt es schon eine ganze Reihe Gadgets (auch rein mechanische oder selbst baubare) für die man nur ein einziges Master Passwort braucht, die aber in erster Linie dadurch sicher sind das man sie nicht weitergibt (klar, wenn jemand bei mir einbricht, weis wo ich es versteckt habe, es als das was es ist erkennen kann und noch entschlüsselt, hat er auch was er wollte - aber da ist es vermutlich tatsächlich einfacher den Server zu hacken)...

    Würde mir hier nicht so nen Kopf machen, sondern eher bei den kleinen den Bau eines eigenen Passwortspeichers in den Unterricht einschieben - haben sie einigen Aufwand in den Bau gesteckt, bestehen gute Chancen dass sie es auch am Ende nutzen.

    • Hermez
    • 05. Februar 2013 23:34 Uhr

    Am besten noch direkt in die Haut implantiert. Ein Ring soll uns wohl schon langsam darauf vorbereiten, oder was?
    Damit die Anbieter auch immer gaaaanz genau wissen, wer da am anderen Ende des Kabels sitzt.
    Naja, ich würd`s so machen, wenn ich so etwas vorhätte..:)

    2 Leserempfehlungen
    • pylades
    • 05. Februar 2013 23:46 Uhr

    Liebe ZO-Redaktion,

    ein Fehler im letzten Absatz, erste Artikelseite:

    "Die neuen Konzepte sind aber eigentlich alt. Bislang wurden sie vor allem in Unternehmens eingesetzt."

    Nur Unternehmen, weg mit dem Genitiv-S.

    • Sikasuu
    • 06. Februar 2013 1:23 Uhr

    a. der Anbieter regelrecht arbeitet. Verschlüsselung, Salt...... Schadowpasswd.....
    .
    und
    b. etwas formale Logik nutzt!

    Jeder Mensch besitzt "viele" unvergessbare Passpharsen im Kopf.
    .
    Hier mal eine:
    "Hänschen klein ging allein, in die weite Welt hinein" wird niemand vergessen.
    .
    "!"§$hÄnschenkLeingIngaLlein,iNdIewEitewElthInein()=?" ist fast nicht knackbar.
    .
    oder
    "Hänschen!klein§ging$allein%in&die/weite(Welt)hinein="
    .
    "!"HkgaidwWh#§"
    .
    Fazit: aus der gleichen Passphrase kann ich mit ein wenig Systematik 10-2048 Zeichen lange Passwörter/Passphrasen bauen, die "fast" unknackbar sind, angepasst an die verschiedenen Sicherheitlevel.
    .
    Wenn die Gegenstelle nicht pfuscht, und ich sicher Verbindungen zum Login benutze.
    .
    Über Keys z.B. bei ssh usw. PGP.....will ich hier gar nicht reden.
    .
    So lange Systeme auf Sicherheit ausgelegt sind und entsprechend gewartet werden, ist ein Zugriff von aussen relativ gut ab zu blocken.
    .
    Wenn natürlich ein "Keylogger" die Tasten abfragt nützt das alles nichts. Dann nützen auch Tix-Card, E-Perso und soweiter recht wenig.
    .
    Ein einmal kompromitiertes System ist eine "böse Falle"
    .
    Sicherheitsprobleme sitzen fast IMMER vor der Tastatur,
    als ROOT am Server, aber auch auf der USER Seite.
    .
    Meint
    Sikasuu
    .
    Ps.
    "Chef, wir müssen unsere IT sicherer machen!"
    "Wieso?? Ist was passiert?"
    "Nein noch nicht, aber es könnte was passieren!"
    "Hören sie doch auf mit dieser Sch...haus-Parolen,
    die IT als unproduktive Abteilung ist jetzt schon zu teuer!"

    Reaktionen auf diesen Kommentar anzeigen
    • Oyamat
    • 07. Februar 2013 10:03 Uhr

    "Jeder Mensch besitzt "viele" unvergessbare Passpharsen im Kopf."
    Und wieviele darf er ausprobieren, bevor das System ihn als Betrüger brandmarkt?
    Ich habe ungefähr 50 Passworte im Kopf, aber welchen für welchen Dienst erforderlich ist... das kann manchmal schwer zu rekonstruieren sein, vor allem, wenn man einen Dienst mal ein, zwei Jahre nicht gebraucht hat.

    MGv Oyamat

    • Acrux
    • 06. Februar 2013 3:36 Uhr

    Koennte mich mal jemand ueber den Mechanismus aufklaeren, nach denen ein Passwort angeblich "altert"?

    Reaktionen auf diesen Kommentar anzeigen

    Zum Beispiel das heutzutage noch vielfach verwendete DES Verfahren zum Verschlüsseln von UNIX Passwörtern erzeugt nur 2^56 verschiedene Schlüssel. Eine Passwortänderung bedeutet, dass man die Berechnung nochmal von vorne beginnen muss - es sei denn, man speichert alle berechneten Schlüssel ab. Was kostet ein TB im Laden? Gibt es bei 100 TB Rabatt? DES ist also auch nicht mehr sicher, deswegen nimmt man bei neueren System SHA-256 oder SHA-512. Wie oben gesagt, auch nicht unknackbar. OTP ist wohl die beste Wahl.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Google | Bluetooth | Facebook | Linux | Passwort | Twitter
Service