Ob Passwort oder Biometrie, viele Sicherheitsverfahren haben selbst Schwächen. Neue Schutzkonzepte sind erforderlich, einige Entwicklungen klingen vielversprechend.
Allein in den ersten sechs Monaten dieses Jahres wurden laut dem US-Nachrichtenmagazin Forbes 4,1 Milliarden Datensätze mit Nutzerdaten gestohlen. Davon enthielten 65% Prozent auch Passwörter. Entsprechend viele Nutzer mussten sich ein neues Passwort ausdenken. Dabei sind viele nicht sonderlich kreativ: Die Ziffernfolge 123456 oder das Wort „Password“ zählen zu den Spitzenreitern in der Liste beliebter Passwörter. Dabei stehen für die Wahl sicherer Passwörter verschiedene Hilfsmittel zur Verfügung, von kleinen Karten, die für jeden Buchstaben ein anderes Zeichen vorschlagen, bis zu ausgefeilten Passwortgeneratoren, wie sie zahlreiche Programme inzwischen enthalten. Mit der steigenden Anzahl an Passwörtern sind die meisten Nutzer jedoch überfordert. Deshalb versprechen sogenannte Password-Safes Abhilfe. Sie speichern Zugangsdaten in einer verschlüsselten Datenbank, die mit einem Masterkennwort gesichert wird. Doch einige dieser Programme enthielten ihrerseits Sicherheitsmängel. Die Sicherheit steht und fällt also mit der Auswahl des geeigneten Produkts. Daher suchen Forscher nach Alternativen.
Unsichere Alternativen
Eine einfache Methode schien zunächst mit den biometrischen Verfahren gefunden zu sein. Ein Smartphone kann mit dem Fingerabdruck oder Gesichtsabbild entsperrt und Türen mit einem Handvenenscanner oder Irisscan geöffnet werden. Allerdings ist die Sicherheit dieser Methoden inzwischen in die Kritik geraten. Der Chaos Computer Club hat schon vor Jahren einen Fingerabdruck mit kriminalistischen Methoden von einem Glas abgenommen und eine Attrappe nachgebildet, mit der sich etwa ein Smartphone entsperren ließ. Ebenso wurden mit Kontaktlinsen Irisimitate erzeugt oder Fotos als Gesichtsabbild verwendet. Zuletzt zeigte ein Sicherheitsspezialist, wie man mit relativ einfachen Methoden Handvenenscanner überlistet.
Für Anwender entsteht dabei ein weiteres Problem: Werden diese Persönlichkeitsmerkmale gestohlen, können sie nicht wie ein Passwort einfach gewechselt werden. Wie eine alarmierende Recherche des bayrischen Rundfunks ergab, befinden sich bereits etliche Millionen Biometriedaten im Umlauf. Oft stammen sie aus den Datensammlungen von Behörden, die diese für Ausweisdokumente erfassen. IS-Terroristen haben sich darüber bereits gefälschte Identitäten verschafft.
Zwei-Faktor-Authentifizierung und FIDO2
Hoch im Kurs steht momentan die Zwei-Faktor-Authentifizierung. Hierbei wird ergänzend zu einem Passwort noch ein weiteres Merkmal verlangt. Dieses muss über ein anderes Gerät eingegeben werden, etwa das Smartphone, an das ein Code oder eine PIN gesendet wird. Dem liegt das Prinzip zugrunde, etwas zu koppeln, was der Nutzer kennt und etwas, was er besitzen muss. Vielen Anwendern ist dieses Verfahren jedoch zu kompliziert.
Hohe Sicherheit bei einfacher Bedienung bieten die häufig in großen Unternehmen eingesetzten USB-Keys oder Smartcards. Diese Hardware-Token lassen sich besonders effektiv mit dem vielversprechenden neuen Internet-Standard FIDO2 (Fast IDentity Online 2) kombinieren. FIDO2 soll eine sichere und nutzerfreundliche Authentifizierung bieten und zusätzlich die Anonymität des Nutzers gewährleisten. Denn bei der Anmeldung werden auf dem Gerät keine personenbezogenen Daten gespeichert. Der Standard wurde unter anderem von Google, Microsoft, Facebook, Amazon, Paypal, Visa und Mastercard sowie dem World Wide Web Consortium entwickelt, was ihm eine hohe Akzeptanz sichern dürfte. Auf der Webseite webauthn.io können Anwender das neue Verfahren bereits ausprobieren. Zukünftig werden Nutzer dann wohl einen Token am Schlüsselbund tragen, den sie überall zur Online-Anmeldung nutzen können. Der sollte allerdings nicht abhandenkommen, sonst wäre Missbrauch nicht auszuschließen.
Bis sich sichere Alternativen durchgesetzt haben, empfiehlt es sich, nach einer bekanntgewordenen Datenpanne die Sicherheit der eigenen Zugangsdaten zu überprüfen. Im Internet existieren dazu Angebote, wie der Identity Leak Checker des Hasso-Plattner-Instituts oder der Webdienst HaveIBeenPwned. Anhand der Email-Adresse erfährt man, ob ein dazugehöriges Passwort im Umlauf ist. Solche Passwörter dürfen als verbrannt gelten, denn gewöhnlich werden sie im Darknet für kleines Geld angeboten.