Was der Security-Spezialist Eset vorschlägt

Alternativen zum Passwort

12.05.2015 von Ronald Wiltscheck
Es gibt gute Alternativen zum herkömmlichen Passwort, behauptet der Security-Software-Anbieter Eset, zum Beispiel virtuelle Tokens, digitale Tresore und personalisierte USB-Schlüssel.
 
  • Alternativen zum herkömmlichen Password
  • Zwei-Faktor-Autentifizierung
  • digitaler Schlüssel
  • Biometrie

Das herkömmliche Passwort kommt in die Jahre, immer mehr Datendiebstähle gehen auf das Konto gehackter Passwörter. Dabei gibt es Alternativen: Neue Methoden wie die altbekannte Zwei-Faktor-Authentifizierung oder virtuelle Tokens schützen sensible und private Daten deutlich besser. Der Security-Software-Hersteller Eset gibt darüber hinaus einen Ausblick, welche Technologien das Passwort in Zukunft ablösen könnten.

Das Problem: Digitaler Schlüssel schützt immer seltener

Passwörter sind allgegenwärtig: Ob beim privaten E-Mail-Konto, am Arbeitsplatz oder zum Einkauf in Online-Shops. Die selbst definierten Zugangscodes sind ein grundlegendes Element des digitalen Lebens - und leider oftmals unzureichend. Wer simple, einfach zu erratende Zeichenfolgen wie "123456" oder das eigene Geburtsdatum als Passwort verwendet, präsentiert Hackern und Angreifern seine privaten Daten auf dem Silbertablett. Die unlogische Anordnung von großen und kleinen Buchstaben, Zahlen und Sonderzeichen ist Pflicht.

In Zukunft werden Passwörter jedoch von neuen Technologien abgelöst oder durch diese ergänzt. "Ein Glück, sind offensichtliche und simple Passwörter doch seit Jahren der Hauptgrund für Datendiebstahl", kommentiert Thomas Uhlemann, Security Specialist bei Eset Deutschland. "Diese Nachlässigkeit offenbart ein hohes Maß an Naivität im Umgang mit privaten Daten, deren Gefahr durch technische Ergänzungen immerhin reduziert werden kann."

Geschützt im Tresor

So lange sich die Alternativen zum klassischen Passwort noch nicht durchgesetzt haben, hängt die Sicherheit unverändert von der Komplexität der Passwörter ab. Je komplexer und je zahlreicher die Zugangsberechtigungen, desto geringer ist die Aussicht, sich alle merken zu können.

Passwort-Tresore können Abhilfe schaffen.
Foto: dvarg - Fotolia.com

So genannte Passwort-Tresore, wie sie von einigen Unternehmen angeboten werden, können hier vorerst Abhilfe schaffen. Sollte es aber einem Hacker gelingen, Zugang zu einem solchen "Tresor" zu bekommen, hat er sämtliche Passwörter des betreffenden Nutzers auf einen Schlag. Doch auch hier gibt es eine Lösung: Sie liefert dem Angreifer scheinbar plausible Daten, die faktisch aber unbrauchbar sind, ohne dass es der Hacker erkennen kann. Der rechtmäßige Nutzer hingegen erkennt die Richtigkeit anhand eines nur ihm bekannten Symbols.

Zwei-Faktor-Authentifizierung für mehr Sicherheit

Ein weiterer Schritt in die richtige Richtung ist die Absicherung des Passworts mit einem zweiten Faktor. Es gilt das Prinzip: Der Nutzer muss etwas besitzen und etwas wissen. Viele große Internetdienstleister wie Google, Dropbox, Steam oder Microsoft bieten beim Zugang zu ihren Konten die optionale Aktivierung der Zwei-Faktor-Authentifizierung (2FA) an. Dabei wird zusätzlich zum Passwort ein zeitlich begrenzter Code an ein Gerät geschickt oder über eine App generiert und muss zwingend neben dem eigenen Passwort eingegeben werden. Fällt das Passwort in die falschen Hände, bleiben die Daten trotzdem sicher.

Personalisierte USB-Schlüssel

Google arbeitet zudem aktuell an personalisierten USB-Schlüsseln. Um Zugang zu Daten zu erhalten, müssen Nutzer ein kleines Gerät anschließen, um sich zu identifizieren. Theoretisch können so in Zukunft alle Anmeldedaten über einen einzigen Master-Schlüssel verwaltet werden. In der Regel wird bei USB-Schlüsseln oder Chipkarten von Tokens gesprochen. Auch hier gibt es bereits Ansätze zur Kombination mit 2FA wie etwa durch die US-amerikanische FIDO-Allianz, die seit 2013 offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet entwickelt. Nachteil solcher Tokens ist natürlich, dass sie beschädigt werden oder verloren gehen können.

Jeder siebte Mitarbeiter würde seiin Unternenehmens-Passwort verkaufen
Foto: ESET

Virtuelle Tokens

Ähnlich wie das Google-Konzept ist die Verwendung virtueller Tokens, die beispielsweise in das Smartphone integriert werden. Möchte sich ein Nutzer anmelden, bekommt er ein temporäres, einzigartiges Bild auf seinen Bildschirm gesendet. Wird das Bild nun vor eine Webcam gehalten, hat sich der Nutzer authentifiziert. Diese Möglichkeit der Identifizierung bietet beispielsweise der populäre, sichere Messenger-Dienst "Threema".

Zeichnung, Muster oder Tonfolge als Passwort

Der Nutzer kann auch selbst "kreativ" tätig werden. So stellt Google die Möglichkeit zur Verfügung, eigene Tonfolgen, Muster oder Zeichnungen als Passwort zur Entsperrung von Smartphones einzusetzen. Eine gewisse musische Neigung ist dabei nicht zwangsweise Voraussetzung für den Erfolg, denn mithilfe entsprechender Programme kann sich jeder Anwender selbst entsprechende, rudimentäre Fähigkeiten aneignen. Genau hier liegt aber auch die potenzielle Schwachstelle des Ansatzes: Zu einfache Melodien oder Zeichnungen sind genausowenig zweckdienlich wie zu simple Passwörter.

Die am häufigsten gehackten Passwörter in den USA (Quelle: SplashData)
Platz 25 bis 21
25. trustno1 ("Traueniemandem")
24. batman
23. 123123
22. 696969
21. superman
Platz 20 bis 16
20. michael
19. master
18. shadow ("Schatten")
17. Access ("Zugang")
16. mustang
Platz 15 bis 11
15. 111111
14. abc123
13. letmein ("Lassmichrein")
12. monkey ("Affe")
11. 1234567
Platz 10 bis 6
10. Football
9. Dragon ("Drache")
8. baseball
7. 1234
6. 123456789
Platz 5 bis 1
5. qwerty (auf deutschen Tastaturen "qwertz")
4. 12345678
3. 12345
2. password
1. 123456

Biometrie

Einen Schritt weiter geht die Identifizierung anhand biometrischer Daten. So nutzen beispielsweise neue Wearables-Technologien den individuellen Pulsschlag jedes Menschen zur Authentifizierung des Nutzers, wodurch Passwörter überflüssig werden. Die Herzschlagüberprüfung kann auch mit der aufstrebenden Near Field Communication kombiniert werden und bietet somit eine Vielfalt neuer Möglichkeiten. Dabei verbleiben die EKG-Daten des Nutzers auf dem Gerät und werden nicht weitergesendet. Jedoch muss es permanent getragen und regelmäßig aufgeladen werden.

Nicht nur der Pulsschlag steht im Fokus der "Datenschützer": Neben Iris- und Fingerabdruckerkennung bieten erste Unternehmen auch die biometrische Erkennung anhand der Ohrmuschel während des Telefonats an. Weitere Ideen drehen sich um die Identifizierung per Tippgeschwindigkeit, Gesicht oder sogar anhand der Messung des Ganges. Hier steht die Technologie aber erst am Anfang und weist derzeit noch eine gewisse Fehleranfälligkeit auf.

Zum Video: Alternativen zum Passwort