piwik no script img

taz zahl ich

Cybersicherheit zum WeltpassworttagHallo liebe passwortfreie Welt

Malaika Rivuzumwami
von Malaika Rivuzumwami

Ein Dauerbrenner unter den Passwörtern ist immer noch 123456. Tech-Giganten arbeiten an einer Lösung, die sicher ist und ohne Passwörter funktioniert.

Ein Mann gibt auf der Computertastatur ein Passwort ein
Das klassische Passwort: Bald ein Relikt der Vergangenheit? Foto: Janine Schmitz/photothek/imago

J etzt mal Hand auf Herz, wie sieht es bei Ihnen mit der Sicherheit Ihres Passworts aus? Ihr eigenes Geburtsdatum oder lieber 1234? Vergangenen Donnerstag war Weltpassworttag, und da Cybersicherheit zwar immer wichtiger wird, aber Nut­ze­r:in­nen auch die einfachsten Sicherheitsschritte ignorieren, scheint es beim Thema weiterhin Nachholbedarf zu geben. Denn der Dauerbrenner unter den populärsten und gleichzeitig schwächsten Passwörtern ist immer noch 123456.

Es gibt bereits kleinere Helferlein: Passwortmanager-Apps können genutzt werden, um Passwörter zu erzeugen, die dort auch direkt sicher gespeichert werden können. Oder aber Sie nutzten die sicherere Zwei-Faktor-Authentifizierung. Bei diesen wird zum eingegeben Passwort ein zweiter Faktor berücksichtigt, beispielsweise ein per SMS gesendeter Code an Ihr Handy. Gibt es alles, auch nicht erst seit gestern. Doch wir Menschen sind Gewohnheitstiere und IT- und Datensicherheit nicht so richtig sexy Themen.

Die drei US-Tech-Giganten Apple, Google und Microsoft wollen uns eine einfache Lösung liefern, indem sie Passwörter einfach abschaffen. Dafür wollen die Unternehmen „plattformübergreifend zusammenarbeiten“, um die „vollständige Umstellung auf eine passwortlose Welt“ zu verwirklichen, erklärte der Vizepräsident von Microsoft, Alex Simons, vergangenen Donnerstag. Die Technologie dahinter ist nicht neu, die FIDO-Allianz und das Word Wide Web Consortium entwickelten sie seit Jahren. Das Kürzel FIDO steht für Fast Identity Online. Dahinter stehen mehrere Hundert Firmen und Organisationen – wie beispielsweise Visa, Huawei und Netflix –, die gemeinsam Standards für die sichere passwortlose Anmeldung bei Onlinediensten und Apps entwickeln.

Ein Schlüssel für alle Dienste

FIDO setzt auf kryptografische Methoden, um die Log-in-Daten seiner Nut­ze­r:in­nen zu schützen. Die Grundlage dafür ist ein kryptografischer Hauptschlüssel, auf dessen Basis für jeden Dienst, jede App und Website ein eigener Schlüssel erzeugt wird. Der kann beispielsweise in einem sicheren Speicherbereich eines Smartphones abgelegt werden. Für jede Anmeldung mit FIDO wird ein zweiter, öffentlicher Schlüssel erzeugt. Nur wenn beide Schlüssel zusammenpassen, ist ein Log-in möglich.

Kriminellen würden also gestohlene Daten von einer Webseite nichts mehr nutzen, denn ihnen würden die privaten Schlüssel fehlen. Auch Phishing-Versuche würden damit ins Leere laufen. Noch hapert es bei FIDO bei der Benutzerfreundlichkeit, denn es müssen beispielsweise noch einzelne Geräte registriert werden. Im kommenden Jahr wollen die drei Tech-Gigangen den Service in ihrer Software integrieren. Und damit würden tatsächlich große Tech-Unternehmen endlich mal ihr Know-how und ihr Geld dazu nutzen, das Internet ein wenig sicherer zu machen und gleichzeitig ihre Nut­ze­r:in­nen schützen. Welch schöne Nachrichten, zum Weltpassworttag – wer weiß, ab wann dieser der Vergangenheit angehören wird.

40.000 mal Danke!

40.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Was uns besonders macht? Sie, unsere Leser*innen. Sie wissen: Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Wir suchen auch weiterhin Unterstützung: suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus – schon mit 5 Euro im Monat! Jetzt unterstützen

Malaika Rivuzumwami

Malaika Rivuzumwami

 Redakteurin taz zwei
Jahrgang 1994 | bei der taz seit 2016 | früher auf Deutschlandreise für taz.meinland & Editorial SEO für die taz | seit 2019 Redakteurin für Gesellschaft und Medien | spricht mit im Podcast Weißabgleich und schreibt die Kolumne Digital Naives | Interessiert sich für Datenpolitik, Fake News & Social Bots.
Themen #Cybersicherheit #Kolumne Digital Naives #Passwörter
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Eine Jugendliche tippt auf einem Laptop

Unterrichtsfach „Digitale Welt“

Gerade richtig

Kolumne Digital Naives von Malaika Rivuzumwami
Hessen führt das Unterrichtsfach „Digitale Welt“ ein. Schü­le­r:in­nen sollen das Internet als ökonomischen Raum und als Lebenswelt kennenlernen.
Schilder im Finanzamt.

Lahme Digitalisierung in Deutschland

Warten auf den Klick

Kolumne Digital Naives von Malaika Rivuzumwami
Die Digitalisierung der Verwaltung geht schleppend voran, dabei sollte sie bis Ende 2022 abgeschlossen sein. Mal wieder hinkt Deutschland hinterher.
Eine junge Frau hält ihr Handy in der Hand

Digital Services Act

Das tolle Internet soll kommen

Kolumne Digital Naives von Malaika Rivuzumwami
Die EU hat am Wochenende ihr großes Internetgesetz beschlossen. Alles soll besser werden – doch es bleiben Kritikpunkte offen.

10 Wochen im Probeabo

taz digital + wochentaz print testen

Wahre Liebe und heiße Flirts: Wir schauen auf die politische Reality Deutschlands – jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

13 Kommentare

 / 
  • TZ

    @INGO BERNABLE

    Ich bleib' dabei. Schlüsseldatei, mit Passwort gesichert. Trauen Sie Ihrem Hardware-Dongle?

    Der einzige, der in Frage kommt ist m.W. Nitrokey. Und trotzdem: ist diese Komplexität etwas Wert? Oder investiere ich lieber in anständiges Passwort/Key management?

    Für mich ist diese Entscheidung ein no-brainer.

  •

    " ... sicher ist und ohne Passwörter ..."

    "Sicher" gibt es nicht - es gibt nur weniger Risiko.

    Und "ohne Passwörter" könnten wir auch ohne Zwangskonto bei den großen Handyplayern haben - aber das wird boykottiert.

    Bestes Beispiel für diesen Boykott ist pgp / gpg versus DE-Mail.

    Zweitbestes Beispiel ist die Sinnlosigkeit der Online-Funktion des Personalausweises.

    Drittbestes ist, dass alle Banken ihr eigenes Süppchen kochen anstatt ein einheitliches Crypto-Ding anzubieten.

    Ich könnte die Liste endlos fortsetzen ...

  •

    Eröffnet das den Betreibern des FIDO-Dienstes dann die Möglichkeit, mitzuverfolgen, wer sich wann wo wie lange eingeloggt hat? Oder ist Anonymität gewährleistet?

    • M
      @CarlaPhilippa:

      Der Dienst bei dem man sich anmeldet, hat natürlich die Möglichkeit dazu, diese Informationen zu erheben. Ein anderer Dienst kann diese Information aber nicht bekommen (außer die Dienste teilen die Information untereinander), das ist in dem Protokoll sichergestellt.

  • G

    Tipp: Verwendet einen OpenSource Passwortmanager mit zufällig generierten Passwörtern, sichert die Passwortdatei mit einem sehr starken Masterpasswort, dann könnt ihr sie auch über unsichere Kanäle übertragen, kopieren, speichern etc. Als starkes Masterpasswort taugt zum Beispiel eine Passphrase: Eine zufällig generierte Folge von drei bis fünf deutschen Wörtern. Hat eine hohe Entropie und man kann es sich trotzdem merken.

    • IB
      @grüzi:

      "Hat eine hohe Entropie und man kann es sich trotzdem merken."



      Na ja, je nachdem. Die Idee Tools wie john oder hashcat mit einem dictionary file zu füttern ist nun mal nicht so abwegig, dass ein*e Angreifer*in nicht darauf kommen könnte. Schon verschiebt sich die Entropie von den Symbolen zu den Wörtern. Wenn man einen aktiven Wortschatz von 15.000 Wörtern unterstellt und eine Hashrate von 20 GH/s, bräuchte das Brechen einer Passphrase aus 3 Wörtern weniger als eine Stunde und dabei sind grammatikalische Beschränkungen der Permutationsmöglichkeiten noch gar nicht berücksichtigt.

      • G
        @Ingo Bernable:

        Ja mit drei Wörtern und nur 15.000 Einträgen im Wörterbuch wirds knapp. Wenn man vier Wörter aus einem richtigen Wörterbuch würfelt (z.B. Duden, 150.000 Einträge) ist man schon um einen Faktor 150 Millionen besser - dann wars das.

        • IB
          @grüzi:

          Um sich kein kompliziertes Passwort merken zu müssen, soll man also stattdesse 4+x Wörter aus dem Duden auswürfeln die nicht zum üblichen Wortschatz gehören und die man sich deshalb wohl kaum besser wird merken können? Kann man schon machen. Macht aber meiner Erfahrung nach kaum jemand. '123456', 'Passwort' oder der Name der Katze tut´s ja auch. Wo Sicherheit zu lästig wird, ob an der Stanzmaschine oder am PC, wird sie ignoriert oder umgangen. Deshalb braucht es Lösungen die unkompliziert sind, am Besten vollständig im Hintergrund bleiben.

          • G
            @Ingo Bernable:

            Also ich kann mir auch 4 unübliche Wörter leichter merken als eine 14-stellige Buchstaben- oder eine 20-stellige Zahlenfolge.

            Aber ja, Bequemlichkeit ist das größte Sicherheitsrisiko. Kann deshalb eigentlich nicht sein, dass es am User und seiner Passwortkreativität hängen bleibt, wie sicher das System ist.

  • TZ

    Auf keinen Fall.

    Wenn ich irgendjemanden *nicht in die Nähe* meines Identitätsmanagements lassen will, dann ist es Google. Und Facebook. Und Apple. Und Microsoft.

    Danke, ich behalte mein Passwort. Und manage es selber.

    Ey, Leute: merkt Ihr nicht, wie Ihr Euch freiwillig dieser widerlichen Bande ausliefert?

    • IB
      @tomás zerolo:

      Der private Schlüssel verbleibt ja auf dem eigenen Gerät bzw. sogar geschützt auf einer speziellen FIDO-Hardware. In der IT werden seit Jahren Verfahren die ebenfalls auf asymmetrischer Kryptographie basieren dort eingesetzt wo hohe Sicherheit gefragt ist, etwa beim Fernzugriff auf Server oder der Sicherung von VPNs. Für Endanwender waren diese Lösungen aber bislang idR zu kompliziert in der Handhabung, sicherer als Passwörter sind sie aber allemal.



      Zumal Passwörter möglichst clientseitig in einen salted hash umgewandelt werden sollten, darauf, dass das immer der Fall ist, kann man sich aber auch nicht verlassen. Bedeutet also, wenn man schon einer FIDO-Infrastruktur nicht vertraut, sollte man Passwörtern erst recht nicht vertrauen.



      loginwithfido.com/



      security.stackexch...do-u2f-keys-stored

      •
        @Ingo Bernable:

        "... bislang idR zu kompliziert in der Handhabung,"

        Schonmal hinterfragt warum das so kompliziert ist ?

        Wenn es wirklich jemand an den Mann bringen wollte, wäre es nämlich kinderleicht ...

        • IB
          @Bolzkopf:

          "Schonmal hinterfragt warum das so kompliziert ist ?"



          Aber natürlich. Das dürfte wohl damit zu tun haben, dass das RSA-Verfahren an sich schon nicht ganz trivial ist. Und wenn man dann den Versuch unternimmt dieses Verfahren sicher auf einer Turing-Maschine zu implementieren die nun mal inhärent nicht sicher ist, wird das Ergebnis nun mal nicht simpel sein. Eben deshalb ist so ein FIDO-Key ja auch ein eigenes Stück Hardware und nicht nur ein Programm.



          Ein weiterer Grund dürfte sein, dass das nun mal Werkzeuge für Profis sind die mit dieser Komplexität umgehen können und sie auch brauchen. Weil diese etablierten Standardlösungen FOSS sind will die halt auch niemand "an den Mann bringen" und eine kommerzielle Alternative dürfte kaum Chancen haben sich durchzusetzen.



          Die Lücke für Endanwender*innen soll FIDO schließen, aber das wird, wie man hier sieht, sofort zerredet weil ja alles an dem Big Tech beteiligt ist, des Teufels sein muss.

meistkommentiert

1

Kanzler Olaf Scholz über Bundestagswahl

„Es darf keine Mehrheit von Union und AfD geben“

2

Weltpolitik in Zeiten von Donald Trump

Schlechte Deals zu machen will gelernt sein

3

Werben um Wech­sel­wäh­le­r*in­nen

Grüne entdecken Gefahr von Links

4

Emotionen und politische Realität

Raus aus dem postfaktischen Regieren!

5

Einführung einer Milliardärssteuer

Lobbyarbeit gegen Steuergerechtigkeit

6

Berlinale-Rückblick

Verleugnung der Gegenwart