Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Digitale Gesellschaft

Das Passwort stirbt aus – hier ist meins

    Das Passwort stirbt aus – hier ist meins

Das Passwort stirbt aus. (Screenshot: Twitter)

Seit 2007 bin ich bei Twitter und habe seit damals mehr als 51.000 Tweets verfasst. Das Passwort für meinen Account lautet „christophermims“. Das wird allerdings niemandem helfen, meinen Zugang zu hacken. Ich möchte mit der Veröffentlichung vielmehr klarmachen, dass das Passwort endlich ausstirbt. Wenn wir es denn wollen.

Aber bevor ich erkläre, warum ich so zuversichtlich bin, dass das Passwort immer mehr an Bedeutung verlieren wird, sollten wir darüber reden, was bereits jetzt als Nachfolger eingesetzt wird – zumindest versuchsweise auf dem Firmencampus von Google: Gerätebasierte Authentifikation.

Google arbeitet an einem bislang noch namenlosen Protokoll, mit dem man sich mittels Smartphone auf jedem Gerät mit den eigenen Online-Accounts verbinden kann. Möglich wird das zum Beispiel mit einem Code, der einem zugesendet wird oder mit einem „intelligenten Klingelton“. Im Juni präsentierte Google ein mögliches Szenario, bei dem der Laptop eines Nutzers allein durch die bloße Anwesenheit seines Smartphones entsperrt werden kann. Auf den ersten Blick mag es unlogisch erscheinen, dass man ein Authentifizierungs-Token, das man im Kopf hat (Passwort) mit einem ersetzt, das man in der Tasche umherträgt (Smartphone). Aber lasst uns einmal darüber nachdenken: Das Passwort kann von Hackern entwendet werden. Ein Smartphone kann in dem Moment, in dem es abhandenkommt, gesperrt werden.

Wer ein iPhone oder eines der neueren Samsung-Geräte mit Android-Betriebssystem nutzt, der kann sein Telefon aus der Ferne sperren und sogar löschen. Selbst wenn sich ein Dieb des „Schlüssels“ zu den Accounts bemächtigen sollte, lässt er sich doch relativ einfach entschärfen. Außerdem ist das Smartphone ja selbst durch einen PIN oder einen Fingerabdrucksensor geschützt (oder sollte es zumindest sein).

Welche Dienste unterstützen Zwei-Faktor-Authentifizierung? Auf twofactorauth.org findet ihr eine Übersicht. (Screenshot: twofactorauth.org)
Welche Dienste unterstützen Zwei-Faktor-Authentifizierung? Auf twofactorauth.org findet ihr eine Übersicht. (Screenshot: twofactorauth.org)

Wer sich einen ersten Eindruck von einer Zukunft ohne Passwörter verschaffen will, der muss lediglich ein weit verbreitetes Sicherheitsfeature bei einem Webangebot aktivieren. Mehrere Internetgiganten bieten die Funktion an, darunter Google, Yahoo, Microsoft, Facebook, Twitter und noch ein Dutzend anderer Firmen. Trotzdem zeigen Umfragen, dass etwa die Hälfte der Leute bisher noch nichts davon gehört hat. Die Rede ist von der sogenannten Zwei-Faktor-Authentifizierung. Wer jemals an einem Bankautomaten Geld von seinem Konto abgehoben hat, der kennt das Prinzip bereits.

Passwörter sind eine fürchterliche Form der Ein-Faktor-Authentifizierung. Hier soll lediglich ein Passwort sicherstellen, dass man tatsächlich die Person ist, für die man sich ausgibt. Wer schon einmal gehört hat, dass lange und komplizierte Passwörter besser als kurze sind, den muss ich enttäuschen. Denn das stimmt nur ein bisschen. Der Grund dafür: Weil wir uns nur eine bestimmte Anzahl merken können, verwenden wir unsere Passwörter häufig für mehrere Accounts.

145 Millionen eBay-Passwörter

Google selbst äußert sich eigentlich nicht dazu. Aber man kann davon ausgehen, dass die meisten Hackangriffe auf Gmail-Konten dadurch zustande kommen, dass Hacker an Datenbanken mit Passwörtern von anderen Diensten gelangen – wie etwa die 145 Millionen Ebay-Passwörter, die vor einigen Wochen zirkulierten – und sie dann bei den E-Mail-Adressen ausprobieren, die damit verlinkt sind.

Seid einmal ehrlich: Nutzt ihr tatsächlich ein einzigartiges Passwort für jeden Zugang – sei es zum E-Mail-Account oder zur Website der eigenen Bank? Die meisten werden diese Frage vermutlich mit „Nein“ beantworten. Und das bedeutet, dass ein Großteil anfällig für Angriffe ist.

Zwei-Faktor-Authentifizierung hilft dabei, die Unsicherheit durch den Diebstahl von großen Datenbanken mit Passwörtern aus dem Weg zu räumen. Der erste Faktor ist dabei etwas, das man kennt – zum Beispiel ein Passwort oder eine PIN-Nummer. Der zweite Faktor ist etwas, das man besitzt. Im Fall eines Geldautomaten wäre das die Bankkarte.

Bei E-Mails und Bank-Accounts funktioniert die gerätebasierte Zwei-Faktor-Authentifizierung ein bisschen anders. Das, was man weiß, ist auch hier das Passwort. Aber was man besitzt ist keine Karte, sondern ein Smartphone. In der Regel funktioniert es so, dass man beim Versuch, sich anzumelden, nach einem (meist) sechsstelligen Zahlencode gefragt wird, der kurz zuvor per SMS aufs eigene Handy geschickt wurde. Weil sonst niemand auf der Welt die gleiche Telefonnummer hat und das internationale System zum Versand von Textmitteilungen laut Experten fast unmöglich zu hacken ist, ergibt sich aus dem Zusammenspiel eine viel sicherere Variante als nur bei einem Passwort.

Aber es kommt noch besser: Die Authentifizierung per SMS (oder in manchen Fällen per Smartphone-App, die den Vorteil hat, dass sie auch ohne Netzempfang funktioniert) ist so viel besser als nur ein Passwort, dass sie Passwörter praktisch überflüssig macht.

Auch Zwei-Faktor-Authentifizierung anfällig

„Es stimmt natürlich, dass selbst Zwei-Faktor-Authentifizierung anfällig ist.“

Es stimmt natürlich, dass selbst Zwei-Faktor-Authentifizierung anfällig ist. Allerdings hilft es dann auch nicht, wenn das eigene Passwort 256 Zeichen lang ist und ausschließlich aus Sonderzeichen besteht. In dem Fall sind acht Zeichen und der Begriff „Passwort“ genauso sicher beziehungsweise unsicher.

Das ist einer der Gründe, warum Firmen wie Telesign an Login-Systemen wie dem bei Google arbeiten, die komplett ohne Passwörter auskommen. Telesign stellt seine Zwei-Faktor-Authentifizierung laut Firmenchef Steve Jillings „neun der Top-10-Internetadressen“ bereit. Diese neuen Lösungen sollen noch in diesem Quartal vorgestellt werden, sagt Jillings. Wettbewerber wie Authy lassen Handys drahtlos Zwei-Faktor-Authentifizierungstoken an den Computer senden. Dadurch wird das Einloggen mit dieser Methode so einfach wie das Einloggen mit nur einem Passwort.

Das bedeutet natürlich nicht, dass Zwei-Faktor-Authentifizierung und sein Ableger, die etwas ältere gerätespezifische Authentifizierung, das Allheilmittel sind. (Daten-)Sicherheit ist ein Kriegsschauplatz. Je mehr Menschen sich den neuen Lösungen zuwenden, desto interessanter werden sie auch für Hacker. Bis sie eine Schwachstelle finden, dürfte es aber noch etwas dauern.

Wer ausprobieren möchte, wie eine Zukunft ohne dutzende unterschiedliche Passwörter aussieht, die man sich merken muss, sollte einfach anfangen, Zwei-Faktor-Authentifizierung bei den Accounts einzuschalten, die einem am meisten am Herzen liegen.

Mehr Technologie-News auf wsj.de

Von Christopher Mims

Ursprünglich publiziert bei wsj.de.

Finde einen Job, den du liebst zum Thema Twitter

13 Reaktionen
Johannes
Johannes

Hattet ihr nicht bereits einen Artikel, wie man schnell komplexe Passwörter, individuell für verschiedene Seiten generiert?

Das Prinzip: PasswortWebsiteVersionszahl
Beispiel: Passwortt3n1 ("Passwort" durch ein richtiges ersetzen)

Wer es noch komplizierter haben will ersetzt Buchstaben durch Sonderzeichen
Pa$$wortt3n1

Antworten
irgendeinem Spinner
irgendeinem Spinner

Was man unbedingt erwähnen sollte ist, dass die Alternativen zum klassischen Passwort rechtlich ein Problem haben.

Gesetzt den Fall man wird wegen irgendwas beschuldigt und eine Behörde interessiert sich für seine Daten, darf man in Deutschland nicht zur Aussage gezwungen werden. Das heißt im Klartext, du musst dein Passwort nicht rausrücken. Anders verhält sich das mit biometrischen Merkmalen, die Polizei darf dich durchaus zwingen deinen Finger auf das Lesegerät zu legen und wenn du dein Handy anhand biometrischer Merkmale entsperren kannst, können die mit deinem Handy eventuell wieder andere Geräte entsperren bzw. sich irgendwo einloggen.

Kurzum: Wer bereit ist sich etwas komplexere Passwörter zu merken, für den wird es auch in naher Zukunft keinen besseren Tresor geben als das eigene Hirn.

Antworten
Rodja Kleemann
Rodja Kleemann

Was ich nicht verstehe ist, wie man behaupten kann, das Passwort sterbe aus, und im gleichen Atemzug für die 2-Faktor-Authentifikation wirbt. Schließlich verlässt sich die 2-Faktor-Authentifikation auch auf "geheimes Wissen" - also auf ein Passwort!

Antworten
Peter
Peter

Und dann wirft man mal sein Smartphone aus Versehen in die Badewanne. Probiert doch dann mal, die Zwei-Faktor-Authentisierung mit einem kaputten Handy umzustellen ...

Antworten
Friedrich Oesch
Friedrich Oesch

Sie schreiben: "Es stimmt natürlich, dass selbst Zwei-Faktor-Authentifizierung anfällig ist. Allerdings hilft es dann auch nicht, wenn das eigene Passwort 256 Zeichen lang ist und ausschließlich aus Sonderzeichen besteht. In dem Fall sind acht Zeichen und der Begriff „Passwort“ genauso sicher beziehungsweise unsicher."

Das stimmt doch nicht! Wenn jemand meine SMSes abfängt ("Haben"-Teil der 2 Faktoren), was nicht sonderlich schwierig ist, dann braucht er eben doch genau noch das "Wissen", mein Passwort. Deshalb "2-Factor-Authentication".

Antworten
Björn
Björn

Gerätebasiert, zwei Faktoren, das ist alles schön und das ist alles gut, nur solange ich im Flugzeug an meinem Laptop arbeiten möchte und das System dann nicht funktioniert, weil es auf externe Dienste oder auf Funk angewiesen ist. Tut mir Leid, solange die Systeme da nicht Wasserdicht sind, sind sie nicht akzeptabel.

Antworten
Markus
Markus

Ich finde diese Betrachtungsweise sehr gefährlich, der Artikel verleitet weniger gut informierte Personen dazu beträchtliche Risiken einzugehen.
Wie der Name schon sagt, geht es um ZWEI Faktor Authentisierung, d.h. man braucht etwas, das man weiss, und etwas, das man hat. Nur wegen des Smartphones jetzt auf das "Wissenselement" zu verzichten, ist leichtsinnig.
Sollte der 2FA-Anbieter der Wahl geknackt werden (siehe Beispiel RSA), haben die Angreifer somit dann gleich kompletten Zugriff auf alle Konten, das möchte nun glaub' ich wirklich niemand.

Antworten
Anne
Anne

Schonmal im Urlaub in einem kleinen Internetcafé die E-Mails zu checken versucht? Da bist du mit gerätebasierter Authentifizierung aufgeschmissen.

Antworten
Rodja Kleemann
Rodja Kleemann

Hallo Anne,

an einem öffentlichen Rechner würde ich mein E-Mail-Account nun wirklich nicht aufrufen. Das Risiko, dass dort irgendwie meine Zugangsdaten mitgelesen werden, wäre mir zu groß. Schließlich weißt man nicht, was für Programme sich auf dem fremden Rechner tummeln und ob dort der Virenschutz genauso ernst genommen wird, wie von Ihnen.

Beste Grüße

Rodja

Antworten
MySEOSolution
MySEOSolution

Ich würd' mich nicht nur auf eine Methode verlassen, siehe

http://shubh.am/how-i-bypassed-2-factor-authentication-on-google-yahoo-linkedin-and-many-others/

Sowas kann halt immer mal vorkommen.

Viele Grüße
Pascal

Antworten
Marcel
Marcel

@Andreas
Offensichtlich benutzt du immer das selbe Passwort oder nutzt max. 5 Dienste. Sollte man erst bei verschiedenen Websiten angemeldet, mehrere E-Mail-Adressen, iTunes-Account etc. besitzen sind es nicht einfach nur "ein paar Zeichen". Zumindest wenn man immer ein neues Passwort benutzt.

Antworten
Andreas
Andreas

Das Passwort stirbt nicht aus... allerhöchstens wird die Auth-Varianten optional integriert. Ich erkenne den Sinn für den Nutzer nicht... ist es so schwer sich ein paar Zeichen zu merken und die einzutippen? Für die Geheimdienste & Co. wäre das natürlich super praktisch!

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen