Am Donnerstag ist World Password Day – inklusive alljährlicher Tipps, wie man möglichst sichere Passwörter wählt. Das ist an sich auch wichtig, denn das Kennwort ist nach wie vor allgegenwärtig: „Es baut einfach alles auf Passwörtern auf: Computer, Handys, Webseiten“, so die Sicherheitsexpertin Martina Lindorfer von der TU Wien im Gespräch mit ORF.at.
Vor allem in den letzten Jahren hat sich die Debatte über Passwörter aber grundlegend verändert. Die Praxis, regelmäßig Passwörter zu ändern, wird etwa von der US-Behörde NIST, die auch für Verschlüsselung zuständig ist, seit geraumer Zeit nicht mehr empfohlen.
Notizzettel nicht mehr ganz tabu
Auch wird häufig empfohlen, statt zahlreicher Sonderzeichen lieber Passphrasen zu verwenden – also gleich mehrere, nicht zusammenhängende Wörter. Je länger ein Passwort ist, desto schwieriger ist es automatisiert zu knacken, heißt es auch in den Empfehlungen von Google.
Und selbst das Passwort auf einen Zettel zu notieren ist kein absolutes Tabu mehr – zumindest in manchen Fällen. „Wenn man zu Hause die eigenen Konten absichern will, dann ist es immer noch besser, man verwendet sichere Passwörter und schreibt diese auf, als unsichere Passwörter zu verwenden“, so Lindorfer.
Hier gehe es darum, Risiken richtig abzuschätzen – oft lauert die größere Gefahr im Netz und nicht in den eigenen vier Wänden. Ein Politiker habe dabei freilich ein anderes Gefahrenszenario als jemand im Büro – für beide ist der Zettel unter der Tastatur aber wohl weniger geeignet als für Privatpersonen, die auf dem eigenen Handy in Sozialen Netzwerken unterwegs sind.
Passwort schon lange totgesagt
Doch egal, ob auf Zetteln oder im Gedächtnis – Passwörter alleine bleiben eine enorme Schwachstelle: Der angesehene Sicherheitsbericht des US-Internetanbieters Verizon sieht rund 80 Prozent der Datendiebstähle durch unsichere Passwörter verursacht – mit entsprechenden wirtschaftlichen Folgen. Der Branche ist das bewusst – schon 2004 prophezeite Microsoft-Gründer Bill Gates das baldige Ende von Passwörtern. 17 Jahre danach ist man jedoch von diesem Ziel immer noch weit entfernt.
Entwicklungen gibt es aber: Längst im Onlineshopping angekommen ist die Zwei-Faktor-Authentifizierung (2FA), bei der es nicht nur darum geht, dass die Anwenderinnen und Anwender etwas wissen (ein Passwort), sondern auch etwas besitzen (ein Smartphone, das Codes anzeigt). Weniger verbreitet ist hingegen bisher die Multi-Faktor-Authentifizierung (MFA), bei der zumindest ein dritter Faktor ausschlaggebend wird, nämlich etwas, das den User ausmacht. Etwa ein Fingerabdruck oder ein Gesicht – also biometrische Informationen.
Anfällige Biometrie und Science-Fiction-Methoden
All das wird aber immer nur als Ergänzung zu einem Passwort verwendet. Denn: „Im Forschungsbereich und auch im Alltag sieht man, dass Biometrie noch gar nicht so gut funktioniert, wie wir annehmen“, sagt die Expertin. Prominentes Beispiel ist die Gesichtserkennung: Während weiße Männer gut erkannt werden, wurde in Studien festgestellt, dass Menschen, insbesondere Frauen, mit anderer Hautfarbe deutlich unzuverlässiger erkannt werden.
Fingerabdruck und Gesichtserkennung sind aber nur eine der möglichen Varianten, denn die eindeutige Authentifizierung von Nutzerinnen und Nutzern wäre prinzipiell auch über andere Merkmale möglich, sagt Lindorfer. Einiges davon klingt nach Science-Fiction, ist aber schon heute durchaus zu bewerkstelligen: Anhand der Art, „wie man klickt, wie man tippt und wie und wohin man geht, kann das Handy aus diesen Datenpunkten bestimmen, wer man ist“.
Auch zahlreiche rechtliche Probleme
Google stellte schon 2016 ein entsprechendes Projekt unter dem Codenamen „Abacus“ vor – dieses wurde aber nicht weiter verfolgt. Vermutlich nicht zuletzt, weil diese Datenmengen auch online verarbeitet werden müssten – und damit wohl bei immer strenger werdenden Datenschutzgesetzen auf Hürden stoßen würden.
Auch Fingerabdruck und Gesichtsscan sind freilich nicht ohne Probleme: Datenschützer kritisieren, dass etwa von der Polizei viel einfacher ein Handy vor das Gesicht gehalten oder der Finger auf den Scanner gedrückt werden kann, um ein Gerät zu entsperren – anders als bei einem Passwort. Auch hier stehen, nicht zum ersten Mal bei digitalen Entwicklungen, Komfort und Bequemlichkeit im Kontrast zu persönlicher Freiheit und Datenschutz.
Benutzerfreundlichkeit fehlt oft
Bei vielen der heute im Einsatz befindlichen Multi-Faktor-Systeme muss man aber so oder so Abstriche machen. Viele der im Zuge der verpflichtenden EU-Richtlinie zum Zahlungsverkehr eingeführten Systeme seien nur bedingt nützlich, so Lindorfer. „Wenn ich auf meinem Handy eine App für Onlinebanking verwende und gleichzeitig meinen dafür benötigten TAN ebenfalls auf mein Handy geschickt bekomme, dann handelt es sich nicht wirklich um einen ‚zweiten Faktor‘.“
Auch seien viele der eingesetzten Systeme nicht anwenderfreundlich: „Mit Benutzbarkeit hat das alles oft nichts mehr zu tun“, sagt die Expertin. In erster Linie gehe es oftmals um die rechtliche Absicherung der Anbieter.
Veränderung wird Zeit brauchen
Zumindest technisch fehlt eigentlich nicht mehr viel, um das Passwort loszuwerden. Fest steht aber auch: „Nichts ist absolut sicher“, fasst Lindorfer die Debatte zusammen. „Es ist immer eine Risikoabschätzung: Wie wahrscheinlich ist, dass etwas passiert? Was sind die Konsequenzen?“ Es gehe um die Frage, was – und vor wem – etwas abgesichert werden muss.
Ein Abschied vom Passwort steht dennoch nicht unmittelbar bevor: Wie es etwa auch von Google anlässlich des Welt-Passwort-Tages heißt, wünsche man sich eine Zukunft ohne Passwörter – noch sei der Zeitpunkt dafür aber nicht gekommen. Auch Lindorfer sagt: Wirkliche Veränderungen würden „Zeit brauchen.“
Bis dahin lautet der Rat fast überall gleich: Keine Passwörter für mehrere Dienste wiederverwenden und möglichst lange Passwörter wählen. Und: Ein Passwortmanager, der all das automatisch erledigt, ist nicht nur ein guter Beitrag zur eigenen Sicherheit, sondern auch eine enorme Zeitersparnis, will man all diese Regeln befolgen. Auch die meisten Browser haben mittlerweile einen solchen eingebaut. „Das Passwort wird es noch länger geben“, dämpft Lindorfer die Erwartungen – auch wenn das Ende zum Greifen nahe scheint.