Der Schutz der eigenen digitalen Identität zählt zu den zentralen Herausforderungen im Bereich Sicherheit im Internet. Denn wer sich im Netz „bewegt“, hinterlässt Spuren. Und wer Onlinedienste nutzt, muss sich registrieren und benötigt dazu auch ein Passwort. Soweit, so gut. Wenn da nicht die Sache mit den oftmals viel zu einfachen Passwörtern wäre, Stichwort „123456“. Denn solche Passwörter sind vergleichbar mit dem Wohnungs- oder Hausschlüssel, den man außen an der Eingangstür stecken lässt. Es stellt sich daher die Frage: Gibt es Alternativen zum «sicheren» Passwort?
123456 – so geht Sicherheit im Internet nicht!
Egal, ob sie sich für eine soziale Plattform anmelden, oder in einem Online-Shop etwas kaufen: sie müssen sich registrieren und können den Zugang zu ihrem Profil mittels Passwort schützen. Diese weit verbreitete Nutzung von Passwörtern hat jedoch gleich mehrere Nachteile: Sie werden von Online-Diensteanbietern und Nutzern oft nicht ausreichend geschützt, gerne gestohlen, viel zu einfach „erraten“ oder sind – im Idealfall – so komplex, dass man sich nur schwer für jeden Dienst ein eigenes Passwort merken kann.
Doch wie kann Authentifizierung neu gedacht werden? Welche Alternativen gibt es zum Passwort und wie sicher ist eine verhaltensbasierte Authentifizierung?
Mit unter anderem dieser zentralen Frage beschäftigen sich die Wissenschaftler am Hasso-Plattner-Institut [HPI] in Potsdam. Vor dem Hintergrund der steigenden Zahl an Datenlecks – das HPI allein weiß von mehr als 9 Milliarden frei im Internet verfügbaren Identitätsdaten über den Identity-Leak-Checker-Service, wobei 3 Milliarden Passwörter im Klartext vorliegen: Welche Vorteile hätte eine verhaltensbasierte Authentifizierung, und welche Herausforderungen sind damit verbunden?
Sicher und vielversprechend
Eine sichere und vielversprechende Alternative zu den herkömmlichen Passwörtern ist die sogenannte verhaltensbasierte Authentifizierung. Vereinfacht gesagt, erkennt dabei ein Endgerät wie beispielsweise das Smartphone oder eine Smartwatch mittels ohnehin aufgezeichneten Sensordaten ein eindeutiges Verhaltensmuster, das den jeweiligen Nutzer/ Nutzerin eindeutig identifiziert.
Diese Verhaltensmuster ergeben sich etwa durch das Tippen auf der Tastatur, durch die Bewegung, mit der Nutzer ihr Smartphone aus der Tasche holen, oder auf Grund des individuellen Ganges. Aber auch andere Aktivitäten wie Telefonieren, Chatten oder Fotografieren mit dem Handy werden in diesem Zusammenhang untersucht und ergeben so ein umfangreiches Verhaltensmuster.
Aus diesem individuellen Verhalten wird schließlich ein prozentualer Wert, der sogenannte „Trust Level“ errechnet. Dieser Wert wird dann anstelle eines Passwortes an den jeweiligen Online-Dienst geschickt. Der kann wiederum selbst bestimmen, wie hoch der Trust Level sein muss, um sein Angebot nutzen, sprich sich einloggen zu können. Verliert man beispielsweise sein Smartphone oder es wird gestohlen, sinkt entsprechend der Trust Level und alle Zugänge werden gesperrt. Übrigens keine Angst, im Falle eines Verlustes gibt es diverse Fall Back Möglichkeiten, um sich weiterhin einloggen zu können.
Diese Methode hat zahlreiche Vorteile gegenüber herkömmlichen Passwörtern: Es ist sicher, benutzerfreundlich und letztlich auch kostengünstig, da die meisten Menschen ohnehin ein Smartphone besitzen und keine zusätzliche Hardware benötigt wird. Ein weiterer großer Vorteil ist außerdem, dass die Daten der Nutzer*innen niemals das Gerät verlassen müssen. Kein Profil wird gespeichert, keine zentrale Datenbank wird angelegt, kein Provider bekommt die Daten. Nur der errechnete Trust Level wird übermittelt – und dieser ist für Kriminelle im Gegensatz zu Passwörtern aber uninteressant.
Wenn schon Passwort, dann so sicher wie möglich
Bis es allerdings soweit ist, dass wir alle die verhaltensbasierte Authentifizierung verwenden können, wird es noch ein wenig dauern. Aktuell werden erste Versuche vom HPI-Startup neXenio in der Praxis getestet – beispielsweise beim Betreten von Bürogebäuden oder beim Öffnen der Autotür. Diese öffnen sich automatisch, wenn der entsprechend notwendige Trust Level vom Endgerät an die Tür übermittelt wurde.
Um bis zu einem breiten Einsatz dieser Authentifizierungsmöglichkeit zumindest ein «sicheres» Passwort zu verwenden, sollten ein paar wichtige Regeln zur Erstellung starker Passwörter beachtet werden. Die bereits oben erwähnte Zahlenreihe „123456“ zählt beispielsweise definitiv nicht dazu. Auch die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste ist extrem leichtsinnig, wenn man bedenkt, welche Schäden dadurch entstehen können.
Die wichtigsten Regeln zur Erstellung starker Passwörter
- Die Länge des Passworts sollte mindestens 15 Zeichen umfassen.
- Das Passwort sollte möglichst viele verschiedene Zeichentypen [Buchstaben, Ziffern, Sonderzeichen] sowie Groß- und Kleinschreibung mit einbeziehen.
- Verwenden sie keine Begriffe aus dem Wörterbuch oder andere „sinnvolle“ Zeichenfolgen. Gerade die sogenannten „Wörterbuchangriffe“ sind weit verbreitet, um fremde Passwörter zu knacken.
- Verwenden sie nie dasselbe Passwort für mehrere Konten. Denn sobald ein Passwort geknackt wird, ermöglicht es Kriminellen automatisch den Zugang zu allen anderen Diensten.
- Verwenden sie niemals persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung [zum Beispiel „Adobe“]. Diese Daten können sehr leicht erraten werden.
- Wenn möglich, nutzen sie die 2-Faktor-Authentifizierung.
- Passwortmanager helfen bei der Generierung und der sicheren Aufbewahrung starker Passwörter.
- Ein Tipp zum leichter Merken von sicheren Passwörtern: denken sie sich einen Satz aus wie zum Beispiel: „Heute scheint die Sonne und ich gehe mit meiner Freundin einen Kaffe trinken.“ Verwenden sie nun die jeweiligen Anfangsbuchstaben der Worte und reichern sie diese zusätzlich mit Zahlen und Sonderzeichen an. Dann könnte ihr Passwort so lauten: ))HsdSuigmmFeKt!27[
Schaut doch gleich besser aus als 123456 ;)
(Bilder: Pixabay.com)