Egal ob bei Facebook oder beim Onlinebanking: Passwörter sind der wichtigste Zugangsschlüssel in unserer Online-Welt. Je mehr Informationen wir im Netz sichern, desto wichtiger ist es, dass das Schloss nicht so einfach zu knacken ist. Passwörter werden deshalb zunehmend zum Problem, sagt Konrad Rieck, Leiter der Forschungsgruppe IT-Sicherheit an der Georg-August-Universität Göttingen. "Mit der heutigen Rechenkraft kann man Passwörter gut knacken. Ein großer Rechner schafft ein sechs- oder siebenstelliges Passwort in ein paar Stunden." Wissenschaftler, aber auch große Internetfirmen wie Google, Microsoft und Yahoo suchen daher nach Alternativen zum althergebrachten Passwort.
Datensicherheit:123456 - das schlechteste Passwort bleibt das beliebteste
Ebenfalls beliebt: "password". Dabei muss ein sicheres Passwort ganz anders lauten.
Noch sind Passwörter so omnipräsent, dass viele sich gar nicht vorstellen können, wie eine digitale Welt ohne sie funktionieren könnte. Sie sind leicht zu ändern, es braucht kein extra Geräte zur Eingabe. Doch kein Jahr hat so gut wie 2015 gezeigt, wie wichtig es ist, über Alternativen nachzudenken. Es häuften sich Angriffe auf das System der Passwörter: spektakuläre Fälle, in denen Hacker die teils schlecht gesicherten Passwort-Datenbanken abgriffen, die Internetanbieter anlegen, um Login-Versuche ihrer Kunden zu prüfen.
Die Sensoren moderner Handys könnten den Besitzer identifizieren
Einige Passwort-Alternativen oder Ergänzungen werden gerade erforscht oder sind schon im Einsatz. Zum Beispiel biometrische Verfahren. Hierbei identifizieren Maschinen einen Nutzer über einzigartige körperliche Merkmale wie den Fingerabdruck. "Es ist relativ gut untersucht, dass jeder Mensch einen einzigartigen Fingerabdruck hat. Das klingt banal, gilt aber nicht für alle anderen biometrischen Merkmale", sagt Rieck. Weil Menschen aber überall ihre Fingerabdrücke hinterlassen, sind sie ein leichtes Angriffsziel. Gerät die Information ein Mal in die falschen Hände, ist das Verfahren verbraucht, sagt Rieck: "Ich kann nicht einfach einen neuen Fingerabdruck generieren." Das iPhone 5s mit seinem eingebauten Fingerabdruckscanner wurde dann auch bald vom Chaos Computer Club gehackt. Außerdem ist durch den Fingerabdruck jeder Account mit der eigenen Identität verknüpft, Anonymität nicht mehr möglich. "Das ist ein großer Verlust für den Datenschutz", sagt Rieck.
Auch Iris- oder Retina-Scans wären als Zugangsschlüssel nutzbar, Agentenfilme machen es regelmäßig vor. Alltagstauglich ist die Idee allerdings nicht. Problem sei vor allem die technische Ausrüstung, die jeder Nutzer für Scans besitzen müsste, sagt Rieck. Auch die Stimme wird als Identifizierungsmerkmal erprobt, zum Beispiel beim Spracherkennungsunternehmen Nuance. Durchgesetzt hat sie sich ebenfalls noch nicht: "Das kenne ich eher aus dem Science-Fiction Bereich", sagt Rieck.
Biometrische Verfahren: Gehirnwellen oder Tippmuster
Biometrische Verfahren gehen aber auch über die Abfrage von unmittelbaren körperlichen Kennzeichen hinaus. In der Verhaltensbiometrie werden andere personenbezogene Informationen verwendet, um Nutzer zu identifizieren, erklärt Markus Dürmuth vom Horst Görtz Institute für IT-Sicherheit an der Ruhr-Universität Bochum.
Gehirnwellen zum Beispiel. Forscher der Binghamton University im US-Bundesstaat New York haben Versuchspersonen beauftragt, bestimmte Wörter zu lernen und sich vorzustellen. Jede Person produzierte dabei andere Muster an Gehirnwellen, fanden die Forscher heraus. In das Verfahren sind zwei Sicherheitsstufen eingebaut. Angreifer müssen das Wort kennen, an das der Nutzer denkt und seine persönliche Reaktion im Gehirn nachbilden können. Wird das Passwort enttarnt, kann der Nutzer ein anderes Wort festlegen, an das er fortan denkt.
Noch ist dieses Verfahren nicht alltagstauglich, sagt Forscher Rieck. Die Nutzer müssten bis zu zehn Minuten konzentriert an das Wort denken, viel zu lange. Und auch wenn das menschliche Gehirn als einzigartig gelte, sei noch nicht sichergestellt, dass Hacker Lesegeräte nicht täuschen könnten.
Die Experimentierfreude der Forscher ist aber noch lange nicht erschöpft. So wird derzeit etwa auch das Tippmuster auf der Computertastatur als Merkmal der Authentifizierung untersucht, ebenso wie der Herzschlag und das Venenmuster der Hand.
Experimentiert wird auch mit Emojis, also Bildschriftzeichen wie Smileys. Das Verfahren "Emoji Passcode" von Intelligent Environment aus Großbritannien will mit bunten Pixeln PIN-Verfahren mit Zahlen ablösen. Statt einer Kombination der Ziffern 0 bis 9 wählen Nutzer aus einem größeren Pool an Emojis. Das Gehirn kann sich Bilder gut merken und es gibt mehr Kombinationsmöglichkeiten. Grundlegende Probleme von Passwörtern blieben laut Markus Dürmuth aber bestehen, da auch Emojis ein grafisches Passwortverfahren seien. "Nutzer wählen die Emojis nicht zufällig aus und bevorzugen bestimmte Bilder." Das macht es leichter, sie zu erraten.
Es gibt eine Reihe von vielversprechenden Verfahren, die ihre Stärke nicht daraus ziehen, dass sie das Passwort vollständig ersetzen. Sondern um einen zweiten Sicherheitscheck ergänzen. Bei der Zwei-Faktor-Authentifizierung wird das Passwort mit einem Token kombiniert, einem USB-Stick oder einer Chipkarte. Jeder kennt das System vom Bankautomaten: Zusätzlich zum Wissen um die PIN muss man auch die richtige Bankkarte besitzen.
Multimodale Verfahren
Der Ansatz ist weiterentwickelt worden hin zur multimodalen oder kontinuierlichen Authentifizierung. "Die Grundidee bleibt, dass man das Passwort um weitere Informationen ergänzt", sagt Dürmuth. "So führen die Unternehmen eine grobe Risikobewertung des Authentifizierungsversuchs durch."
Google, Facebook oder LinkedIn setzen schon auf solche Verfahren und fragen nicht nur das Passwort ab, sondern analysieren die IP-Adresse und den Standort des Nutzers. "Auch wie wir unser Smartphone handhaben, könnte künftig analysiert werden", sagt Forscher Rieck. "Moderne Handys haben eine ganze Reihe von Sensoren, die messen, wie es sich bewegt und gekippt wird. Man könnte aus diesen Daten eine biometrische Authentifikation konstruieren." Bisher gebe es allerdings noch kein zuverlässiges Verfahren.
Trotz aller Passwort-Alternativen droht dem Passwort noch nicht das Ende, sagt Dürmuth. "Das Passwort wird so bald nicht aussterben und uns weiter begleiten, wenn auch in veränderter Form und durch Ergänzungen wie die Zwei-Faktor-Authentifizierung."
Für den Alltag nennt er eine relativ einfache einfache Regel. Er empfiehlt den Nutzern, besonders beim Mail-Postfach und beim Onlinebanking starke, lange Passwörter zu verwenden. Diesen Tipp hat auch schon NSA-Whistleblower Edward Snowden gegeben.