So ein Passwort-(V)!5+!

×

Der Erfinder der modernen Passwortregeln hat sich bei Computernutzern aus aller Welt entschuldigt. Schwer zu erratende und somit auch für den Nutzer schwer zu merkende Passwörter mit Kombinationen aus Ziffern, Buchstaben und Sonderzeichen seien gar nicht sicherer als beispielsweise lange Sätze, hat der mittlerweile pensionierte US-Amerikaner Bill Burr kürzlich in einer Show des US-Fernsehsenders CBS gesagt. 

Bill Burr gilt als Erfinder von Passwörtern wie "P4s5W03я+Er!" oder anderen kuriosen Kombinationen mit allerlei irgendwie möglichen Sonderzeichen. Oft sind diese Varianten ans Leetspeak-Alphabet angelehnt, bei dem Buchstaben durch ähnlich aussehende andere Zeichen ersetzt werden. ! steht dann für i, 5 für s, + für t oder (V) für M.  

Vor 14 Jahren hatte Burr die offizielle Passwortrichtlinie für Regierungsmitarbeiter in den USA geschrieben und dabei die möglichst schwer zu erratenden und zufälligen Mixe vorgeschlagen, die im besten Fall auch häufig gewechselt werden sollen. Auf diesen Zug sind mittlerweile die allermeisten Unternehmen und Organisationen aufgesprungen und fordern von Mitarbeitern oder auch Kunden beim Login in Computer- oder Websysteme Passwörter, die beispielsweise mindestens acht Stellen lang sind, mindestens einen Klein- und einen Großbuchstaben, mindestens eine Zahl und mindestens ein Sonderzeichen beinhalten. Je nach Plattform dann aber bitte keine Kommata, Unterstriche oder Semikolons. Nur Ausrufezeichen, Fragezeichen, Punkte oder Paragrafenzeichen sind eventuell erlaubt. 

Lange Phrasen sind sicherer als Sonderzeichen

Wie Burr im Fernsehen sagte, habe sich mittlerweile herausgestellt, dass lange, aber einfach zu merkende Phrasen (wie zum Beispiel "NURICHKENNEMEINEIGENESPERSOENLICHESPASSWORT") schwerer zu knacken sind, als eine achtstellige Ziffern-, Buchstaben- und Sonderzeichenkombination. Er selbst habe vielleicht 200 Passwörter und könne sich diese natürlich nicht alle merken. "Diese Passwortrichtlinien frustiert jeden, mich eingeschlossen", sagte Burr und entschuldigte sich vor aller Welt. Burr hätte damals einen besseren Job machen können, sagte er selbstkritisch. 

Doch das eigentliche Problem ist ja ein Grundsätzliches: Weltweit setzen Unternehmen und Organisationen weiterhin auf Passwörter. Mal angeblich sicherer, mal weniger sicher. Dabei sind Passwörter eins der größten Sicherheitsrisiken im IT-Bereich. Das Passwort ist eigentlich ein Relikt aus den Anfängen des weltweiten IT-Rollouts und der Datensicherheit. Ständig tauchen neue Nachrichten über gestohlene Datensätze oder geleakte Passwörter auf. Erst im Juli veröffentlichte das Bundeskriminalamt eine Mitteilung, dass man auf eine Hacker-Sammlung mit rund 500 Millionen E-Mail-Adressen samt zugehörigen Passwörtern gestoßen sei. 

Zauberwort: Multifaktor-Authentifizierung

Das Problem lässt sich eigentlich längst lösen: Multifaktor-Authentifizierung (MFA) lautet das Zauberwort. Dabei müssen zur Berechtigung, beispielsweise zum Zutritt zu einem Gebäude oder auch zum Login in ein PC-System, mindestens zwei der folgenden Faktoren erfüllt sein:

• Wissen (also etwas, das der Berechtigte weiß, wie eine Pin oder ein Passwort)
• Besitz (etwas, das der Anwender hat, wie ein Security-Token)
• Sein (der Anwender selbst, eine biometrische Authentifizierung also)

In der Praxis kann das heute sehr einfach und effizient aussehen. Mit einer Multifaktor-Authentifizierung über ein mobiles Endgerät zum Beispiel. Mit dem Smartphone mit integriertem Fingerabdruckscanner, das der Nutzer sowieso immer bei sich trägt, könnte er sich über eine sichere App im Firmnennetzwerk anmelden und den eigenen Desktop-Rechner damit freischalten. Als weitere Einschränkung lässt sich auch ein Geofence einrichten, also ein virtueller Zaun: Nur wenn der Mitarbeiter mit seinem Smartphone auch im/am Firmengebäude ist, wird der Rechner freigeschaltet. Dank GPS-Satelliten-Signal weiß das Gerät schließlich, wo es sich befindet. Auch die Kombination eines Near-Field-Communication-(NFC)-Chip im Smartphone mit einer Lesestation am Schreibtisch ist implementierbar. Nur wenn das Handy dann auch in der Nähe des Rechners ist, kann der Nutzer eingeloggt sein. 

Solche Lösungen sind längst auf dem Markt und Weiterentwicklungen auch aus deutschen IT-Security-Schmieden, bei denen beispielsweise QR-Codes von Bildschirmen mit der Sicherheitsapp zur Authentifizierung abgescannt werden müssen, klingen vielversprechend. 

Single-Sign-on-Lösungen fürs Internet

Im Netz, vor allem für den Endverbraucher interessant, wird derzeit parallel an Single-Sign-on-Lösungen gearbeitet. 2017 kündigten in Deutschland zwei Allianzen von Medien- und Handelsunternehmen an, Lösungen zu entwickeln, mit denen sich Kunden einmal im Internet mit ihren Nutzerdaten oder auch über eine MFA anmelden und dann alle angekoppelten Dienste wie E-Mail-Postfächer, Online-Shops, Soziale Netzwerke, etc. eingeloggt nutzen können. Das ständige Eingeben von E-Mail-Adresse und verschiedener "P4s5W03я+Er!" entfällt. 

Auch das ist ein Schritt in die richtige Richtung. Bei der Authentifizierung muss ein Umdenken stattfinden. Denn Passwörter sind von gestern und bleiben eine Gefahr für die IT-Sicherheit. Oder auch kurz gesagt: So ein Passwort-(V)!5+!