Die Zukunft ist passwortlos

Das Passwort wird zwar nicht von heute auf morgen verschwinden. Doch es besteht die Hoffnung, dass wir uns nicht mehr mit komplizierten Logins herumschlagen müssen.

Der Gesichtsscaner wird das Passwort nicht ersetzen: Er lässt sich mit Masken aus dem 3-D-Drucker überlisten.

Der Gesichtsscaner wird das Passwort nicht ersetzen: Er lässt sich mit Masken aus dem 3-D-Drucker überlisten. Bild: Jean-Christophe Bott/Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

In diesem Sommer ist mit 93 Jahren einer der grossen Computerpioniere gestorben. Mit seiner Erfindung haben wir noch tagtäglich zu tun, sei es am Computer oder Handy. Doch anders als zum Beispiel Douglas Engelbart oder Tim Berners Lee, die Väter der Maus und des World Wide Web, hat die Schöpfung von Fernando Corbató heute einen zwiespältigen Ruf: Sie spielt eine ganz zentrale Rolle bei der Sicherheit unserer Daten. Aber sie ist auch lästig und zeitraubend. Auch Corbató hat noch vor seinem Tod mit ihr gehadert. «Es ist so eine Art Albtraum», sagte er 2014 in einem Interview mit dem «Wall Street Journal»: «Ich weiss nicht, wie sich jemand all diese Passwörter merken soll.»

Fernando Corbató war in den 1960er-Jahren am MIT in Massachusetts an einem Mehrbenutzersystems beteiligt. Da eine grössere Gruppe von Usern Zugang zu den Terminals hatte und es möglich war, auch persönliche Daten zu speichern, brauchte es einen Sicherheitsmechanismus. Ein Passwort zum Schutz war da eine naheliegende Lösung, hatte Corbató 2012 der Zeitschrift «Wired» erklärt.

Hier wurde das Passwort erfunden – der Entwickler gibt in einem Interview von 1963 Auskunft zum Stand der technischen Entwicklung.

Die Lösung hat sich über Jahrzehnte gehalten. Doch in dieser Zeit mutierten die Grossrechner-Terminals zu Personal Computern und Mobilgeräten. Unsere persönlichen Daten sind im Internet auf Dutzenden oder Hunderten Servern verstreut. Und das grösste Risiko ist nicht mehr, dass ein neugieriger Kollege einen Blick auf etwas wirft, das ihn nichts angeht. Heute versuchen cyberkriminelle Banden, Daten zu stehlen, zu missbrauchen und zu versilbern. Und immer wieder zeigt sich, dass die Zugangsdaten bei den Internetunternehmen schlecht geschützt sind. Am Wochenende ist bekannt geworden, dass bei Softwarehersteller Adobe die Daten zu 7,5 Millionen Abonnenten des Creative-Cloud-Dienstes gestohlen werden konnten.

Hacken ganz einfach

Diese grundsätzlichen Probleme zeigten sich schon ganz zu Beginn: Auch am MIT gab es Sicherheitslücken und «Hacker». «Wired» erzählt, wie Allan Scherr, damals Doktorand, mehr Rechenzeit benötigte. Die beschaffte er sich, indem er einen Ausdruck aller Passwörter anforderte und auch erhielt – und sich mit anderen Konten, auch dem des Laborchefs, einloggen konnte.

Den Mankos zum Trotz hat sich das Passwort gehalten. Wir Nutzer halten heute dagegen, indem wir Passwortmanager und immer längere und komplexere Passwörter benutzen. Als zusätzliches Element ist die Zwei-Faktor-Authentifizierung dazugekommen. Bei der wird das Einloggen durch einen Einmal-Code ergänzt. Das erhöht die Sicherheit markant: Ein Hacker muss sich nicht nur die Login-Daten, sondern auch diesen zweiten Faktor aneignen, um in ein fremdes Konto einzubrechen. Doch auch der Aufwand für den Nutzer und das Potenzial für Fehler wird grösser. Wenn man das Handy für den zweiten Faktor nutzt, dann bedeutet der Verlust des Geräts, dass man nicht mehr an seine Daten herankommt.

Biometrische Sensoren austricksen

Natürlich gibt es Bestrebungen, dieses Relikt aus der Anfangszeit der Computervernetzung abzulösen. Eine Erleichterung haben die biometrischen Systeme gebracht, die 2013 mit dem iPhone 5S massentauglich wurden. Der Fingerabdrucksensor oder Gesichtsscan erspart das Eintippen des Handy-Passcodes. Er entsperrt auch Passwortmanager am Mobilgerät oder Computer, was das Anmelden weniger umständlich macht.

Wie man Fingerabdruckscanner überlistet.

Als Ersatz fürs Passwort taugen biometrische Systeme nicht. Denn auch biometrische Merkmale lassen sich «stehlen»: 2007 gelang es dem Chaos Computer Club, den Fingerabdrucksensor einer Supermarktkasse zu überlisten. Gesichtsscanner können durch Masken aus dem 3-D-Drucker übertölpelt werden – und sie gewähren auch Zwillingen oder sehr ähnlich aussehenden Familienmitgliedern Zugang. Ein zweites Problem besteht darin, dass sich die körperlichen Merkmale über die Zeit verändern und eine Erkennung nie hundertprozentig, sondern immer nur innert gewisser Toleranzen erfolgt.

Die digitale ID als Lösung?

Die SwissID will das Passwort nicht abschaffen, aber insofern vereinfachen, dass das gleiche Login auf geschützte Art und Weise bei vielen Diensten benutzt werden kann. Das ist eine digitale Identitätskarte, die einmal ausgestellt, überall benutzt werden kann. Das klingt zwar einleuchtend, hat in der Praxis aber Haken und Ösen: Es ist ein Tauziehen darüber entstanden, ob ein solcher Internet-Ausweis durch private Unternehmen oder den Staat ausgestellt werden soll.

Und eine solche ID würde Nutzer eindeutig über viele Systeme hinweg identifizierbar machen. Mit den heute noch üblichen separaten Logins kann der Nutzer seine Online-Identitäten getrennt halten und manche Dienste auch mit Pseudonym-Login verwenden. Und natürlich wäre die SwissID eine nationale Lösung im globalen Internet.

Eine passwortlose Zukunft strebt die Fido-Allianz an. An ihr sind inzwischen auch Google, Mastercard und Visa, Microsoft und Samsung beteiligt. Sie steht hinter dem Fido2-Standard, mit dem man sich mit einem physischen Schlüssel anmeldet: Das kann eine Art USB-Stick sein, den man in seinen Computer, das Tablet oder Smartphone steckt. Der Schlüssel könnte auch in einer smarten Uhr oder einem anderen Wearable untergebracht sein.

Microsoft hat Fido2 seit dem Mai dieses Jahres in seine Websites und in Windows Hello eingebaut. Nutzer können sich statt mit Passwort mit einem USB-Sicherheitsschlüssel bei vielen Diensten des Konzerns anmelden. Und das funktioniert tatsächlich – wie genau, zeigen wir in diesem Video:

Der Schlüssel, den wir verwendet haben, ist ein Yubikey 5, der für ungefähr 45 Franken zum Beispiel bei Yubikey.ch erhältlich ist. Windows 10 und Android können auch als Sicherheitsschlüssel dienen, sodass man unter Umständen keine Extra-Hardware braucht.

Bis sich Fido2 auf breiter Basis im Internet etabliert hat, wird es noch einige Jahre dauern. Aber immerhin: Das Passwort-Chaos dürfte sich auf Dauer entschärfen.

Erstellt: 29.10.2019, 18:39 Uhr

So machen Sie sich das Leben leichter

Tricks rund ums Passwort-Management


  • Passwortmanager speichern und verwalten Zugangsdaten. Sie unterscheiden sich vor allem durch die Zusatzfunktionen. Keepass ist Open-Source und auf allen Plattformen verbreitet. Dashlane warnt, wenn im Darknet Login-Daten auftauchen und man sein Passwort ändern sollte. Lastpass unterstützt die Zwei-Faktor-Authentifizierung. 1Password bietet den Travel Mode: Er löscht bei einem Grenzübertritt heikle Daten für den Fall, dass Grenzbeamte Zugriff verlangen (ausführliche Hinweise zu den Unterschieden finden Sie hier).

  • Beim iPhone/iPad klinken sich Passwortmanager in den Einstellungen bei «Passwörter & Accounts > Automatisch ausfüllen» ins System ein. Mehr Tipps dazu finden Sie im Beitrag So beenden Sie am iPhone das Passwort-Chaos.

  • Die Browser fungieren ebenfalls als Passwortmanager und ersparen in vielen Fällen ein separates Programm. Apples Browser Safari arbeitet beim Mac mit dem Schlüsselbund-Programm zusammen. Die in Firefox gespeicherten Zugangsdaten lassen sich bei Mobilgeräten via Lockbox-App (iPhone/iPad, Android) abrufen.

  • Windows kann, in den Einstellungen unter «Konten > Anmeldeoptionen» statt mit einem Passwort auch mit einer PIN oder einem Bildcode geschützt werden. Ein Bildcode ist eine Abfolge von Klicks auf einem Foto. (schü.)

Artikel zum Thema

So schützen Sie Ihre persönlichen Daten im Netz

Ein Datenleck jagt das nächste: Im Netz sind inzwischen Milliarden Login-Daten frei zugänglich. 6 Tipps für den Selbstschutz. Mehr...

Sicher einloggen – ganz ohne Passwort

Video So haben Hacker keine Chance: Wie Sie mit einem kleinen Stück Hardware Ihre Log-ins absichern und sich sogar ganz ohne Passwort im Web anmelden. Mehr...

Wie man mit vernetzten Lautsprechern Passwörter klaut

Ein Sicherheitsunternehmen hat vorgeführt, wie Hacker mit den Assistenten von Google und Amazon die Nutzer belauschen und persönliche Daten stehlen. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Kommentare

Weiterbildung

Lohncheck in Pflegeberufen

Qualifiziertes Pflegepersonal ist rar. Eine Pflegeinitiative setzt sich darum für höhere Löhne ein.

Die Welt in Bildern

Fliegende Körner: Ein Bauer erntet Reis auf einem Feld in Nepal. (15. November 2019) A farmer harvests rice on a field in Lalitpur, Nepal November 15, 2019.
(Bild: Navesh Chitrakar ) Mehr...