MELD! DICH! AN!
1234567 Passwörter sind die Pest. Entweder sind sie zu einfach, oder man vergisst sie ständig. Überhaupt: Wie vorsintflutlich, sich lange Zeichenketten merken zu müssen? An Alternativen und Ergänzungen wird längst gearbeitet. Ein Überblick.
Von Meike Laaff (Texte)
und Oliver Sperl (Illustration)
Biometrie
So geht es: Fast schon der Klassiker unter den Passwort-Alternativen: die Anmeldung mit individuellen Körperdaten. Scans von Fingerabdrücken, der Iris, dem Verlauf von Venen oder den Abmessungen des Gesichts. 2014 stellte Apple das iPhone5s vor, bei dem sich Nutzer per Fingerabdruck anmelden konnten. 2015 zog Microsoft nach: Optional kann man sich auch hier mithilfe eines Fingerabdruck-, Gesichts- oder Irisscan authentifizieren.
Das taugt es: Softwareseitig gelten diese Verfahren als relativ zuverlässig. Doch auch der beste Code verhindert nicht Probleme, die bei der Eingabe dieser biometrischen Verfahren entstehen. So sind noch längst nicht alle mobilen Erfassungsgeräte in der Lage, zu erkennen, ob man nur ein Foto vor die Kamera hält oder das tatsächliche Gesicht. Sicherheitsforscher Markus Dürmuth von der Ruhr-Universität Bochum sagt, im Allgemeinen gelte: je günstiger die Geräte, die zur Erkennung zum Einsatz kommen, desto leichter lassen sie sich umgehen. Auch dann, wenn die Software eigentlich tadellos funktioniert.
Das sind die Schwächen: Jeder Mensch hat nur zehn Finger. Nutzt aber meist mehr als zehn Dienste. Was bedeutet: Mit seinem Fingerabdruck muss er sich mehrfach bei mehreren Diensten anmelden. Hinzu kommt: Bei umfassendem digitalen Identitätsklau muss man bisher ein paar Passwörter ändern. Doch wie ändert man seine biometrischen Merkmale? Nachdem Apple bei einem neuen iPhone-Modell die Anmeldung per Fingerabdruck einführte, demonstrierte der Chaos Computer Club Ende 2014, dass es möglich ist, das System mit einem kopierten Abdruck zu übertölpeln. Damit das für den Nutzer gefährlich wird, müssten sich Angreifer allerdings das Gerät plus einen Abdruck beschaffen, sagt Dürmuth. „Jeder muss für sich entscheiden, ob das ein Problem ist, das ihn bedrückt.“
Passwort im Kopf
So geht es: An den Unis wird schon seit einer Weile an Verfahren geforscht, wie man Nutzern ein Passwort unbewusst in den Kopf einpflanzen kann. In Stanford etwa ersann Hristo Bojinov ein System, bei dem der Nutzer mit einem Guitar-Hero-ähnlichen Spielgerät Tonfolgen nachspielen muss und darüber unbewusst sein Muskelgedächtnis trainiert: In einer Trainingssequenz, die bis zu 60 Minuten dauere, wird Usern, ohne dass sie es bemerken, eine sich wiederholende 30-Zeichen-Sequenz beigebracht. Die Folge sei zu lang, um sie aktiv zu erinnern – doch durch ständige Wiederholungen werde den Fingern die flüssige Reproduktion beigebracht. Spielt der User diese Sequenz im Authentifizierungsprozess erneut, spiele er diese 5 bis 10 Prozent besser als unbekannte Sequenzen. Was bedeutet: Seine Finger haben die Zeichenfolge verinnerlicht – und anhand dessen vermag eine Software den Nutzer zu identifizieren. Ähnlich funktioniert ein Verfahren, das Markus Dürmuth entwickelt hat. Dabei werden Usern Bilder gezeigt, die später verfremdet werden und nur noch für Menschen erkennbar sind, die das Originalbild kennen.
Das taugt es: „Interessant“ ist der Begriff, den man von Sicherheitsforschern zu diesem Verfahren am häufigsten hört. Sicherheitsforscher Dürmuth weist darauf hin, dass Bojinovs Methode gegen einen Angriff sicher ist, für den fast alle anderen Systeme anfällig sind: Erpressungsversuche. Ein entscheidender Vorteil: Da der Mensch sie selbst nicht kennt, kann er es auch nicht verraten. Für viele andere Angriffe hingegen sei Bojinov‘s Methode ebenfalls unsicher.
Das sind die Schwächen: „Bisher noch völlig unpraktikabel, aber spannend“, urteilt Dürmuth über das Tonfolge-Verfahren. Mehrere Minuten dauert etwa die Authentifizierung. Weitere Schwäche: Mit Hochdruck zur Marktreife gepeitscht hat Bojinov sein Verfahren nicht gerade: Nach Veröffentlichungen 2012 ist es recht still darum geworden. Und so bleibt unbeantwortet, wie lange das Muskelgedächtnis die eingeübte Melodie eigentlich erkennbar speichert ...
Google Abacus
So geht es: Google hat auf einer Entwicklerkonferenz Ende Mai ein eigenes Authentifizierungswerkzeug für seine Mobilgeräte angekündigt: Google Abacus. Darin sollen ganz verschiedene Authentifizierungsmethoden zusammenfließen: Stimme und Gesichtserkennung kommen zum Einsatz – und zusätzlich gleicht das Gerät im laufenden Betrieb ab, ob der Nutzer so tippt wie sonst, ähnlich wie sonst auf den Geräten herumwischt und die Apps nach gewohntem Schema nutzt. Kommt das System zu dem Schluss, dass es sich nicht um den richtigen Nutzer handelt, sperrt es den Zugriff auf bestimmte Teile des Systems. Anrufe können aber dennoch empfangen werden. Eine Ankündigung, wann Abacus startet, fehlen bisher.
Das taugt es: Das ist in der Praxis noch etwas schwierig zu beurteilen – schließlich hat Google den Dienst erst angekündigt. Wie immer, wenn man mehrere Verfahren zur Authentifizierung kombiniert, werden die Schwächen einzelner Verfahren natürlich abgeschwächt.
Das sind die Schwächen: Wirklich neu sei der Google-Vorstoß nicht, sagt Markus Dürmuth: An den einzelnen Elementen, die Google vereinen will, wird schon längst geforscht. „Aber wenn Google etwas so prominent ankündigt, kann man schon davon ausgehen, dass es funktioniert und sie schon kurz vor der Marktreife stehen.“
Verhalten
So geht es: Wie wir gehen, uns bewegen, sprechen, unsere Tippdynamik – auch das charakterisiert uns ziemlich eindeutig. Erkennbar ist das zumindest für Maschinen, die unser Verhalten ständig überwachen – mithilfe von Sensoren und Kameras, die längst schon in Smartphones, Tablets und anderen Geräten eingebaut sind. Denn nur wenn die über längere Zeiträume derartige Verhaltensdaten aufzeichnen, kann registriert werden, ob es sich bei demjenigen, der sich anmelden möchte, tatsächlich um den registrierten Besitzer des Geräts handelt
Das taugt es: Für sich genommen nicht richtig viel (siehe unten).
Das sind die Schwächen: „Nach allem, was mir bekannt ist, ist jedes der Verfahren einzeln vergleichsweise unsicher“, sagt Marcus Dürmuth. Geeignet sei es vielleicht für die Kombination, etwa mit einem Passwort.
Hardware Tokens
So geht es: Viele der hier beschriebenen Verfahren taugen nur, wenn es um die Anmeldung und Authentifizierung auf mobilen Geräten geht, die den Habitus des Nutzers den ganzen Tag im Blick haben und mit Kameras und Sensoren ausgestattet sind. Kniffliger ist es, sich Passwort-Alternativen für sensorfreie Desktop-Computer auszudenken. Zurück zu den Wurzeln geht der Ansatz, sich einfach mit Hilfe von Hardware-Komponenten auszuweisen: Nutzer bekommen einen Chip, etwa in Form einer Smartcard oder eines USB-Tokens. Wollen sie sich anmelden, stecken sie diese in entsprechende Ports oder Lesegeräte – und es werden immer wieder neue, verschlüsselte Zahlenkombinationen ausgespuckt, die nur für einen kurzen Zeitraum gültig sind und dann erneuert werden.
Das taugt es: Derartige Verfahren werden von einigen Unternehmen optional angeboten und besonders von Prominenten und anderen Personen mit erhöhtem Sicherheitsbedürfnis verwendet, um einen sichereren Zugang als allein übers Passwort zu haben. Zum Einsatz kommt das laut Sicherheitsforscher Dürmuth zum Beispiel bei Google, die Security Keys für eine Zwei-Faktor-Authentifizierung anbieten (alternativ zu der weiter verbreiteten Option, zusätzlich zum Passwort einen aufs Handy geschickten Code eingeben zu müssen).
Das sind die Schwächen: Hardware-Tokens sind aufwändig und kompliziert – für Nutzer wie Anbieter. Für ein paar Promis und Politiker mag das auch noch ein größerer Dienst vielleicht verwalten können. Massentauglich ist das aber nicht – man stelle sich nur das Kuddelmuddel vor, das entstehen würde, wenn ein Dienst wie Facebook alle seine Kunden mit eigenen Dongles ausstatten müsste, die dann erfahrungsgemäß auch noch regelmäßig verloren gehen ... Und auch hier, wie bei praktisch jeder Authentifizierungsmethode, haben Verschlüsselungsexperten die Kryptografie einiger Token-Hersteller bereits knacken können.
