INTERNET

INTERNETKRIMINALITT

Das Zeitalter des Passworts neigt sich dem Ende zu

Das Passwort ist die Versicherung im Netz vor modernen Angriffen bietet es dennoch kaum Schutz. Google und andere Firmen tfteln bereits an einer passwortfreien Welt.
VON Johannes

Wendt | 05. Februar 2013 - 19:11 Uhr

Taller de Imagen (TDI) / Cover / Getty Images

Google arbeitet an einem Ring, der zuknftig als Passwortersatz dienen soll.

Wer sich ein neues Passwort ausdenkt, geht jedes Mal eine Wette ein. Er wettet gegen die wachsende Rechenleistung und den Erfindergeist potenzieller Angreifer. Mit jedem neuen Konto gilt es deshalb, sich ein mglichst kryptisches Passwort auszudenken, zu merken und nach einiger Zeit zu ndern. Das Passwort ist der Ausgangspunkt jeder Sicherheitsstrategie im Netz. Aber die Anforderungen daran sind so hoch wie nie. Anders als in den Anfangszeiten des Internets schtzen Nutzer heute nicht nur ihr EMail-Konto und ihren Internetzugang, sondern eine Vielzahl an Diensten wie Facebook , Twitter, Spotify und vielleicht auch noch die AppleID. Wer darber hinaus noch Wert auf die Verschlsselung der Festplatte und weitere Sicherheitsmanahmen legt , kommt leicht auf noch mehr Passphrasen, die es sich zu merken gilt. Sie alle zu verwalten, ist mit herkmmlichen Methoden kaum noch mglich, zumindest aber umstndlich. Das zeigt auch eine aktuelle Umfrage im Auftrag des Bundesamts fr Sicherheit in der Informationstechnologie (BSI). Demnach wissen zwar 70 Prozent der Deutschen, dass ein sicheres Passwort aus willkrlich zusammengewrfelten kleinen und groen Buchstaben, Zahlen und Sonderzeichen besteht. Oder, wie es bei Twitter scherzhaft heit , "Ihr Passwort muss Grobuchstaben, Zahlen, Satzzeichen, das Zeichen einer Gang, ein ausgestorbenes Sugetier und Hieroglyphen enthalten."
1

INTERNET
Viele nutzen das eine ausgedachte Passwort aber einfach zur Absicherung mehrerer Konten. Wird es von einem Angreifer erraten, hat der sofort Zugriff auf alles. Die neuen Konzepte sind bei Unternehmen schon bekannt Seit Twitter am vergangenen Wochenende 250.000 Nutzer auffordern musste, ihre Passwrter zu ndern, stellen sich auch groe IT-Firmen die Metafrage: Welche Sicherheit knnen einfache Passwrter berhaupt noch garantieren? Google denkt bereits darber nach, wie man das ganze Konzept berarbeiten knnte. Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwrter geben sie helfen nichts, wenn der Server des Anbieters gehackt wird. Auch gegen die Weitergabe von Passwrtern durch Mitarbeiter kann sich ein Unternehmen nie vollstndig schtzen. Neue Ideen zur Netzsicherheit sind daher gefragt. Die neuen Konzepte sind aber eigentlich alt. Bislang wurden sie vor allem in Unternehmen eingesetzt. Eines davon ist die sogenannte Two-Factor-Authentication . Statt wie bisher nur ein Passwort fr den Zugang zu verwenden, braucht man bei diesem Konzept zwei Schlssel: einen, den sich man sich merkt also das Passwort und einen, den man auf dem eigenen Rechner besitzt. Der Zugang zu einem Dienst wird damit an ein bestimmtes Gert gekoppelt. Google setzt bei Gmail seit einiger Zeit auf dieses Konzept, Facebook ebenso. Wer dort die Two-Factor-Authentication einstellt , wird bei der Anmeldung nicht nur auf sein Passwort, sondern auch auf seinen Rechner hin berprft. So knnen Angreifer auch mit einem gehackten Passwort nicht ohne Weiteres an das Konto gelangen. Twitter denkt mittlerweile ebenfalls darber nach, die Two-Factor-Authentication einzufhren . Aber auch bei diesem Konzept mssen sich Nutzer weiter fr jedes Konto ein Passwort merken. Google will deshalb Hardware-Schlssel, sogenannte Token, einfhren . Ein solcher Schlssel knnte beispielsweise ein Ring oder ein USB-Stick sein, der Passwrter speichert und bei Bedarf an den Rechner bermittelt; etwa per NFC oder Bluetooth. Der Nutzer msste sich damit berhaupt kein Passwort mehr merken. Was passiert, wenn der Ring verloren geht, ist aber noch unklar. Denkbar wre aber wie im richten Leben einen Sperrcode oder Ersatzschlssel bereitzustellen. Auch dieser Ansatz wird von einigen Unternehmen bereits heute genutzt. Passwort auf Knopfdruck Mit der Firma Yubico ist Google ebenfalls im Gesprch. Yubico vertreibt einen Token namens Yubikey . Der fingernagelgroe USB-Stick erzeugt auf Knopfdruck einen 32stelligen Schlssel und kann ber entsprechende Schnittstellen in nahezu jede Anwendung integriert werden, zum Beispiel in die Blogging-Software Wordpress . Der Yubikey luft unter Mac, Windows und Linux und kostet knapp 25 Euro.
2

INTERNET
Die Alternative sind Passwort-Manager wie zum Beispiel das Open-Source-Programm KeePass . Open Source heit, jeder kann den Programmcode auf Schwchen oder Hintertren berprfen. KeePass kann groe Passwrter generieren, verschlsselt die Datenbank auf dem Rechner und ruft die Passwrter bei Bedarf ab. Der Nutzer muss sich nur ein einziges starkes Passwort ausdenken, um auf das Programm zugreifen zu knnen. Auerdem gibt es KeePass fr iPhone und Android-Gerte. Wer mag, kann KeePass auch auf einen USB-Stick auslagern und so seine Passwrter komplett vom Rechner trennen. Wer keinen Passwort-Manager benutzen mchte, sollte ber die Anschaffung eines Gedchtnistrainer-Programms nachdenken um sich die vielen verschiedenen Passwrter dauerhaft merken zu knnen.
COPYRIGHT:

ZEIT ONLINE

ADRESSE: http://www.zeit.de/digital/internet/2013-02/passwort-datensicherheit