Sicher im Netz einloggen: Der Trend geht zum Zweitpasswort
Wer häufig von fremden Computern auf seine Nachrichten zugreift, muss um sein Passwort bangen. Eine neue Entwicklung soll das ändern.
Doppelt gesichert hält besser. Bild: dpa
Es geht ganz schnell und tut auch überhaupt nicht weh: Wenn jemand – zum Beispiel an einem öffentlichen Computer in einem Internetcafé – Passwörter mitliest, bekommen die Nutzer nichts davon mit. Zumindest erst einmal. Vielleicht taucht später die eigene E-Mail-Adresse bei einer Warnmeldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf.
Vielleicht erhalten Freunde später auf einmal persönliche Hilferufe per E-Mail mit der Bitte, Geld per Western Union ins Ausland zu schicken, wo der Nutzer angeblich hilflos festsitzt. Vielleicht lässt sich mit dem gestohlenen Login auch schon eine komplette Identität übernehmen. Das ist vor allem dann einfach, wenn Nutzer das gleiche Passwort bei unterschiedlichen Diensten verwenden.
Der E-Mail-Anbieter mailbox.org, hinter dem der Provider JPBerlin steckt, will mit einer Neuentwicklung nun vermeiden, dass Unbefugte Passwörter abgreifen und damit den zugehörigen E-Mail-Account kapern – egal ob per Software im Internetcafé oder durch simples Über-die-Schulter-Schauen. Der Trick: Einmalpasswörter.
Aus dem Online-Banking ist das bereits bekannt: Da gibt es kleine taschenrechnerähnliche Geräte, die für jede Überweisung eine TAN erzeugen. Das ist in der Praxis nichts anderes als eine Art Einmalpasswort. Bei mailbox.org soll das Erzeugen der Passwörter eine Art USB-Stick übernehmen. Will ein Nutzer seine E-Mails etwa im Internetcafé abrufen, kann er, so er die Funktion vorher aktiviert hat, statt seines normalen Passworts ein vom Generator erzeugtes Einmalpasswort nutzen. Das sendet der eingestöpselte Stick per Knopfdruck in die Eingabemaske auf der Webseite des E-Mail-Anbieters.
Weil ein einmal generiertes Passwort allein wiederum recht unsicher wäre – schließlich kann der Stick auch mal verloren gehen – gibt es genau wie beim Online-Banking noch eine zweite Absicherung. Das ist eine PIN, die der Nutzer vorher festgelegt hat. Wollen Unbefugte Zugang zu dem E-Mail-Konto müssten sie also sowohl die PIN mitlesen, als auch den Passwortgenerator entwenden.
Nutzern des Dienstes muss die zusätzliche Sicherheit allerdings einiges Wert sein: 35 Euro müssen Anwender für die Anschaffung des Passwortsticks zahlen. Sollte die Methode Schule machen, lässt sich das Gerät allerdings auch bei anderen Onlinediensten zum Generieren von Passwörtern einsetzen.
Leser*innenkommentare
FranKee 【Ƿ】
Jedes mal nur einen stetig wechselnden Teil des Passworts bzw. eines zusätzlichen Keycodes anfordern (3,5,8 Buchstabe), so wie das macht z.B. die DiBa beim Login mit einem 6-stelligen Keycode.
Speziell wenn die Anfrage von bislang „ungewohnten“ IPs, Browserumgebungen kommt, wäre auch noch eine Variante...
> Das ist vor allem dann einfach,
> wenn Nutzer das gleiche
> Passwort bei unterschiedlichen
> Diensten verwenden.
Es ist eigentlich IMMER einfach, weil die eigene Mailbox leider auch der Generalschlüssel fast aller Passwort-„vergessen“-Funktionen ist...
Webshops, Online-Services, anything goes...
Rainer B.
Das ließe sich doch genausogut mit dem neuen Personalausweis realisieren. Wieso nur ist das Vertrauen hier in staatliche Einrichtungen soviel geringer als in private Anbieter? Darüber sollte man sich mal intensiv Gedanken machen.
Achmed Anders
Warum wird hier ein obskurer Email-Anbieter beworben, bei dem die sogenannte Two-Faktor-Authentifizierung (TFA) auch noch Geld kostet? Erstens ist TFA ein alter Hut, und zweitens gibt es das bei Anbietern wie z.B. Google (Gmail) auch kostenlos. Die Pin, die man zum Einloggen braucht schickt einem Google bequem auf's Handy, dadurch kann man sich dann auch die Anschaffung von neuer Hardware sparen. Und Gmail ist bei weitem auch nicht der einzige Anbieter, der TFA bequem und kostenlos anbietet.