5853024

Cybersicherheit zum Weltpassworttag: Hallo liebe passwortfreie Welt

Ein Dauerbrenner unter den Passwörtern ist immer noch 123456. Tech-Giganten arbeiten an einer Lösung, die sicher ist und ohne Passwörter funktioniert.

Ein Mann gibt auf der Computertastatur ein Passwort ein

Das klassische Passwort: Bald ein Relikt der Vergangenheit? Foto: Janine Schmitz/photothek/imago

Jetzt mal Hand auf Herz, wie sieht es bei Ihnen mit der Sicherheit Ihres Passworts aus? Ihr eigenes Geburtsdatum oder lieber 1234? Vergangenen Donnerstag war Weltpassworttag, und da Cybersicherheit zwar immer wichtiger wird, aber Nut­ze­r:in­nen auch die einfachsten Sicherheitsschritte ignorieren, scheint es beim Thema weiterhin Nachholbedarf zu geben. Denn der Dauerbrenner unter den populärsten und gleichzeitig schwächsten Passwörtern ist immer noch 123456.

Es gibt bereits kleinere Helferlein: Passwortmanager-Apps können genutzt werden, um Passwörter zu erzeugen, die dort auch direkt sicher gespeichert werden können. Oder aber Sie nutzten die sicherere Zwei-Faktor-Authentifizierung. Bei diesen wird zum eingegeben Passwort ein zweiter Faktor berücksichtigt, beispielsweise ein per SMS gesendeter Code an Ihr Handy. Gibt es alles, auch nicht erst seit gestern. Doch wir Menschen sind Gewohnheitstiere und IT- und Datensicherheit nicht so richtig sexy Themen.

Die drei US-Tech-Giganten Apple, Google und Microsoft wollen uns eine einfache Lösung liefern, indem sie Passwörter einfach abschaffen. Dafür wollen die Unternehmen „plattformübergreifend zusammenarbeiten“, um die „vollständige Umstellung auf eine passwortlose Welt“ zu verwirklichen, erklärte der Vizepräsident von Microsoft, Alex Simons, vergangenen Donnerstag. Die Technologie dahinter ist nicht neu, die FIDO-Allianz und das Word Wide Web Consortium entwickelten sie seit Jahren. Das Kürzel FIDO steht für Fast Identity Online. Dahinter stehen mehrere Hundert Firmen und Organisationen – wie beispielsweise Visa, Huawei und Netflix –, die gemeinsam Standards für die sichere passwortlose Anmeldung bei Onlinediensten und Apps entwickeln.

Ein Schlüssel für alle Dienste

FIDO setzt auf kryptografische Methoden, um die Log-in-Daten seiner Nut­ze­r:in­nen zu schützen. Die Grundlage dafür ist ein kryptografischer Hauptschlüssel, auf dessen Basis für jeden Dienst, jede App und Website ein eigener Schlüssel erzeugt wird. Der kann beispielsweise in einem sicheren Speicherbereich eines Smartphones abgelegt werden. Für jede Anmeldung mit FIDO wird ein zweiter, öffentlicher Schlüssel erzeugt. Nur wenn beide Schlüssel zusammenpassen, ist ein Log-in möglich.

Kriminellen würden also gestohlene Daten von einer Webseite nichts mehr nutzen, denn ihnen würden die privaten Schlüssel fehlen. Auch Phishing-Versuche würden damit ins Leere laufen. Noch hapert es bei FIDO bei der Benutzerfreundlichkeit, denn es müssen beispielsweise noch einzelne Geräte registriert werden. Im kommenden Jahr wollen die drei Tech-Gigangen den Service in ihrer Software integrieren. Und damit würden tatsächlich große Tech-Unternehmen endlich mal ihr Know-how und ihr Geld dazu nutzen, das Internet ein wenig sicherer zu machen und gleichzeitig ihre Nut­ze­r:in­nen schützen. Welch schöne Nachrichten, zum Weltpassworttag – wer weiß, ab wann dieser der Vergangenheit angehören wird.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Kolumne Digital Naives

Kolumne von

Jahrgang 1994 | bei der taz seit 2016 | früher auf Deutschlandreise für taz.meinland & Editorial SEO für die taz | seit 2019 Redakteurin für Gesellschaft und Medien | spricht mit im Podcast Weißabgleich und schreibt die Kolumne Digital Naives | Interessiert sich für Datenpolitik, Fake News & Social Bots.

Themen

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • tomás zerolo

    @INGO BERNABLE

    Ich bleib' dabei. Schlüsseldatei, mit Passwort gesichert. Trauen Sie Ihrem Hardware-Dongle?

    Der einzige, der in Frage kommt ist m.W. Nitrokey. Und trotzdem: ist diese Komplexität etwas Wert? Oder investiere ich lieber in anständiges Passwort/Key management?

    Für mich ist diese Entscheidung ein no-brainer.

  • Bolzkopf

    " ... sicher ist und ohne Passwörter ..."

    "Sicher" gibt es nicht - es gibt nur weniger Risiko.

    Und "ohne Passwörter" könnten wir auch ohne Zwangskonto bei den großen Handyplayern haben - aber das wird boykottiert.

    Bestes Beispiel für diesen Boykott ist pgp / gpg versus DE-Mail.

    Zweitbestes Beispiel ist die Sinnlosigkeit der Online-Funktion des Personalausweises.

    Drittbestes ist, dass alle Banken ihr eigenes Süppchen kochen anstatt ein einheitliches Crypto-Ding anzubieten.

    Ich könnte die Liste endlos fortsetzen ...

  • CarlaPhilippa

    Eröffnet das den Betreibern des FIDO-Dienstes dann die Möglichkeit, mitzuverfolgen, wer sich wann wo wie lange eingeloggt hat? Oder ist Anonymität gewährleistet?

    • mrpink

      @CarlaPhilippa Der Dienst bei dem man sich anmeldet, hat natürlich die Möglichkeit dazu, diese Informationen zu erheben. Ein anderer Dienst kann diese Information aber nicht bekommen (außer die Dienste teilen die Information untereinander), das ist in dem Protokoll sichergestellt.

  • grüzi

    Tipp: Verwendet einen OpenSource Passwortmanager mit zufällig generierten Passwörtern, sichert die Passwortdatei mit einem sehr starken Masterpasswort, dann könnt ihr sie auch über unsichere Kanäle übertragen, kopieren, speichern etc. Als starkes Masterpasswort taugt zum Beispiel eine Passphrase: Eine zufällig generierte Folge von drei bis fünf deutschen Wörtern. Hat eine hohe Entropie und man kann es sich trotzdem merken.

    • Ingo Bernable

      @grüzi "Hat eine hohe Entropie und man kann es sich trotzdem merken."

      Na ja, je nachdem. Die Idee Tools wie john oder hashcat mit einem dictionary file zu füttern ist nun mal nicht so abwegig, dass ein*e Angreifer*in nicht darauf kommen könnte. Schon verschiebt sich die Entropie von den Symbolen zu den Wörtern. Wenn man einen aktiven Wortschatz von 15.000 Wörtern unterstellt und eine Hashrate von 20 GH/s, bräuchte das Brechen einer Passphrase aus 3 Wörtern weniger als eine Stunde und dabei sind grammatikalische Beschränkungen der Permutationsmöglichkeiten noch gar nicht berücksichtigt.

      • grüzi

        @Ingo Bernable Ja mit drei Wörtern und nur 15.000 Einträgen im Wörterbuch wirds knapp. Wenn man vier Wörter aus einem richtigen Wörterbuch würfelt (z.B. Duden, 150.000 Einträge) ist man schon um einen Faktor 150 Millionen besser - dann wars das.

        • Ingo Bernable

          @grüzi Um sich kein kompliziertes Passwort merken zu müssen, soll man also stattdesse 4+x Wörter aus dem Duden auswürfeln die nicht zum üblichen Wortschatz gehören und die man sich deshalb wohl kaum besser wird merken können? Kann man schon machen. Macht aber meiner Erfahrung nach kaum jemand. '123456', 'Passwort' oder der Name der Katze tut´s ja auch. Wo Sicherheit zu lästig wird, ob an der Stanzmaschine oder am PC, wird sie ignoriert oder umgangen. Deshalb braucht es Lösungen die unkompliziert sind, am Besten vollständig im Hintergrund bleiben.

          • grüzi

            @Ingo Bernable Also ich kann mir auch 4 unübliche Wörter leichter merken als eine 14-stellige Buchstaben- oder eine 20-stellige Zahlenfolge.

            Aber ja, Bequemlichkeit ist das größte Sicherheitsrisiko. Kann deshalb eigentlich nicht sein, dass es am User und seiner Passwortkreativität hängen bleibt, wie sicher das System ist.

  • tomás zerolo

    Auf keinen Fall.

    Wenn ich irgendjemanden *nicht in die Nähe* meines Identitätsmanagements lassen will, dann ist es Google. Und Facebook. Und Apple. Und Microsoft.

    Danke, ich behalte mein Passwort. Und manage es selber.

    Ey, Leute: merkt Ihr nicht, wie Ihr Euch freiwillig dieser widerlichen Bande ausliefert?

    • Ingo Bernable

      @tomás zerolo Der private Schlüssel verbleibt ja auf dem eigenen Gerät bzw. sogar geschützt auf einer speziellen FIDO-Hardware. In der IT werden seit Jahren Verfahren die ebenfalls auf asymmetrischer Kryptographie basieren dort eingesetzt wo hohe Sicherheit gefragt ist, etwa beim Fernzugriff auf Server oder der Sicherung von VPNs. Für Endanwender waren diese Lösungen aber bislang idR zu kompliziert in der Handhabung, sicherer als Passwörter sind sie aber allemal.

      Zumal Passwörter möglichst clientseitig in einen salted hash umgewandelt werden sollten, darauf, dass das immer der Fall ist, kann man sich aber auch nicht verlassen. Bedeutet also, wenn man schon einer FIDO-Infrastruktur nicht vertraut, sollte man Passwörtern erst recht nicht vertrauen.

      loginwithfido.com/

      security.stackexch...do-u2f-keys-stored

      • Bolzkopf

        @Ingo Bernable "... bislang idR zu kompliziert in der Handhabung,"

        Schonmal hinterfragt warum das so kompliziert ist ?

        Wenn es wirklich jemand an den Mann bringen wollte, wäre es nämlich kinderleicht ...

        • Ingo Bernable

          @Bolzkopf "Schonmal hinterfragt warum das so kompliziert ist ?"

          Aber natürlich. Das dürfte wohl damit zu tun haben, dass das RSA-Verfahren an sich schon nicht ganz trivial ist. Und wenn man dann den Versuch unternimmt dieses Verfahren sicher auf einer Turing-Maschine zu implementieren die nun mal inhärent nicht sicher ist, wird das Ergebnis nun mal nicht simpel sein. Eben deshalb ist so ein FIDO-Key ja auch ein eigenes Stück Hardware und nicht nur ein Programm.

          Ein weiterer Grund dürfte sein, dass das nun mal Werkzeuge für Profis sind die mit dieser Komplexität umgehen können und sie auch brauchen. Weil diese etablierten Standardlösungen FOSS sind will die halt auch niemand "an den Mann bringen" und eine kommerzielle Alternative dürfte kaum Chancen haben sich durchzusetzen.

          Die Lücke für Endanwender*innen soll FIDO schließen, aber das wird, wie man hier sieht, sofort zerredet weil ja alles an dem Big Tech beteiligt ist, des Teufels sein muss.