Sicher im Netz einloggen: Der Trend geht zum Zweitpasswort
Wer häufig von fremden Computern auf seine Nachrichten zugreift, muss um sein Passwort bangen. Eine neue Entwicklung soll das ändern.
Es geht ganz schnell und tut auch überhaupt nicht weh: Wenn jemand – zum Beispiel an einem öffentlichen Computer in einem Internetcafé – Passwörter mitliest, bekommen die Nutzer nichts davon mit. Zumindest erst einmal. Vielleicht taucht später die eigene E-Mail-Adresse bei einer Warnmeldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf.
Vielleicht erhalten Freunde später auf einmal persönliche Hilferufe per E-Mail mit der Bitte, Geld per Western Union ins Ausland zu schicken, wo der Nutzer angeblich hilflos festsitzt. Vielleicht lässt sich mit dem gestohlenen Login auch schon eine komplette Identität übernehmen. Das ist vor allem dann einfach, wenn Nutzer das gleiche Passwort bei unterschiedlichen Diensten verwenden.
Der E-Mail-Anbieter mailbox.org, hinter dem der Provider JPBerlin steckt, will mit einer Neuentwicklung nun vermeiden, dass Unbefugte Passwörter abgreifen und damit den zugehörigen E-Mail-Account kapern – egal ob per Software im Internetcafé oder durch simples Über-die-Schulter-Schauen. Der Trick: Einmalpasswörter.
Aus dem Online-Banking ist das bereits bekannt: Da gibt es kleine taschenrechnerähnliche Geräte, die für jede Überweisung eine TAN erzeugen. Das ist in der Praxis nichts anderes als eine Art Einmalpasswort. Bei mailbox.org soll das Erzeugen der Passwörter eine Art USB-Stick übernehmen. Will ein Nutzer seine E-Mails etwa im Internetcafé abrufen, kann er, so er die Funktion vorher aktiviert hat, statt seines normalen Passworts ein vom Generator erzeugtes Einmalpasswort nutzen. Das sendet der eingestöpselte Stick per Knopfdruck in die Eingabemaske auf der Webseite des E-Mail-Anbieters.
Weil ein einmal generiertes Passwort allein wiederum recht unsicher wäre – schließlich kann der Stick auch mal verloren gehen – gibt es genau wie beim Online-Banking noch eine zweite Absicherung. Das ist eine PIN, die der Nutzer vorher festgelegt hat. Wollen Unbefugte Zugang zu dem E-Mail-Konto müssten sie also sowohl die PIN mitlesen, als auch den Passwortgenerator entwenden.
Nutzern des Dienstes muss die zusätzliche Sicherheit allerdings einiges Wert sein: 35 Euro müssen Anwender für die Anschaffung des Passwortsticks zahlen. Sollte die Methode Schule machen, lässt sich das Gerät allerdings auch bei anderen Onlinediensten zum Generieren von Passwörtern einsetzen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Nach dem Anschlag in Magdeburg
Rechtsextreme instrumentalisieren Gedenken
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
Anbrechender Wahlkampf
Eine Extraportion demokratischer Optimismus, bitte!
Bundestagswahl am 23. Februar
An der Wählerschaft vorbei
Russische Männer auf TikTok
Bloß nicht zum Vorbild nehmen
EU-Gipfel zur Ukraine-Frage
Am Horizont droht Trump – und die EU ist leider planlos