t3n News Digitales Leben

Das Passwort stirbt aus – hier ist meins

Das Passwort stirbt aus – hier ist meins

Seit 2007 bin ich bei und habe seit damals mehr als 51.000 Tweets verfasst. Das Passwort für meinen Account lautet „christophermims“. Das wird allerdings niemandem helfen, meinen Zugang zu hacken. Ich möchte mit der Veröffentlichung vielmehr klarmachen, dass das Passwort endlich ausstirbt. Wenn wir es denn wollen.

Das Passwort stirbt aus – hier ist meins

Das Passwort stirbt aus. (Screenshot: Twitter)

Aber bevor ich erkläre, warum ich so zuversichtlich bin, dass das Passwort immer mehr an Bedeutung verlieren wird, sollten wir darüber reden, was bereits jetzt als Nachfolger eingesetzt wird – zumindest versuchsweise auf dem Firmencampus von Google: Gerätebasierte Authentifikation.

Google arbeitet an einem bislang noch namenlosen Protokoll, mit dem man sich mittels Smartphone auf jedem Gerät mit den eigenen Online-Accounts verbinden kann. Möglich wird das zum Beispiel mit einem Code, der einem zugesendet wird oder mit einem „intelligenten Klingelton“. Im Juni präsentierte Google ein mögliches Szenario, bei dem der Laptop eines Nutzers allein durch die bloße Anwesenheit seines Smartphones entsperrt werden kann. Auf den ersten Blick mag es unlogisch erscheinen, dass man ein Authentifizierungs-Token, das man im Kopf hat (Passwort) mit einem ersetzt, das man in der Tasche umherträgt (Smartphone). Aber lasst uns einmal darüber nachdenken: Das Passwort kann von Hackern entwendet werden. Ein Smartphone kann in dem Moment, in dem es abhandenkommt, gesperrt werden.

Wer ein iPhone oder eines der neueren Samsung-Geräte mit Android-Betriebssystem nutzt, der kann sein Telefon aus der Ferne sperren und sogar löschen. Selbst wenn sich ein Dieb des „Schlüssels“ zu den Accounts bemächtigen sollte, lässt er sich doch relativ einfach entschärfen. Außerdem ist das Smartphone ja selbst durch einen PIN oder einen Fingerabdrucksensor geschützt (oder sollte es zumindest sein).

Welche Dienste unterstützen Zwei-Faktor-Authentifizierung? Auf twofactorauth.org findet ihr eine Übersicht. (Screenshot: twofactorauth.org)
Welche Dienste unterstützen Zwei-Faktor-Authentifizierung? Auf twofactorauth.org findet ihr eine Übersicht. (Screenshot: twofactorauth.org)

Wer sich einen ersten Eindruck von einer Zukunft ohne Passwörter verschaffen will, der muss lediglich ein weit verbreitetes Sicherheitsfeature bei einem Webangebot aktivieren. Mehrere Internetgiganten bieten die Funktion an, darunter Google, Yahoo, Microsoft, Facebook, Twitter und noch ein Dutzend anderer Firmen. Trotzdem zeigen Umfragen, dass etwa die Hälfte der Leute bisher noch nichts davon gehört hat. Die Rede ist von der sogenannten Zwei-Faktor-Authentifizierung. Wer jemals an einem Bankautomaten Geld von seinem Konto abgehoben hat, der kennt das Prinzip bereits.

Passwörter sind eine fürchterliche Form der Ein-Faktor-Authentifizierung. Hier soll lediglich ein Passwort sicherstellen, dass man tatsächlich die Person ist, für die man sich ausgibt. Wer schon einmal gehört hat, dass lange und komplizierte Passwörter besser als kurze sind, den muss ich enttäuschen. Denn das stimmt nur ein bisschen. Der Grund dafür: Weil wir uns nur eine bestimmte Anzahl merken können, verwenden wir unsere Passwörter häufig für mehrere Accounts.

145 Millionen eBay-Passwörter

Google selbst äußert sich eigentlich nicht dazu. Aber man kann davon ausgehen, dass die meisten Hackangriffe auf Gmail-Konten dadurch zustande kommen, dass Hacker an Datenbanken mit Passwörtern von anderen Diensten gelangen – wie etwa die 145 Millionen Ebay-Passwörter, die vor einigen Wochen zirkulierten – und sie dann bei den E-Mail-Adressen ausprobieren, die damit verlinkt sind.

Seid einmal ehrlich: Nutzt ihr tatsächlich ein einzigartiges Passwort für jeden Zugang – sei es zum E-Mail-Account oder zur Website der eigenen Bank? Die meisten werden diese Frage vermutlich mit „Nein“ beantworten. Und das bedeutet, dass ein Großteil anfällig für Angriffe ist.

Zwei-Faktor-Authentifizierung hilft dabei, die Unsicherheit durch den Diebstahl von großen Datenbanken mit Passwörtern aus dem Weg zu räumen. Der erste Faktor ist dabei etwas, das man kennt – zum Beispiel ein Passwort oder eine PIN-Nummer. Der zweite Faktor ist etwas, das man besitzt. Im Fall eines Geldautomaten wäre das die Bankkarte.

Bei E-Mails und Bank-Accounts funktioniert die gerätebasierte Zwei-Faktor-Authentifizierung ein bisschen anders. Das, was man weiß, ist auch hier das Passwort. Aber was man besitzt ist keine Karte, sondern ein Smartphone. In der Regel funktioniert es so, dass man beim Versuch, sich anzumelden, nach einem (meist) sechsstelligen Zahlencode gefragt wird, der kurz zuvor per SMS aufs eigene Handy geschickt wurde. Weil sonst niemand auf der Welt die gleiche Telefonnummer hat und das internationale System zum Versand von Textmitteilungen laut Experten fast unmöglich zu hacken ist, ergibt sich aus dem Zusammenspiel eine viel sicherere Variante als nur bei einem Passwort.

Aber es kommt noch besser: Die Authentifizierung per SMS (oder in manchen Fällen per Smartphone-App, die den Vorteil hat, dass sie auch ohne Netzempfang funktioniert) ist so viel besser als nur ein Passwort, dass sie Passwörter praktisch überflüssig macht.

Auch Zwei-Faktor-Authentifizierung anfällig

„Es stimmt natürlich, dass selbst Zwei-Faktor-Authentifizierung anfällig ist.“

Es stimmt natürlich, dass selbst Zwei-Faktor-Authentifizierung anfällig ist. Allerdings hilft es dann auch nicht, wenn das eigene Passwort 256 Zeichen lang ist und ausschließlich aus Sonderzeichen besteht. In dem Fall sind acht Zeichen und der Begriff „Passwort“ genauso sicher beziehungsweise unsicher.

Das ist einer der Gründe, warum Firmen wie Telesign an Login-Systemen wie dem bei Google arbeiten, die komplett ohne Passwörter auskommen. Telesign stellt seine Zwei-Faktor-Authentifizierung laut Firmenchef Steve Jillings „neun der Top-10-Internetadressen“ bereit. Diese neuen Lösungen sollen noch in diesem Quartal vorgestellt werden, sagt Jillings. Wettbewerber wie Authy lassen Handys drahtlos Zwei-Faktor-Authentifizierungstoken an den Computer senden. Dadurch wird das Einloggen mit dieser Methode so einfach wie das Einloggen mit nur einem Passwort.

Das bedeutet natürlich nicht, dass Zwei-Faktor-Authentifizierung und sein Ableger, die etwas ältere gerätespezifische Authentifizierung, das Allheilmittel sind. (Daten-)Sicherheit ist ein Kriegsschauplatz. Je mehr Menschen sich den neuen Lösungen zuwenden, desto interessanter werden sie auch für Hacker. Bis sie eine Schwachstelle finden, dürfte es aber noch etwas dauern.

Wer ausprobieren möchte, wie eine Zukunft ohne dutzende unterschiedliche Passwörter aussieht, die man sich merken muss, sollte einfach anfangen, Zwei-Faktor-Authentifizierung bei den Accounts einzuschalten, die einem am meisten am Herzen liegen.

Mehr Technologie-News auf wsj.de

Von Christopher Mims

Ursprünglich publiziert bei wsj.de.

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
13 Antworten
  1. von Andreas am 15.07.2014 (10:42 Uhr)

    Das Passwort stirbt nicht aus... allerhöchstens wird die Auth-Varianten optional integriert. Ich erkenne den Sinn für den Nutzer nicht... ist es so schwer sich ein paar Zeichen zu merken und die einzutippen? Für die Geheimdienste & Co. wäre das natürlich super praktisch!

    Antworten Teilen
  2. von Marcel am 15.07.2014 (11:03 Uhr)

    @Andreas
    Offensichtlich benutzt du immer das selbe Passwort oder nutzt max. 5 Dienste. Sollte man erst bei verschiedenen Websiten angemeldet, mehrere E-Mail-Adressen, iTunes-Account etc. besitzen sind es nicht einfach nur "ein paar Zeichen". Zumindest wenn man immer ein neues Passwort benutzt.

    Antworten Teilen
  3. von MySEOSolution am 15.07.2014 (11:13 Uhr)

    Ich würd' mich nicht nur auf eine Methode verlassen, siehe

    http://shubh.am/how-i-bypassed-2-factor-authentication-on-google-yahoo-linkedin-and-many-others/

    Sowas kann halt immer mal vorkommen.

    Viele Grüße
    Pascal

    Antworten Teilen
  4. von Anne am 15.07.2014 (13:02 Uhr)

    Schonmal im Urlaub in einem kleinen Internetcafé die E-Mails zu checken versucht? Da bist du mit gerätebasierter Authentifizierung aufgeschmissen.

    Antworten Teilen
    • von Rodja Kleemann am 16.07.2014 (11:16 Uhr)

      Hallo Anne,

      an einem öffentlichen Rechner würde ich mein E-Mail-Account nun wirklich nicht aufrufen. Das Risiko, dass dort irgendwie meine Zugangsdaten mitgelesen werden, wäre mir zu groß. Schließlich weißt man nicht, was für Programme sich auf dem fremden Rechner tummeln und ob dort der Virenschutz genauso ernst genommen wird, wie von Ihnen.

      Beste Grüße

      Rodja

      Antworten Teilen
  5. von Markus am 16.07.2014 (07:54 Uhr)

    Ich finde diese Betrachtungsweise sehr gefährlich, der Artikel verleitet weniger gut informierte Personen dazu beträchtliche Risiken einzugehen.
    Wie der Name schon sagt, geht es um ZWEI Faktor Authentisierung, d.h. man braucht etwas, das man weiss, und etwas, das man hat. Nur wegen des Smartphones jetzt auf das "Wissenselement" zu verzichten, ist leichtsinnig.
    Sollte der 2FA-Anbieter der Wahl geknackt werden (siehe Beispiel RSA), haben die Angreifer somit dann gleich kompletten Zugriff auf alle Konten, das möchte nun glaub' ich wirklich niemand.

    Antworten Teilen
  6. von Björn am 16.07.2014 (09:07 Uhr)

    Gerätebasiert, zwei Faktoren, das ist alles schön und das ist alles gut, nur solange ich im Flugzeug an meinem Laptop arbeiten möchte und das System dann nicht funktioniert, weil es auf externe Dienste oder auf Funk angewiesen ist. Tut mir Leid, solange die Systeme da nicht Wasserdicht sind, sind sie nicht akzeptabel.

    Antworten Teilen
  7. von Friedrich Oesch am 16.07.2014 (09:22 Uhr)

    Sie schreiben: "Es stimmt natürlich, dass selbst Zwei-Faktor-Authentifizierung anfällig ist. Allerdings hilft es dann auch nicht, wenn das eigene Passwort 256 Zeichen lang ist und ausschließlich aus Sonderzeichen besteht. In dem Fall sind acht Zeichen und der Begriff „Passwort“ genauso sicher beziehungsweise unsicher."

    Das stimmt doch nicht! Wenn jemand meine SMSes abfängt ("Haben"-Teil der 2 Faktoren), was nicht sonderlich schwierig ist, dann braucht er eben doch genau noch das "Wissen", mein Passwort. Deshalb "2-Factor-Authentication".

    Antworten Teilen
  8. von Peter am 16.07.2014 (09:24 Uhr)

    Und dann wirft man mal sein Smartphone aus Versehen in die Badewanne. Probiert doch dann mal, die Zwei-Faktor-Authentisierung mit einem kaputten Handy umzustellen ...

    Antworten Teilen
  9. von Rodja Kleemann am 16.07.2014 (11:11 Uhr)

    Was ich nicht verstehe ist, wie man behaupten kann, das Passwort sterbe aus, und im gleichen Atemzug für die 2-Faktor-Authentifikation wirbt. Schließlich verlässt sich die 2-Faktor-Authentifikation auch auf "geheimes Wissen" - also auf ein Passwort!

    Antworten Teilen
  10. von irgendeinem Spinner am 16.07.2014 (13:21 Uhr)

    Was man unbedingt erwähnen sollte ist, dass die Alternativen zum klassischen Passwort rechtlich ein Problem haben.

    Gesetzt den Fall man wird wegen irgendwas beschuldigt und eine Behörde interessiert sich für seine Daten, darf man in Deutschland nicht zur Aussage gezwungen werden. Das heißt im Klartext, du musst dein Passwort nicht rausrücken. Anders verhält sich das mit biometrischen Merkmalen, die Polizei darf dich durchaus zwingen deinen Finger auf das Lesegerät zu legen und wenn du dein Handy anhand biometrischer Merkmale entsperren kannst, können die mit deinem Handy eventuell wieder andere Geräte entsperren bzw. sich irgendwo einloggen.

    Kurzum: Wer bereit ist sich etwas komplexere Passwörter zu merken, für den wird es auch in naher Zukunft keinen besseren Tresor geben als das eigene Hirn.

    Antworten Teilen
  11. von Johannes am 18.07.2014 (10:10 Uhr)

    Hattet ihr nicht bereits einen Artikel, wie man schnell komplexe Passwörter, individuell für verschiedene Seiten generiert?

    Das Prinzip: PasswortWebsiteVersionszahl
    Beispiel: Passwortt3n1 ("Passwort" durch ein richtiges ersetzen)

    Wer es noch komplizierter haben will ersetzt Buchstaben durch Sonderzeichen
    Pa$$wortt3n1

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Twitter
Twitter: Jeder kann jetzt einen verifizierten Account beantragen
Twitter: Jeder kann jetzt einen verifizierten Account beantragen

Ab sofort kann jeder über ein Formular einen verifizierten Account mit blauem Haken bei Twitter beantragen. Doch es gibt Voraussetzungen. » weiterlesen

t3n-Daily-Kickoff: Twitter-Account von Twitter-CEO Jack Dorsey gehackt
t3n-Daily-Kickoff: Twitter-Account von Twitter-CEO Jack Dorsey gehackt

Dorseys Twitter-Account gehackt, Uber macht auf Waffengewalt aufmerksam und Facebook-Posts in mehreren Sprachen verfassen. » weiterlesen

Otherside: So kannst du die Timeline beliebiger Twitter-Nutzer sehen
Otherside: So kannst du die Timeline beliebiger Twitter-Nutzer sehen

Mit dem kleinen Web-Tool Otherside können Twitter-Nutzer die Timeline beliebiger anderer Nutzer einsehen. Otherside erstellt dazu eine Twitter-Liste mit allen Accounts, denen der Ziel-Account folgt. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?