Allgemein

Der Traum vom Internet ohne Passwörter

06.06.2022 • 12:45 Uhr / 7 Minuten Lesezeit
Apple, Google und Microsoft arbeiten am passwortlosen Internet
Apple, Google und Microsoft arbeiten am passwortlosen Internet (c) IMAGO/ZUMA Wire (IMAGO/La Nacion)

Große IT-Konzerne arbeiten daran, Passwörter obsolet zu machen.

Mindestens zehn Buchstaben, Groß- und Kleinschreibung sollen vorkommen, ebenso wie Zahlen und Sonderzeichen: Ein sicheres Passwort zu finden und sich dieses auch noch zu merken, ist inzwischen eine echte Denksportaufgabe. Noch dazu raten alle Experten, unterschiedliche Passwörter für jedes Online-Angebot zu nutzen, für das man sich registriert. Selbst die gewieftesten Gedächtnisakrobaten geraten da irgendwann an ihre Grenzen.

Natürlich gibt es Passwort-Manager-Apps, in denen man die unterschiedlichen Kennwörter ablegen kann. Oder man hat ein kleines Buch mit den zahlreichen Zeichenkombinationen. Doch viel zu oft verwenden Internetnutzer nur eine Handvoll Passwörter, vielleicht überhaupt nur eines, für ganz viele Internetangebote. Ein gefundenes Fressen für Online-Gauner. Erbeuten Hacker nur auf einer Internetplattform das Passwort, können sie sich auch bei den anderen Webseiten anmelden. Solche Identitätsdiebstähle sind inzwischen so häufig, dass es einen regelrechten Schwarzmarkt für gestohlene Passwörter gibt.

Internet ohne Passwörter

Nicht nur für Nutzer, auch für Internetunternehmen, ist dieser Zustand alles andere als optimal. Deshalb haben die Unternehmen Agnitio, Infineon, Lenovo, Nok Nok Labs, PayPal und Validity Sensors im Jahr 2012 die Fido-Allianz ins Leben gerufen, um einen einheitlichen Standard für Authentifizierung im Internet zu schaffen. Seither sind nahezu alle großen Konzerne aus IT und Finanz der Allianz beigetreten.

Ein erster Erfolg war die Ausrollung der 2-Faktor-Authentifizierung, bei der man sich nur mit einer Bestätigung auf einem zweiten Gerät auf einer Internetseite anmelden kann. Die meisten kennen das Prinzip von ihrem E-Banking, in das man nur noch mittels Bestätigung via App oder SMS einsteigen kann. Die Fido-Allianz will aber weiter gehen und hat dafür ein asymmetrisches Verschlüsselungsverfahren entwickelt.

Asymetrische Verschlüsselung

Die Asymmetrische Verschlüsselung ist ein kryptografisches Verfahren zum sicheren Austausch von Informationen.

Im Unterschied zu einem normalen Passwortschutz mit nur einem Kennwort gibt es hier zwei digitale Schlüssel. Ein Schlüssel ist öffentlich, für jeden sichtbar. Er dient dem Gegenüber zur Verschlüsselung der Botschaft. Entschlüsselt werden kann diese nur mit dem zweiten Schlüssel, der privat ist und den idealerweise nur der Adressat kennt.

Diese Form der Verschlüsselung kann inzwischen in zahlreichen Anwendungen verwendet werden, wie Messengerprogramme, E-Mail, beim sicheren Surfen über HTTPS oder auch bei Kryptowährungen.

Dabei bekommt jeder Nutzer einen Code, einen privaten Schlüssel, der einzigartig ist und eindeutig nur einem Nutzer gehört. “Dieser private Schlüssel ist in einem Hardware-Element verbaut”, erklärt Arne Tauber, Forscher an der TU Graz. “Das kann ein USB-Stick sein, ein NFC-Chip oder ein Smartphone. Dieser Schlüssel, der Fido-Token, existiert nur am Handy oder dem USB-Stick.” Zum Einloggen im Internet brauche man nur noch das Handy oder den Stick. Der Login wird dann mittels Fingerabdruck oder Gesichtsscan freigegeben. “Es ist am ehesten mit der Bankomatkarte zu vergleichen. Nur wer Karte und Code hat, bekommt Zugriff”, sagt Tauber.

Doch wie bei der Bankomatkarte gilt auch hier: Wer sein Handy oder den USB-Stick verliert, ist damit auch den privaten Schlüssel los. Deshalb haben sich Apple, Google und Microsoft nun zusammengetan, um diese Schlüssel künftig sicher in der Cloud, also im Internet, speichern zu können. Damit wird auch die Nutzung dieses Verfahrens auf mehreren Geräten möglich, unabhängig von Hersteller oder Betriebssystem. Damit wollen die IT-Konzerne das Ende des Passworts einleiten.

Sicherer Zugang zu Behörden

Doch nicht nur IT-Konzerne arbeiten an einer Identifizierung im Internet ohne Passwort. Im Auftrag der Bundesregierung wird für die Behördenwege in Österreich ID Austria entwickelt, das diesen Prinzipien folge, erklärt Tauber, der in dem Projekt involviert ist. Sicherheit stehe hier an oberster Stelle, schließlich soll ID Austria ja auch die Möglichkeit beinhalten, Ausweise zu speichern.

Die Authentifizierung auf ID Austria laufe zwar technisch durchaus ähnlich ab wie Fido, ist aber wesentlich breiter und kann sogar auf einer Chipkarte gespeichert werden. “Es gibt viele Leute, die keine biometrischen Daten auf ihren Handys verwenden wollen oder sich gar nicht mit einem Smartphone wo einloggen wollen. Andere nutzten die ID Austria vielleicht nur beruflich und wollen sich nicht mit dem privaten Smartphone einloggen”, erklärt der Sicherheitsexperte.

Und Fido? “Ab Sommer wird man ID Austria auch mit einem Fido-Token, also ohne Passwort, nutzen können.” Stirbt das Passwort also wirklich bald aus? Tauber ist vorsichtig optimistisch. Man müsse nun abwarten, ob diese Weiterentwicklung von Fido wirklich hohe Sicherheitsstandards bietet. Bis dahin gilt: Weiterhin viele unterschiedliche Passwörter nutzen, mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Sicheres Passwort

Je komplizierter ein Passwort ist, desto sicherer ist es. Und desto schwerer kann man es sich leider merken.

Hier helfen Apps zum Verwalten von Passwörtern. Dort kann man für jede Webseite ganz leicht ein eigenes, sicheres Passwort erstellen. Doch die Apps werden auch selbst mit einem Passwort geschützt. Auch das sollte sicher sein.

Als Faustregel gilt: Ein sicheres Passwort sollte zumindest zehn Zeichen umfassen und dabei je mindestens einen Kleinbuchstaben, einen Großbuchstaben, eine Zahl und ein Sonderzeichen beinhalten.

Ein Merksatz, bei dem man jeweils die Anfangsbuchstaben nutzt, kann als Vorlage für ein Passwort dienen. Als Sonderzeichen eignen sich dann beispielsweise $ oder €, da sie ein “S” oder ein “E” ersetzen können. Ein “!” kann als verkehrtes “i” gesehen werden.