Thüringer Allgemeine (Nordhausen)
Ohne Passwort sicher im Netz
Viele gehen mit ihren Zugangsdaten zu leichtsinnig um. Eine Allianz um Google und Apple will das Anmelden vereinfachen
Berlin. Das Konto von Kriminellen gekapert, Login-daten geklaut, Fremde verschaffen sich Zugang zu persönlichen Daten oder zum Online-banking – eine Horrorvorstellung. Trotzdem gehen viele leichtsinnig ans Werk, wenn es darum geht, Passwörter zu vergeben. So landete in der jährlichen Rangliste des Hasso-plattner-instituts (HPI) der beliebtesten Passwörter 2022 erneut „123456“auf Platz eins. „Der laxe Umgang mit Passwörtern ist gefährlich“, mahnte HPI-CHEF Christoph Meinel. Kontoschutz ist für viele wie Steuererklärung und Frühjahrsputz: Eigentlich müsste man.
Aus diesem Grund machen Aktionen wie der weltweite Datenschutztag am Samstag (28. Januar) Verbraucherinnen und Verbraucher darauf aufmerksam, wie wichtig ein sorgsamer Umgang mit Passwörtern im Netz ist.
Zukunft ohne Passwörter
Die gute Nachricht: Künftig werden wir Online-konten von Banking bis Netflix auch ohne Passwörter sicher schützen können. Diese Zukunft ist näher, als viele glauben – und nennt sich Fido.
Das Kürzel steht für „Fast Identity Online“, zu Deutsch: schnelle Online-identifikation. Dahinter verbirgt sich ein Zusammenschluss der wichtigsten Tech-größen weltweit mit einem ehrgeizigen Ziel: Passwörter überflüssig zu machen. Mitte vergangenen Jahres hat die nicht kommerzielle Fido-allianz ihren Vorstoß öffentlich gemacht. Federführend mit im Boot sind die Techriesen Google, Apple, Microsoft und Amazon, zudem etwa Visa und
Mastercard. Insgesamt ist die Rede von „Hunderten von Technologieunternehmen und Dienstleistern aus der ganzen Welt“. Beteiligt ist auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Aber wie genau schützen wir künftig unsere Konten ganz ohne Passwörter, und wo lässt sich die Methode schon nutzen?
„Wir wollen es Nutzern ermöglichen, sich genauso einfach in Apps oder auf Webseiten anzumelden, wie man jetzt schon sein Handy entsperrt“, sagt Patrick Nepper unserer Redaktion. Der Informatiker ist Produktmanager am Google Safety Engineering Center, einem weltweiten Forschungszentrum für Datenschutz in München. Dort arbeitet Nepper am kommenden Passwortersatz. Der nennt sich „Passkeys“, also Zugangsschlüssel.
Die Technik basiert auf den Standards, die Google zusammen mit anderen Unternehmen der Fido-allianz ausgearbeitet hat. „Die enge Zusammenarbeit hat den Vorteil, dass diese Art sich anzumelden in Zukunft überall funktionieren wird“, erklärt Nepper. Nicht nur auf Webseiten und Apps von Google, wie dem Chrome-browser oder Android, sondern genauso mit Betriebssystemen der anderen großen Hersteller wie Microsoft Windows oder Apple mit IOS und macos.
Zwei Schlüssel statt Passwort
Meldet man sich bislang bei seinen Online-konten an, gibt man dort neben dem Benutzernamen sein Passwort ein – und damit sein „Geheimnis“preis. Bei Passkeys dagegen, erklärt Nepper, komme ein digitales, kryptografisches Schlüsselpaar zum Einsatz: Ein privater Hauptschlüssel auf dem eigenen Gerät – etwa Smartphone, Laptop oder Usb-stick – sowie je genutzter App oder Webseite ein erstellter öffentlicher Schlüssel. Der private Schlüssel verlässt das eigene Gerät bei der Anmeldung nicht. „Dieses Geheimnis ist sicher auf Ihrem eigenen Gerät gespeichert und wird lediglich dafür verwendet, eine Nachricht die während der Anmeldung vom Dienstanbieter kommt, mit Ihrem Geheimnis zu unterschreiben und zurückzuschicken.“Der Anbieter kann mithilfe des öffentlichen Schlüssels, den er erhält, feststellen, ob der Anmelder den richtigen privaten Schlüssel besitzt, ohne diesen zu kennen. Betrüger könnten mit dem erbeuteten öffentlichen Schlüssel allein nichts anfangen. Biometrische Daten wie Fingerabdruck oder Gesichtserkennung bleiben auch künftig ein wichtiges Sicherheitsmerkmal, und zwar beim Entsperren des eigenen Handys oder Laptops, um an den privaten Hauptschlüssel zu gelangen.
Nepper meint, die Fido-anmeldung werde sich durchsetzen, wenn jedem die Vorteile klar sind: Die Methode sei komfortabler, Nutzer müssten sich keine Passwörter merken oder umständlich mit der Fernbedienung eingeben. Und sicherer: Ein Passkey kann nicht bei der Anmeldung geraubt werden oder durch ein Sicherheitsleck beim Anbieter öffentlich im Netz landen.
Gängige Browser wie Google Chrome, Apple Safari, Mozilla Firefox und Microsoft Edge unterstützen die passwortlose Anmeldung bereits, genauso Betriebssysteme wie Windows, Android, IOS und macos und viele Online-services. Experten raten, in den Kontoeinstellungen des jeweiligen Dienstes im Bereich Sicherheit nachzusehen, welche Optionen es gibt, Fido zu nutzen. Zum Beispiel als Passwort-ersatz oder als zweiten Faktor mit dem Handy. Auf dem verwendeten Gerät sollte ein neueres Betriebssystem laufen, das aktuelle Versionen des verwendeten Browsers unterstützt. Der nötige Tresorchip (TPM) zur Speicherung des privaten Schlüssels steckt heute in den meisten Smartphones sowie in neueren PCS und Notebooks.
„In 2023 werden wir alle mit der Zeit auf die ersten Webseiten und Apps stoßen, wo uns angeboten wird, statt Passwörtern beim nächsten Mal einen Passkey zu verwenden“, sagt Google-manager Nepper. „Aber bis Passwörter nicht mehr zu unserem Alltag gehören, ist es noch ein langer Weg.“In der Zwischenzeit empfehlen It-experten, sich an die allgemein bewährten Regeln zur Passwortsicherheit zu halten.