Sicherheit im Internet Es gibt Alternativen zum Passwort

  • Passwörter sind das wichtigste Mittel, um sich auf seinen Online-Konten einzuloggen. Aber das Verfahren hat seine Tücken.
  • Forscher und Internetfirmen wie Google, Yahoo und Microsoft arbeiten am Ende des Passworts. Sie wollen künftig andere Verfahren einsetzen, die Passwörter zumindest teilweise ersetzen.
  • Passwort-Alternativen können Fingerabdruck, Gehirnwellen, persönliche Tippmuster oder Emojis sein.
Von Angela Gruber, Hamburg

Egal ob bei Facebook oder beim Onlinebanking: Passwörter sind der wichtigste Zugangsschlüssel in unserer Online-Welt. Je mehr Informationen wir im Netz sichern, desto wichtiger ist es, dass das Schloss nicht so einfach zu knacken ist. Passwörter werden deshalb zunehmend zum Problem, sagt Konrad Rieck, Leiter der Forschungsgruppe IT-Sicherheit an der Georg-August-Universität Göttingen. "Mit der heutigen Rechenkraft kann man Passwörter gut knacken. Ein großer Rechner schafft ein sechs- oder siebenstelliges Passwort in ein paar Stunden." Wissenschaftler, aber auch große Internetfirmen wie Google, Microsoft und Yahoo suchen daher nach Alternativen zum althergebrachten Passwort.

123456 - das schlechteste Passwort bleibt das beliebteste

Ebenfalls beliebt: "password". Dabei muss ein sicheres Passwort ganz anders lauten. mehr ...

Noch sind Passwörter so omnipräsent, dass viele sich gar nicht vorstellen können, wie eine digitale Welt ohne sie funktionieren könnte. Sie sind leicht zu ändern, es braucht kein extra Geräte zur Eingabe. Doch kein Jahr hat so gut wie 2015 gezeigt, wie wichtig es ist, über Alternativen nachzudenken. Es häuften sich Angriffe auf das System der Passwörter: spektakuläre Fälle, in denen Hacker die teils schlecht gesicherten Passwort-Datenbanken abgriffen, die Internetanbieter anlegen, um Login-Versuche ihrer Kunden zu prüfen.

Die Sensoren moderner Handys könnten den Besitzer identifizieren

Einige Passwort-Alternativen oder Ergänzungen werden gerade erforscht oder sind schon im Einsatz. Zum Beispiel biometrische Verfahren. Hierbei identifizieren Maschinen einen Nutzer über einzigartige körperliche Merkmale wie den Fingerabdruck. "Es ist relativ gut untersucht, dass jeder Mensch einen einzigartigen Fingerabdruck hat. Das klingt banal, gilt aber nicht für alle anderen biometrischen Merkmale", sagt Rieck. Weil Menschen aber überall ihre Fingerabdrücke hinterlassen, sind sie ein leichtes Angriffsziel. Gerät die Information ein Mal in die falschen Hände, ist das Verfahren verbraucht, sagt Rieck: "Ich kann nicht einfach einen neuen Fingerabdruck generieren." Das iPhone 5s mit seinem eingebauten Fingerabdruckscanner wurde dann auch bald vom Chaos Computer Club gehackt. Außerdem ist durch den Fingerabdruck jeder Account mit der eigenen Identität verknüpft, Anonymität nicht mehr möglich. "Das ist ein großer Verlust für den Datenschutz", sagt Rieck.

Auch Iris- oder Retina-Scans wären als Zugangsschlüssel nutzbar, Agentenfilme machen es regelmäßig vor. Alltagstauglich ist die Idee allerdings nicht. Problem sei vor allem die technische Ausrüstung, die jeder Nutzer für Scans besitzen müsste, sagt Rieck. Auch die Stimme wird als Identifizierungsmerkmal erprobt, zum Beispiel beim Spracherkennungsunternehmen Nuance. Durchgesetzt hat sie sich ebenfalls noch nicht: "Das kenne ich eher aus dem Science-Fiction Bereich", sagt Rieck.

Biometrische Verfahren: Gehirnwellen oder Tippmuster

Biometrische Verfahren gehen aber auch über die Abfrage von unmittelbaren körperlichen Kennzeichen hinaus. In der Verhaltensbiometrie werden andere personenbezogene Informationen verwendet, um Nutzer zu identifizieren, erklärt Markus Dürmuth vom Horst Görtz Institute für IT-Sicherheit an der Ruhr-Universität Bochum.

Gehirnwellen zum Beispiel. Forscher der Binghamton University im US-Bundesstaat New York haben Versuchspersonen beauftragt, bestimmte Wörter zu lernen und sich vorzustellen. Jede Person produzierte dabei andere Muster an Gehirnwellen, fanden die Forscher heraus. In das Verfahren sind zwei Sicherheitsstufen eingebaut. Angreifer müssen das Wort kennen, an das der Nutzer denkt und seine persönliche Reaktion im Gehirn nachbilden können. Wird das Passwort enttarnt, kann der Nutzer ein anderes Wort festlegen, an das er fortan denkt.

Noch ist dieses Verfahren nicht alltagstauglich, sagt Forscher Rieck. Die Nutzer müssten bis zu zehn Minuten konzentriert an das Wort denken, viel zu lange. Und auch wenn das menschliche Gehirn als einzigartig gelte, sei noch nicht sichergestellt, dass Hacker Lesegeräte nicht täuschen könnten.

Die Experimentierfreude der Forscher ist aber noch lange nicht erschöpft. So wird derzeit etwa auch das Tippmuster auf der Computertastatur als Merkmal der Authentifizierung untersucht, ebenso wie der Herzschlag und das Venenmuster der Hand.