Passwörter – kurz vorm Aussterben?
Passwörter machen nicht nur Nutzern das Leben schwer, sondern bereiten auch Sicherheitsteams Kopfzerbrechen. Sie versuchen seit Jahren, Nutzer davon zu überzeugen, dass „123456“ kein ernstzunehmendes Passwort ist. Sie erwähnen immer und immer wieder, dass Nutzer nicht das gleiche Passwort für verschiedene Sites und Services verwenden dürfen. Und sie implementieren immer strengere Passwortregeln und investieren in Tools zur Passwortverwaltung. Dennoch sind trotz all dieser Bemühungen einfach zu erratende Kombinationen aus Buchstaben, Zahlen und Sonderzeichen nach wie vor stark verbreitet – und erleichtern Kriminellen weiterhin ihre Angriffe. Doch nun steht möglicherweise das Aussterben der Passwörter in ihrer bisher bekannten Form kurz bevor: mit der passwortlosen Authentifizierung.
Sogenannte „Aussterbeereignisse“, also die Ursachen eines Massenaussterbens wie bei den Dinosauriern, umfassen normalerweise Vorfälle, die für eine plötzliche Reduzierung der biologischen Vielfalt auf dem Planeten sorgen. Viele werden mit Vulkanen und Asteroiden in Verbindung gebracht, die den CO₂-Gehalt in der Luft erhöht und die Erde erwärmt haben. Natürlich fällt hier direkt die Verbindung zu den jüngsten Nachrichten über den Klimawandel auf. Doch meiner Meinung nach ist dieses Konzept auch für weniger dramatische Ereignisse relevant, die trotzdem eine Vielzahl von Menschen betreffen.
Viele von uns sind heute mit den Konzepten rund um Multi‑Faktor-Authentifizierung vertraut, die in der Regel zwei bis drei Faktoren umfasst:
etwas, das Sie wissen bzw. kennen (z. B. ein Passwort)
etwas, das Sie sind (z. B. Identitätsnachweis per Fingerabdruck oder einem anderen biometrischen Faktor)
etwas, das Sie besitzen (z. B. ein Smartphone oder anderes Gerät)
Der erste Faktor war schon immer die Standardoption – die erste Methode, die ein Anwendungsentwickler oder IT‑Manager implementiert, um jemandem Zugriff zu gewähren. Passwörter fühlen sich einfach vertraut an, obwohl wir sie eigentlich gar nicht leiden können. Wir sehen sie als notwendiges Übel. Wer verwendet schon gern überall Passwörter, erstellt und merkt sie sich gern jeden Tag neu? Denken Sie an die Hunderte von Services und Netzwerken, auf die wir zugreifen oder deren Zugriffsdaten wir verwalten müssen.
Ich habe kürzlich nachgesehen, wie viele Passwörter in meinem Passwortmanager gespeichert sind: 258 Einträge mit Anmeldeinformationen für Apps in den Bereichen Arbeit, Reisen und Social Media, darunter Treuepunkte einer Fluggesellschaft, mein Mobilfunkanbieter, meine Gehaltsdetails und eine App, um während des COVID‑19-Lockdowns einen Drink in einem Pub zu bestellen.
Doch genau deshalb nutze ich einen Passwortmanager. Denn alle diese Passwörter sind komplex und eindeutig – und damit hoffentlich auch sicher. Ansonsten laufe ich Gefahr, dass ich in der App, mit der ich einen Drink bestellen kann, das gleiche Passwort verwende wie bei meiner Gehaltsabrechnung, meiner Trading-App oder meiner geschäftlichen E‑Mail-Adresse. Wenn in diesem Fall die Anmeldedaten nur eines dieser Services gehackt und im Internet verbreitet würden, wären auch alle anderen Konten von einer Übernahme bedroht. Doch Passwortmanager – so effektiv sie auch sind – setzen sich einfach nicht in der breiten Masse durch, da ihr Mehrwert für viele Nutzer nicht direkt ersichtlich ist. Darüber hinaus können sie für unerfahrenere Nutzer recht mühsam und kompliziert sein.
Anmeldedaten werden immer häufiger gehackt und offengelegt, insbesondere seitdem in großen Teilen der Welt der Lockdown verhängt wurde. Immer mehr Menschen arbeiten von zu Hause aus und nutzen das Internet viel häufiger als zuvor – nicht nur für die Arbeit, sondern auch für Lebensmittelbestellungen, Videostreaming und alles andere, was sich im Internet finden oder an die Tür liefern lässt. Die Hacks haben so stark zugenommen, dass die beliebte Seite HaveIBeenPwned.com – wo offengelegte Anmeldedaten aufgeführt werden, damit rechtmäßige Nutzer überprüfen können, ob sie gehackt wurden – mittlerweile nahezu 11,5 Milliarden Konten listet. Dabei beträgt die Anzahl der Internetnutzer kaum mehr als 4,5 Milliarden. Das heißt also, dass pro Nutzer 2,5 Passwörter offengelegt wurden, die sich nun in den Händen von Kriminellen befinden.
Und diese Kriminellen wissen, dass wir schlampig mit unseren Anmeldedaten umgehen. Deshalb testen sie offengelegte Passwörter auf Websites rund um den Globus, um irgendwo ein Konto zu finden, bei dem sie funktionieren. Bedenkt man, dass die Erfolgsquote hierbei bis zu 1 % betragen kann, wird schnell klar, dass sich mit dieser Methode äußerst effektiv Konten auf der ganzen Welt übernehmen lassen.
Deshalb werden immer häufiger die anderen beiden Faktoren verwendet, um Nutzer zu verifizieren, die sich nur mit einem Passwort anmelden. Dann erhalten Sie beispielsweise eine SMS oder E‑Mail, um zu prüfen, ob Sie auch wirklich die Person sind, die sich gerade anmelden will. Doch auch das ist ein zusätzlicher und aufwendiger Schritt, den viele Onlineservices ihren Kunden nicht zumuten wollen – einen Code aus einer SMS zu kopieren und ihn dann auf einer Website einzufügen, schreit nicht gerade „reibungslos“. Und genau das wäre doch eigentlich das Ziel von Seitenbesitzern, die ein überzeugendes Nutzererlebnis bereitstellen wollen.
Doch wenn eine gute User Experience das Ziel ist, warum verlangen wir dann immer noch, dass Nutzer Passwörter verwenden? Natürlich sind sie stark verbreitet, aber wir kennen doch die Nachteile und Risiken. Wir könnten stattdessen einen der anderen beiden Faktoren verwenden: Wenn Sie eine Website besuchen, für die Sie ein Konto haben, wird eine Benachrichtigung an Ihr Smartphone gesendet, die Sie nur bestätigen müssen. Das fällt unter die Kategorie „etwas, das Sie besitzen“ und Nutzer müssen sich kein Passwort merken. Wenn wir dazu noch festlegen, dass die Bestätigung per Fingerabdruck erfolgen muss, haben wir sogar eine Zwei‑Faktor-Authentifizierung: „etwas, das Sie besitzen“ und „etwas, das Sie sind“. Dieser Ansatz würde für Webanwendungen und Apps gleichermaßen funktionieren.
Die Inklusion wird oft als großes Hindernis von Passwortalternativen betrachtet. Doch Passwörter selbst – und all ihre Rücksetz- und Captcha-Seiten – sind auch seit jeher in gewissem Maße exklusiv. Ungefähr 20 Prozent der englischsprachigen Weltbevölkerung leidet an Legasthenie – für sie ist die Passwortmethode alles andere als ideal.
Die Alternativen könnten also in Wahrheit inklusiver sein als unser aktuelles System. Gesichtserkennung, Fingerabdruckscan, Stimmidentifikation – alles Alternativen, die wir statt Passwörtern verwenden können. Wir müssen sie uns nicht merken und sie sind allesamt eindeutig. In den letzten 18 Monaten hat die Pandemie die Entwicklung vieler Technologien beschleunigt, die unser Leben leichter und sicherer machen. Wie kann es also sein, dass wir uns weiterhin von Passwörtern plagen lassen?
Das Aussterben der Passwörter wird vielleicht nicht so spektakulär wie das der Dinosaurier; es ist jedoch durchaus möglich, dass sie bald das gleiche Schicksal ereilt wie einst den Dodo.
