Süddeutsche Zeitung

IT-Sicherheit:Warum Passwörter abgeschafft werden müssen

Sonderzeichen, Groß- und Kleinschreibung, Zahlen - und am Ende landen die Passwörter trotzdem bei Hackern. Was für ein Quatsch.

Von Hakan Tanriverdi, New York

Die Nachricht hat sich natürlich schnell verbreitet. Ein paar Konten von Mark Zuckerberg wurden übernommen. Linkedin, Twitter, Pinterest, in den Händen von Fremden. Sein Passwort lautete anscheinend: dadada. Wie der Popsong der Gruppe Trio.

Die nächste Zeile in dem Song beschreibt dann passenderweise auch, wie Menschen im digitalen Zeitalter das Prinzip Passwörter finden, ob sie nun Zuckerberg heißen oder anders: "Du liebst mich nicht, ich lieb' dich nicht. Aha, aha."

Passwörter sind ein digitales Stück Vergangenheit. Bereits die ersten Passwörter waren unsicher und wurden geklaut. In den vergangenen 50 Jahren hat sich wenig geändert. Höchste Zeit, über das Ende von Passwörtern nachzudenken.

Weinen, statt zu lachen

Auf den ersten Blick ist es sehr verlockend, über Zuckerberg zu lachen. Ein bisschen putzig ist er ja dann doch, der Typ, der Chef des größten sozialen Netzwerks der Welt ist. Wählt einfach ein Passwort, das Hacker in Sekundenschnelle knacken können. Liest denn der überhaupt nicht, was seine eigenen Mitarbeiter an Tipps über sichere Passwörter schreiben?

Vermutlich schon. Vermutlich sind die Nutzer-Konten, die für Herrn Zuckerberg wichtig sind, deutlich besser geschützt als Seiten, die er jahrelang nicht benutzt hat.

Doch zur Wahrheit gehören zwei weitere Punkte. Sie zeigen, dass man nicht über Zuckerberg lachen sollte (nicht zu lange jedenfalls), sondern eher weinen angesichts dessen, wie hoffnungslos veraltet Passwörter sind.

Zuckerberg war zu faul, wie viele andere auch

Erstens: Wenn selbst jemand, der mit einer digitalen Plattform reich wurde, zu faul ist, um eine elemantare Grundregel zu beachten, dann gilt das für die meisten Menschen erst recht. Wenn also Zuckerberg keine Zeit dafür aufbringen will, sich ein sicheres Passwort auszudenken, wird es der Großteil der mehreren Milliarden Internet-Nutzer vermutlich erst recht nicht tun.

Denn all die Erfahrung zeigt: Gute Tipps schützen. Sie werden aber in aller Regel nicht befolgt.

Gute Passwörter müssen nicht total komplex sein

Auf die Gefahr hin, dass Sie diese Zeilen überfliegen, hier zwei erste Tipps. Geht auch ganz schnell, versprochen: Das Passwort muss nicht komplex bis zur Unkenntlichkeit sein (A%§%sfuNnG__0fs02sa"_!). Es reicht, wenn es ein wenig komplex ist, dafür aber sehr lang. Hallohallohallohallo ist ein langes Passwort, aber repetitiv und daher vergleichsweise einfach zu knacken. Schreiben Sie lieber ganze Sätze. Mark Zuckerberg schert sich nicht um Passwörter zum Beispiel (Bitte nicht ernsthaft verwenden. Es steht nun auf einer Webseite, ist also bekannt und damit unsicher). Und, viel wichtiger: Verwenden Sie kein Passwort doppelt.

Alles klar, das war's schon.

Es wäre viel einfacher, sich diesen Quatsch nicht merken zu müssen. Und über Sonderzeichen, Zahlen, Groß- und Kleinschreibung haben wir noch gar nicht geredet.

Historische Mega-Einbrüche

Zweitens: Selbst wenn Zuckerberg ein sicheres Passwort benutzt hätte. Seine Zugangsdaten wären dennoch in den Händen von Kriminellen gelandet, wie Troy Hunt in einem Telefongespräch mit SZ.de anmerkt. Hunt arbeitet als IT-Sicherheitexperte für Microsoft: "Der Datenklau passiert oft nicht, weil jemand ein schlechtes Passwort hat, sondern weil die Webseite Fehler beinhaltet und damit Hacker Zugriff auf den Datensatz erhalten."

Auf seinem persönlichen Blog schrieb Hunt kürzlich von "historischen Mega-Einbrüchen". Im Laufe weniger Wochen sind aufgetaucht: 40 Millionen Nutzer-Konten der Dating-Webseite Fling, 65 Millionen für die Blog-Plattform Tumblr, 117 Millionen für Linkedin und 360 Millionen im Fall des längst in Vergessenheit geratenen Netzwerks MySpace. Derzeit stehen außerdem angeblich 32 Millionen Twitter-Zugangsdaten zum Verkauf, Twitter bestreitet aber, dass der Hacker Zugriff auf die Datenbank hatte.

In jedem Fall gilt: Manchmal waren die Passwörter gut geschützt, in anderen nicht. Doch Nutzer sollten so oder so ein neues Passwort wählen. Schließlich könnte es geknackt werden.

Wurde ich erwischt?

Wer also wissen will, ob seine Mail-Adresse in einem der Hacks aufgetaucht ist, kann die Seite "Have I been pwned?" aufrufen - übersetzt: Wurde ich erwischt? Hunt betreibt die Seite. Taucht die eingegebene Mail-Adresse auf, sollten alle damit verknüpften Konten ein neues Passwort erhalten.

Webseiten wie Facebook und Netflix haben angefangen, diese Aufgabe selbst zu übernehmen und nicht ihren Nutzern zu überlassen. Sie wühlen sich also durch die veröffentlichten Daten - und warnen ihre eigenen Nutzer gegebenenfalls, sollten sie darin auftauchen.

Es geht auch ohne Passwörter

Von den Nutzern kein Passwort zu verlangen, hat offensichtliche Vorteile. Zum Beispiel sich nicht eine unüberschaubare Menge an Passwörtern merken zu müssen. Doch ist es auch ein realistischer Wunsch?

Ja, ist es. Passwörter sind obsolet. Theoretisch müsste man sich nur selten ein Passwort merken, zumindest für Webseiten, auf denen man weniger vertrauliche Informationen austauscht. Stattdessen wäre es problemlos möglich, bei jedem neuen Login-Versuch die "Passwort vergessen"-Funktion zu nutzen und sich ein neues Passwort auszudenken.

Wenn wir ehrlich sind: Für viele Webseiten ist das ohnehin die favorisierte Variante. Warum also nicht gleich auf Passwörter verzichten? Es gebe mehrere Wege, um um dieses Ziel zu erreichen.

Login per Facebook, per SMS oder E-Mail

Eine Option ist es, sich per Social Login anzumelden. Anstatt also ein neues Passwort zu wählen, erlaubt man der Seite, sich über Facebook oder Twitter zu verifizieren. Spotify bietet diese Option beispielsweise an. Der Nachteil: Für Nutzer könnte es aus Gründen des Datenschutzes unerwünscht sein, sich über Facebook oder Twitter anzumelden.

Ebenfalls möglich wäre es, sich per SMS anzumelden. Bei der Anmeldung gibt man seine Telefonnummer an. Will man sich einloggen, bekommt man eine SMS. Anstatt ein Passwort einzutippen, bekommt man ein kurzes Zeitfenster, um einen Code einzutippen, den man per SMS erhalten hat. Der Nachteil: Vielleicht will man lieber seine Telefonnummer für sich behalten. Ein weiteres Problem: Das Telefon ist nicht immer griffbereit.

Eine dritte Option: Anstatt sich anzumelden, gibt man seine E-Mail-Adresse an. Die Webseite verschickt, ähnlich wie bei der SMS, einen Zugang per Link an die hinterlegte Adresse. Man klickt den Link an und ist eingeloggt. Die Blogging-Plattform Medium setzt auf diese Variante.

Passwörter nur für die sensibelsten Daten

Alle drei Beispiele haben den Vorteil, dass die Firma keine Passwortdaten speichern muss. Für einen Großteil der Seiten wäre es möglich, dieses Verfahren zu etablieren.

Der Journalist Christopher Mims hat sein Twitter-Passwort veröffentlicht. Er wusste, dass sich dennoch kein Hacker Zugang verschaffen kann. Denn dazu hätten die Angreifer auch sein Smartphone klauen müssen. Hackern ist es aber sehr wohl gelungen, an seine Handynummer zu kommen - aufgrund eines Konfigurationsfehlers bei Twitter.

Plattformen müssen ihre Sicherheit verbessern

Der Fall zeigt: Die Plattformen müssen an der Sicherheit arbeiten. Die Nutzer sollten damit in Ruhe gelassen werden - ähnlich einfach ist es heutzutage schließlich auch, verschlüsselt per Whatsapp zu kommunizieren.

Für Seiten, die über sehr sensible Informationen verfügen, gilt die Forderung, das Passwort abzuschaffen, in eingeschränkter Form. Ebenso für die Anmeldedienste von Facebook oder Twitter, die andere Webseiten bei sich einbinden. Denn über sie laufen im Endeffekt alle Verbindungen zusammen, da ist ein doppeltes Schloss sicherer - auch, wenn man sich dafür ein Passwort merken muss. Ist dieses Hauptschloss aber doppelt gesichert, könnten die anderen Webseiten dafür auf eigene Passwörter verzichten.

Der Vollständigkeit halber sei erwähnt, dass Programme wie Passwort-Manager sehr wohl dazu geeignet sind, Menschen die Arbeit abzunehmen. Nicht die müssen sich dann die Passwörter merken, der Manager übernimmt die Aufgabe. Das Argument, dass der Schritt überflüssig ist, bleibt aber bestehen.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.3026987
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de/mahu
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.