Sicher im Netz einloggen: Der Trend geht zum Zweitpasswort
Wer häufig von fremden Computern auf seine Nachrichten zugreift, muss um sein Passwort bangen. Eine neue Entwicklung soll das ändern.
Es geht ganz schnell und tut auch überhaupt nicht weh: Wenn jemand – zum Beispiel an einem öffentlichen Computer in einem Internetcafé – Passwörter mitliest, bekommen die Nutzer nichts davon mit. Zumindest erst einmal. Vielleicht taucht später die eigene E-Mail-Adresse bei einer Warnmeldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf.
Vielleicht erhalten Freunde später auf einmal persönliche Hilferufe per E-Mail mit der Bitte, Geld per Western Union ins Ausland zu schicken, wo der Nutzer angeblich hilflos festsitzt. Vielleicht lässt sich mit dem gestohlenen Login auch schon eine komplette Identität übernehmen. Das ist vor allem dann einfach, wenn Nutzer das gleiche Passwort bei unterschiedlichen Diensten verwenden.
Der E-Mail-Anbieter mailbox.org, hinter dem der Provider JPBerlin steckt, will mit einer Neuentwicklung nun vermeiden, dass Unbefugte Passwörter abgreifen und damit den zugehörigen E-Mail-Account kapern – egal ob per Software im Internetcafé oder durch simples Über-die-Schulter-Schauen. Der Trick: Einmalpasswörter.
Aus dem Online-Banking ist das bereits bekannt: Da gibt es kleine taschenrechnerähnliche Geräte, die für jede Überweisung eine TAN erzeugen. Das ist in der Praxis nichts anderes als eine Art Einmalpasswort. Bei mailbox.org soll das Erzeugen der Passwörter eine Art USB-Stick übernehmen. Will ein Nutzer seine E-Mails etwa im Internetcafé abrufen, kann er, so er die Funktion vorher aktiviert hat, statt seines normalen Passworts ein vom Generator erzeugtes Einmalpasswort nutzen. Das sendet der eingestöpselte Stick per Knopfdruck in die Eingabemaske auf der Webseite des E-Mail-Anbieters.
Weil ein einmal generiertes Passwort allein wiederum recht unsicher wäre – schließlich kann der Stick auch mal verloren gehen – gibt es genau wie beim Online-Banking noch eine zweite Absicherung. Das ist eine PIN, die der Nutzer vorher festgelegt hat. Wollen Unbefugte Zugang zu dem E-Mail-Konto müssten sie also sowohl die PIN mitlesen, als auch den Passwortgenerator entwenden.
Nutzern des Dienstes muss die zusätzliche Sicherheit allerdings einiges Wert sein: 35 Euro müssen Anwender für die Anschaffung des Passwortsticks zahlen. Sollte die Methode Schule machen, lässt sich das Gerät allerdings auch bei anderen Onlinediensten zum Generieren von Passwörtern einsetzen.
40.000 mal Danke!
40.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Was uns besonders macht? Sie, unsere Leser*innen. Sie wissen: Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Wir suchen auch weiterhin Unterstützung: suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus – schon mit 5 Euro im Monat! Jetzt unterstützen
meistkommentiert
Polarisierung im Wahlkampf
„Gut“ und „böse“ sind frei erfunden
Werben um Wechselwähler*innen
Grüne entdecken Gefahr von Links
Wahlverhalten junger Menschen
Misstrauensvotum gegen die Alten
Donald Trump zu Ukraine
Trump bezeichnet Selenskyj als Diktator
Streit um tote Geiseln in Israel
Alle haben versagt
Soziologische Wahlforschung
Wie schwarz werden die grünen Milieus?