InternetkriminalitätDas Zeitalter des Passworts neigt sich dem Ende zu

Das Passwort ist die Versicherung im Netz – vor modernen Angriffen bietet es dennoch kaum Schutz. Google und andere Firmen tüfteln bereits an einer passwortfreien Welt. von 

Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll.

Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll.  |  © Taller de Imagen (TDI) / Cover / Getty Images

Wer sich ein neues Passwort ausdenkt, geht jedes Mal eine Wette ein. Er wettet gegen die wachsende Rechenleistung und den Erfindergeist potenzieller Angreifer. Mit jedem neuen Konto gilt es deshalb, sich ein möglichst kryptisches Passwort auszudenken, zu merken und nach einiger Zeit zu ändern. Das Passwort ist der Ausgangspunkt jeder Sicherheitsstrategie im Netz. Aber die Anforderungen daran sind so hoch wie nie.

Anders als in den Anfangszeiten des Internets schützen Nutzer heute nicht nur ihr E-Mail-Konto und ihren Internetzugang, sondern eine Vielzahl an Diensten wie Facebook, Twitter, Spotify und vielleicht auch noch die AppleID. Wer darüber hinaus noch Wert auf die Verschlüsselung der Festplatte und weitere Sicherheitsmaßnahmen legt, kommt leicht auf noch mehr Passphrasen, die es sich zu merken gilt. Sie alle zu verwalten, ist mit herkömmlichen Methoden kaum noch möglich, zumindest aber umständlich.

Anzeige

Das zeigt auch eine aktuelle Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Demnach wissen zwar 70 Prozent der Deutschen, dass ein sicheres Passwort aus willkürlich zusammengewürfelten kleinen und großen Buchstaben, Zahlen und Sonderzeichen besteht. Oder, wie es bei Twitter scherzhaft heißt, "Ihr Passwort muss Großbuchstaben, Zahlen, Satzzeichen, das Zeichen einer Gang, ein ausgestorbenes Säugetier und Hieroglyphen enthalten."

Viele nutzen das eine ausgedachte Passwort aber einfach zur Absicherung mehrerer Konten. Wird es von einem Angreifer erraten, hat der sofort Zugriff auf alles.

Die neuen Konzepte sind bei Unternehmen schon bekannt

Seit Twitter am vergangenen Wochenende 250.000 Nutzer auffordern musste, ihre Passwörter zu ändern, stellen sich auch große IT-Firmen die Metafrage: Welche Sicherheit können einfache Passwörter überhaupt noch garantieren? Google denkt bereits darüber nach, wie man das ganze Konzept überarbeiten könnte.

Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwörter geben – sie helfen nichts, wenn der Server des Anbieters gehackt wird. Auch gegen die Weitergabe von Passwörtern durch Mitarbeiter kann sich ein Unternehmen nie vollständig schützen. Neue Ideen zur Netzsicherheit sind daher gefragt.

Die neuen Konzepte sind aber eigentlich alt. Bislang wurden sie vor allem in Unternehmen eingesetzt. Eines davon ist die sogenannte Two-Factor-Authentication. Statt wie bisher nur ein Passwort für den Zugang zu verwenden, braucht man bei diesem Konzept zwei Schlüssel: einen, den sich man sich merkt – also das Passwort – und einen, den man auf dem eigenen Rechner besitzt. Der Zugang zu einem Dienst wird damit an ein bestimmtes Gerät gekoppelt.

Leserkommentare
  1. Siehe dieser sehr aufschlussreiche Comic auf xkcd:
    http://imgs.xkcd.com/comi...

    Variationen einzelner Teile der Passphrase können helfen, die Phrase für verschiedene Seiten zu individualisieren, ohne die theoretische Passwortstärke zu reduzieren.

    8 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Diese von XKCD geschilderte Methode zur Erzeugung von Passwörtern hat sicher Vorteile gegenüber der leider gar nicht unüblichen Variante, welcheim gleichen Comic kritisiert wird - doch ist sie keine Lösung für die Dutzenden von Passwörter, mit denen man heute üblicherweise so hantieren müsste, wenn man nicht wie leider sehr üblich, überall das gleiche Passwort einsetzt.

    KeePass ist ein gutes Tool, solange man nur einen PC nutzt, oder solange die Geräte, mit denen man so unterwegs ist, wenigstens über irgendeine Art von Webdrive synchronisiert sind (Dropbox und Co), damit man stets Zugriff auf die aktuellen Passwörter hat.

    Spätestens auf mobilen Geräten (Tablet, Smartphone) werden die Komforteinbußen bei der Nutzung eines solchen Tools aber derart hoch, daß das kein Mensch mehr benutzt. Copy&Paste und Taskswitching auf Handys und Tablets? Abtippen von 20, 30 oder gar mehr Zeichen Buchstaben+Ziffernsalat?

    Eine durch Token verstärkte 2-Phasen-Authentifizierung über einen vertrauenswürdigen Identitätsdienst ... viele Jahre nach dem Single-Sign-On und Open-ID-Hype auf der CeBit und in der Fachpresse setzt sich sowas vielleicht also doch mal so langsam durch.

    Doch verlagert sich das Problem hier: was ist ein vertrauenswürdiger Identitätsdienst? Google? Microsoft? Eine kleine OpenID-Klitsche?
    Oder Vater Staat, mit e-Perso & Co.?
    Was ist hier mit den Kosten, Sicherheit, Mißbrauch?

    Das Thema bleibt spannend, und das Ende des klassischen Passworts ist m.E. noch nicht absehbar.

    • Gestath
    • 06. Februar 2013 8:30 Uhr

    Direkt vor dem Lesen des Artikels beschloss ich einen Kommentar mit Keepass und eben diesem XKCD-Comic zu schreiben, beides hat sich jetzt erübrigt :-) Schön, dass vor allem der Comic einen so prominenten Platz gefunden hat.

    Wer KeePass nicht nutzen will könnte immer noch eine handschriftliche Passwortliste führen, so sicher wie die Server der meisten Anbieter ist das allemal …

    Was die Sache mit den gleichen Passwörtern angeht: Für Webshop 1–100 (gefühlt zumindest) habe ich auch nur eins, besonders gut ist das nicht, aber sehr praktisch.

    • Bodman
    • 06. Februar 2013 8:30 Uhr

    Es ist eine Krux, dass der xkcd - Comic (https://sslimgs.xkcd.com/...) noch immer als eine gute Anleitung durch die Foren geistert, ein sicheres Passwort zu erzeugen. Die in diesem Comic propagierte Methode ist nicht sicher!

    Die Kombination mehrerer Worte zu einem Passwort ergibt keinen signifikanten Zuwachs an Sicherheit. Die Rechenleistung heutiger Computer ist so hoch, dass ein so entstandenes Passwort einer Mischung aus Wörterbuchangriff und Brute-Force-Attacke nicht standhalten würde.

    Möchte man ein Passwort bilden indem man Worte kombiniert, ist es eben absolut notwendig, neben kleinen und Großbuchstaben auch Zahlen und Satzzeichen zu nutzen. Letztere machen einen Wörterbuchangriff unmöglich und erst dann entfalltet die Länge des Passwortes ihre Wirkung.

    Hier eine Zusammenfassung der wichtigsten Regeln: http://www.wired.com/gadg...

    Seh ich ganz genauso, allerdings aus einem anderen Grund.
    Ich kann problemslos ein einfaches PW nutzen,sollte allerdings nicht im Wörterbuch zu finden sein. Der Webseitenbetreiber muss bloß implementieren, dass nach 3 Loginversuchen 30s gewartet werden muss. Dann wieder nach 3 Loginversuchen 1 Minute .. usw
    wie zb bei Linux realisiert. Das ganze aber Account gebunden und nicht IP-gebunden. So kann auch keiner ein PW alla "H4n5Z" cracken. Oder seh ich da was falsch?

  2. Diese von XKCD geschilderte Methode zur Erzeugung von Passwörtern hat sicher Vorteile gegenüber der leider gar nicht unüblichen Variante, welcheim gleichen Comic kritisiert wird - doch ist sie keine Lösung für die Dutzenden von Passwörter, mit denen man heute üblicherweise so hantieren müsste, wenn man nicht wie leider sehr üblich, überall das gleiche Passwort einsetzt.

    KeePass ist ein gutes Tool, solange man nur einen PC nutzt, oder solange die Geräte, mit denen man so unterwegs ist, wenigstens über irgendeine Art von Webdrive synchronisiert sind (Dropbox und Co), damit man stets Zugriff auf die aktuellen Passwörter hat.

    Spätestens auf mobilen Geräten (Tablet, Smartphone) werden die Komforteinbußen bei der Nutzung eines solchen Tools aber derart hoch, daß das kein Mensch mehr benutzt. Copy&Paste und Taskswitching auf Handys und Tablets? Abtippen von 20, 30 oder gar mehr Zeichen Buchstaben+Ziffernsalat?

    Eine durch Token verstärkte 2-Phasen-Authentifizierung über einen vertrauenswürdigen Identitätsdienst ... viele Jahre nach dem Single-Sign-On und Open-ID-Hype auf der CeBit und in der Fachpresse setzt sich sowas vielleicht also doch mal so langsam durch.

    Doch verlagert sich das Problem hier: was ist ein vertrauenswürdiger Identitätsdienst? Google? Microsoft? Eine kleine OpenID-Klitsche?
    Oder Vater Staat, mit e-Perso & Co.?
    Was ist hier mit den Kosten, Sicherheit, Mißbrauch?

    Das Thema bleibt spannend, und das Ende des klassischen Passworts ist m.E. noch nicht absehbar.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    ich habe die gleichen Bedenken hinsichtlich vertauenwürdiger Identititätsdiensten. Wurde nicht kürzlich bekannt das so ein vertauenswürdiges Unternehmen, das Zertifikate für Regierungen ausgestellt hatte, mit einfachsten Mittel ausspioniert wurde!

    Das klassische Passwort wird beibehalten bis wir eine biometrische Lösung des Problems angeboten bekommen. Aber Achtung, mit dem neuen biometrischen Pass oder Personalausweis sind diese Informationen ja auch in irgendeiner Weise schon mal auf einem staatlichen Server abgelegt, der wahrscheinlich auch nur mit einem klassischen Passwort versehen ist.

    Wenn Internet Banking dann per HBCI, kein PayPal und falls es nicht zu umgehen ist im Internet zu shoppen, für jeden Kauf einen neuen User anzulegen und nur für diesen einen Kauf ein simples einmaliges Passwort zu vergeben. Dazu noch regelmäßig alle Cookies vom Rechner zu löschen. Auch wenn das

    • lestard
    • 05. Februar 2013 20:15 Uhr

    Im Text wird gesagt, dass das beste Passwort nichts nützt, wenn der Server des Anbieters gehackt wird. Das ist aber nur dann der Fall, wenn der Anbieter schlampig programmiert hat. Ein verantwortungsvoller Programmierer speichert Passwörter so, dass sie praktisch unknackbar sind, selbst wenn der Server gehackt wird. Das ist ansich auch nicht sonderlich schwierig umzusetzen, man muss sich nur an eine Handvoll einfacher Richtlinien halten.
    Man sollte den Firmen und Anbietern in dieser Hinsicht häufiger auf die Finger schauen

    3 Leserempfehlungen
  3. "Wer keinen Passwort-Manager benutzen möchte, sollte über die Anschaffung eines Gedächtnistrainer-Programms nachdenken – um sich die vielen verschiedenen Passwörter dauerhaft merken zu können."

    --- Sarkasmus? Es gibt auch Menschen, die nicht so viele verschiedene Internetdienste nutzen. Und Menschen mit gutem Gedächtnis.

    Oder Arroganz gegenüber "Technikverweigerern"?

    Dieser Schlusssatz hätte besser formuliert sein können.

    2 Leserempfehlungen
  4. Heute könnte man leicht mit der eigebauten Webcam Gesichtserkennng machen. Auf den Facebook-Account könnte dann nur der Besitzer zugreifen, egal von wo.
    Der Kunde will aber auch gar nicht die 100%ige Sicherheit, die in mindestens 10% der Fälle dann den Account sperren lassen würde. Man will unkompliziert sicher stellen, dass nicht der Bruder oder Freund oder ein Unbekannter im Cyber Cafe mal eben neugierig durch die eigenen Seiten klickt. Und wirkliche Hacker haben kein Interesse an dem ganzen Krempel, der tagtäglich durch die sozialen Netzwerke wabert. Völlig belanglos.
    Facebook will, dass nur tatsächliche Personen online sind, weil sie das Ziel der Werbestrategien, also der Einnahmengenerierung, sind. Darum geht es.

    2 Leserempfehlungen
  5. Wozu sollte ich denn ein E-Mailkonto oder einen Account irgendeines beliebigen Forums mit was anderem absichern, als einem schnöden Passwort? Ich will mich auch überall separat anmelden müssen. Somit ist sicher, daß wenn einziger Account geknackt wurde, die anderen noch sicher sind. Habe ich eine Generalauthentifizierung, habe ich ein echtes Problem, wenn die jemand geknackt hat. 100%ige Sicherheit gibt es nicht, von daher ist es keine Frage ob, sondern nur wann jedes Verfahren geknackt wird (oder eine Möglichkeit gefunden wird, das Verfahren zu umgehen).

    2 Leserempfehlungen
    • MrWho
    • 05. Februar 2013 21:42 Uhr

    "Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwörter geben – sie helfen nichts, wenn der Server des Anbieters gehackt wird."

    Wenn der Server des Anbieters gehackt wurde, sprich auf Daten auch ohne Authentifizierung zugegriffen werden kann, versagen ALLE Authentifizierungsverfahren, ausnahmslos.

    Ich bin froh, dass dann höchstens auf ein Pseudonym (Username) und dessen Passwort zugegriffen werden kann, nicht z.B. auf meinen Fingerabdruck-Hash, der bedeutend mehr Missbrauch zulässt.

    Bindung an IP oder einen Rechner-Schlüssel möchte ich nicht, ebenfalls aus Gründen des Datenschutz und möglicher Migration auf Neuanschaffungen.

    Token auf USB-Sticks o.ä. kann man auch einfach wieder Base64-codieren und als in KeePass (oder Firefox Password Manager) hinterlegtes starkes Passwort benutzen, das läutet also nicht wirklich das Ende der Passwörter/Credentials ein. Wenn man es sich sowieso nicht merken können soll, spielt die Länge keine Rolle mehr.

    SPNEGO (Kerberos) Tickets werden im Web auch Base64-codiert übertragen.

    2 Leserempfehlungen
    • Hermez
    • 05. Februar 2013 23:34 Uhr

    Am besten noch direkt in die Haut implantiert. Ein Ring soll uns wohl schon langsam darauf vorbereiten, oder was?
    Damit die Anbieter auch immer gaaaanz genau wissen, wer da am anderen Ende des Kabels sitzt.
    Naja, ich würd`s so machen, wenn ich so etwas vorhätte..:)

    2 Leserempfehlungen

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Google | Bluetooth | Facebook | Linux | Passwort | Twitter
Service