Vor allem Internetnutzer sind zunehmend genervt: Jeder Online-Zugang verlangt nach einem Passwort. Nicht verwunderlich, dass viele denselben Code für alle Logins verwenden. Das Creditreform-Magazin zeigt, wie Sie bequem und dennoch sicher im Web unterwegs sein können.
Wer soll sich das alles merken? Einige Online-Surfer jonglieren für ihre Web-Dienste und -Anwendungen mit bis zu zwei Dutzend Passwörtern. Wer ganz auf Nummer sicher gehen will, nutzt Kombinationen aus Zahlen, Buchstaben und Sonderzeichen, die auf den ersten Blick keinen Sinn ergeben, erneuert in regelmäßigen, kurzen Abständen diese Codes und vermeidet es tunlichst, alte Varianten noch einmal zu verwenden. Spätestens nach wenigen Monaten ist die Verwirrung perfekt.
Frustriert setzen viele deshalb immer wieder auf dasselbe Passwort. Sehr zur Freude der Hacker: Sie nutzen Werkzeuge, die vollautomatisch alle möglichen Zahlen- und Buchstabenkombinationen ausprobieren und ganze Wörterbücher eingeben, bis sie ein Kennwort geknackt haben. Nach Angaben des Sicherheitsexperten Kasperski dauert das bei Passwörtern mit vier bis fünf Zeichen nur wenige Sekunden. Jedes weitere Zeichen erhöht die benötigte Zeit um das Zehnfache.
Mindestens zwölf Zeichen
Ein starkes Passwort sollte daher mindestens zwölf Zeichen lang und vor allem kein richtiges Wort sein. Doch darauf achten bislang die wenigsten:
Schlecht gewählte Kennwörter stehen nach Umfragen des Berliner Hightech-Verbands Bitkom denn auch auf der Hitliste besonders häufiger IT-Sicherheitsdefizite in Unternehmen ganz weit oben. Dazu kommt, dass Zugangsdaten immer wieder Kriminellen in die Hände gelangen – erst gerade sollen sie wieder 1,2 Milliarden Login-Daten erbeutet haben.
IT wirksam schützen
Das ausgeklügelste Geheimwort nützt allerdings nichts, wenn der Computer infiziert ist, an dem man es eingibt. Schadprogramme spähen dann nämlich die Tastenfolge beim jeweiligen Anmelden aus. Gute Passwortsysteme ersetzen schon aus diesem Grund nicht regelmäßige Software-Aktualisierungen und einen effizienten Virenschutz, warnt deshalb das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Grundsätzlich sollte jeder Mitarbeiter ein aktuelles Virenschutzprogramm auf seinem Rechner, Smartphone und Tablet installiert haben, um das Infektionsrisiko mit Schadsoftware zu begrenzen, so die Empfehlung des BSI. Zusätzlich sollte sowohl das Betriebssystem des PC als auch die verwendete Software immer auf dem aktuellen Stand sein.
„Eines für alle: Passwortsafes“
In Sachen Login-Daten sind sogenannte Passwortsafes hilfreich. Nach dem Motto „eines für alle“ funktionieren beispielsweise die Produkte Keepass, Lastpass, Password Depot oder Mylockbox. Damit müssen sich Anwender nur noch ein Masterpasswort merken, mit dem sie Zugang zu allen anderen Codes erhalten. Die Programme werden entweder in einem verschlüsselten Bereich der Festplatte oder auf einem extra USB-Stick gespeichert.
Solche Programme funktionieren auch auf dem Smartphone, etwa mit der App Mobile Sitter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT für iPhones und Android-Geräte. Hier gibt der Besitzer sein Zugangswort ein, die App zeigt daraufhin ein Symbol. Entspricht es dem Symbol, das bei der Einrichtung festgelegt wurde, ist das Kennwort korrekt – alle gespeicherten Passwörter beziehungsweise PINs werden daraufhin entschlüsselt und angezeigt. Hacker hingegen können nicht erkennen, ob ihr Versuch erfolgreich war, weil der Mobile Sitter ihnen immer plausible Ergebnisse vorgaukelt. Erst beim Versuch, damit Webseiten oder Online-Konten zu öffnen, fliegt die Täuschung auf.
Geschützt dank Eselsbrücken (c) Creditreform-Magazin 10/2014
Um es den Anwendern leichter und den Hackern schwerer zu machen, tüftelt die Branche an alternativen Login-Möglichkeiten. PIN-grid etwa arbeitet mit Mustern: Der Anwender gibt bei dieser Variante in einem Zahlenraster, das in einem Quadrat liegt, ein selbst gewähltes Muster ein, das über sechs Kästchen geht. Die Zahlen in den Kästchen ändern sich ständig, sodass sich auch das Passwort immer ändert. Zum Login wählt er einfach die in dem Moment unter seinem Muster liegenden Zufallszahlen. Diese sind jeweils nur für eine Einwahl gültig. Einziger Wermuts- tropfen. Derzeit ist das System lediglich für Webseiten- und App-Entwickler erhältlich.
Von Biometrie bis Ultraschall
Eine weitere Variante ist die Absicherung über biometrische Daten. Nach einer Umfrage des Bitkom kann sich bereits jeder zweite Deutsche vorstellen, bargeldlose Zahlungen etwa per Fingerabdruck oder Iris-Scan abzusichern. „Biometrische Passwörter können nicht vergessen werden oder verloren gehen“, erklärt Verbandspräsident Dieter Kempf. Bei dieser Methode werden individuelle Merkmale von Menschen vermessen, über einen Algorithmus in einen Datensatz umgewandelt und digital gespeichert. Um eine Identität zu prüfen, können die umgewandelten biometrischen Werte einer Person mit den zuvor gespeicherten Datensätzen verglichen werden. Heute bereits bekannte Verfahren sind beispielsweise der Fingerabdrucksensor beim iPhone 5S, der Iris-Scan, ein Stimmenprofil oder ein Abgleich der Herzschlagrate.
Suchmaschinen-Gigant Google setzt dagegen in Zukunft voll auf Töne. Der US-Konzern kaufte kürzlich das auf Audio-Login-Verfahren spezialisierte israelische Start-up Slicklogin. Bei derem Produkt funktioniert das Einloggen mit Unterstützung eines Smartphones und einer App, auf der die Zugangsdaten des Nutzers gespeichert sind. Zudem wird eine Verbindung mit einem PC oder Notebook benötigt. Das Smartphone und der PC, auf dem die Website aufgerufen wird, tauschen ein Erkennungssignal in Ultraschallfrequenz aus. Dafür müssen jedoch beide Geräte ne- beneinanderliegen und die Lautsprecher eingeschaltet sein – Hauptsache, der Feind hört nicht mit!
