Viele werden es mitbekommen haben Vor kurzem wurden mehrere Konten von Facebook-Gründer Mark Zuckerberg gehackt, darunter seine Zugänge zu Linkedin, Twitter und Pinterest. Zuckerberg, der bekanntlich ein recht technikaffiner Mensch ist, hatte offenbar ein äußerst simples Passwort verwendet. Seit 50 Jahren wurden Passwörter zur Sicherung von allen möglichen Zugängen genutzt. Und genauso lange werden sie geklaut und gehackt. Es wird Zeit, langsam mal über andere Sicherungsmethoden nachzudenken.


Bequemlichkeit siegt über Sicherheit

Das Internet ist voller mehr oder weniger sinnvoller Tipps zur Auswahl sicherer Passwörter. Eines steht fest: Es gibt auf jeden Fall sinnvolle Tipps, die ein Passwort deutlich sicherer machen. Das Problem dabei: Selbst die einfachsten Tipps (Verwenden sie lange Passwörter und benutzen Sie kein Passwort doppelt) greifen erheblich in die natürliche Bequemlichkeit des Menschen ein. Zwar gibt es inzwischen zahlreiche Passwortmanager, die das Verwalten der verschiedenen Zugänge erheblich erleichtern, aber dennoch ist es sicherlich viel bequemer, für alle Accounts das gleiche Passwort zu nutzen, dass man sich auch entsprechend gut merken kann.

Auch gute Passwörter sind nicht sicher

Aber selbst dann, wenn man nur unterschiedliche Passwörter mit 32 Stellen und Groß- und Kleinschreibung sowie Sonderzeichen nutzt, ist der Account keineswegs sicher. Denn viele der aufsehenerregenden Hacks aus den letzten Jahren gelangen nicht, weil die Nutzer unsichere Passwörter verwendeten, sondern weil eine Webseite anfällig für Hackerangriffe war und es gelang, die Passwörter auszulesen. In solchen Fällen hilft es allerdings durchaus, verschiedene Passwörter zu nutzen. Wer für sein (relativ sicheres) Online-Banking das gleiche Passwort verwendet wie für einen Forenzugang, der ist am Ende ein bisschen selber Schuld. Wenn dann mal eine solche Sicherheitslücke entdeckt wird, dann wird sie zumeist auch massiv ausgenutzt und es werden gleich millionenfach Accountdaten geklaut.


An dieser Stelle ein kleiner Hinweis: Auf der Webseite haveibeenpwned können Nutzer ihre E-Mail-Adresse oder ihre Accounts daraufhin überprüfen, ob sie in einem der Sicherheitslecks ausgelesen wurde.

Passwörter: Es geht auch ohne

Je länger man sich im virtuellen Raum bewegt, desto mehr Accounts und damit verbunden Passwörter hat man auch. Diese Vielzahl an Passwörtern ist obsolet und wäre vermeidbar, und zwar auch ohne auf komplexere Methoden wie etwa biometrische Authentifizierung zurückzugreifen.

So bieten beispielsweise viele Seiten die Möglichkeit an, sich mit Hilfe des eigenen Facebook- oder Twitter-Accounts anzumelden. Das geht schnell und ist bequem, könnte aber aufgrund von Datenschutzbedenken für viele Nutzer wenig wünschenswert sein.

Praktikabler ist da der Login per Mail oder SMS. Statt eines festen Passwortes schickt die entsprechende Webseite ein einmaliges Kennwort per SMS oder Mail an den User, das dieser dann nutzen kann, um sich auf der jeweiligen Seite einzuloggen.

Alle drei Varianten funktionieren, ohne dass die Webseite eine Datenbank hat, aus der ein Passwort ausgelesenen werden könnte. Allerdings sind auch sie nicht komplett sicher, denn auch ein Mail-Account oder eine Handynummer kann theoretisch gehackt werden. Der Aufwand für den Angreifer würde sich jedoch entsprechend erhöhen. Nachteilig wäre sicherlich, dass, sobald Mail-Account oder Handynummer geknackt ist, dem Hacker Tür und Tor zu vielen Zugängen des Nutzers offenstehen. Dieses Risiko könnte aber durch Nutzung der sogenannten Zwei-Faktor-Authentifizierung umgangen werden, bei denen sich die Nutzer über zwei voneinander unabhängige Methoden identifizieren müssen. Dem steht aber wieder die Bequemlichkeit entgegen.

Was verbleibt, ist in jedem Fall der Eindruck, dass reine Passwörter als Authentifizierungsmethode ausgedient haben. Bis ein entsprechendes Umdenken stattgefunden hat wird aber noch einige Zeit vergehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.