Bitte mal Hand hoch, wer noch nie ein Passwort vergessen hat. Oder wer nicht bei den 20, 30, 100 Accounts, die er hat, hin und wieder das gleiche Passwort für verschiedene Dienste verwendet. Der Mensch ist nicht dafür gemacht, sich Dutzende Passwörter zu merken, noch dazu möglichst kryptische. Oder anders gesagt: Das Leben ist zu kurz für Passwörter.
Nun gibt es Ansätze, uns den Ärger mit Passwörtern zumindest ein wenig abzunehmen. Alle haben Nachteile. Facebook Login etwa erlaubt bei inzwischen sehr vielen Diensten die Möglichkeit, sich über eine Facebook-Kennung anzumelden. Twitter bietet eine ähnliche Möglichkeit: Sign in with Twitter. Ein neues Passwort braucht man bei beiden Möglichkeiten nicht, allerdings erhöht man damit seine Abhängigkeit von einem der beiden Dienste. Aufgrund der beiden viel genutzten Möglichkeiten ist es um die „freie“ und einst fortschrittliche Alternative OpenID sehr, sehr ruhig geworden. Aber das ist ein anderes Thema. Es gibt zahlreiche weitere Hilfestellungen wie RoboForm (Passwortmanager) oder OneID (mTan-ähnliche Sicherheitsabfrage), aber keine berührt den Kern des Problems: dass eine Passwort-Abfrage der falsche Ansatz ist.
Erfordert keine Aufmerksamkeit
Ein interessantes Tool aus den Mozilla Labs zeigt an, wie oft man das gleiche Passwort verwendet und wie alt die verwendeten Keywords sind. Und eine künftige Erweiterung für Google Chrome treibt den Passwort-Wirrwarr auf die Spitze: Der Browser kann bald selbständig Passwörter vorschlagen und speichern, die er für angemessen hält. Ähnliches leisten das kostenpflichtige Tool 1Password oder Apples Schlüsselbund auf MacOS. Beide können Login-Daten speichern und sie mit einem Masterpasswort zur Verfügung stellen.
Das deutet an, wohin die Reise geht: Sich Passwörter zu merken und sie alle Nasen lang einzugeben, ist nicht mehr zeitgemäß. Eine Sicherheitskontrolle an sich ist notwendig, aber sie erfordert nicht mehr zwingend unsere Aufmerksamkeit. Wenn mein Browser ohnehin ein Passwort generieren und selbständig eintragen kann, dann brauche ich als Nutzer die Abfrage nicht mehr zu sehen. Sie kann im Hintergrund laufen, ohne mein Zutun, als zusätzliche Sicherheitsschicht, ähnlich wie ein gutes Anti-Viren-Programm. Es soll mich in Ruhe lassen mit seinen Abfragen und Updates und mich einfach ans Ziel bringen. Ich hoffe, dass wir das Thema in absehbarer Zeit durchgestanden und bis auf ein Master-Passwort, einen Fingerabdruck oder, von mir aus, Iris-Scan Ruhe vor Passwörtern haben. Logins dürften wir dann im Prinzip nicht mehr brauchen. Würde mir gefallen.
(Jürgen Vielmeier)
