Sonstiges

Warum die Passwort-Abfrage ein Auslaufmodell ist


Bitte mal Hand hoch, wer noch nie ein Passwort vergessen hat. Oder wer nicht bei den 20, 30, 100 Accounts, die er hat, hin und wieder das gleiche Passwort für verschiedene Dienste verwendet. Der Mensch ist nicht dafür gemacht, sich Dutzende Passwörter zu merken, noch dazu möglichst kryptische. Oder anders gesagt: Das Leben ist zu kurz für Passwörter.

Nun gibt es Ansätze, uns den Ärger mit Passwörtern zumindest ein wenig abzunehmen. Alle haben Nachteile. Facebook Login etwa erlaubt bei inzwischen sehr vielen Diensten die Möglichkeit, sich über eine Facebook-Kennung anzumelden. Twitter bietet eine ähnliche Möglichkeit: Sign in with Twitter. Ein neues Passwort braucht man bei beiden Möglichkeiten nicht, allerdings erhöht man damit seine Abhängigkeit von einem der beiden Dienste. Aufgrund der beiden viel genutzten Möglichkeiten ist es um die „freie“ und einst fortschrittliche Alternative OpenID sehr, sehr ruhig geworden. Aber das ist ein anderes Thema. Es gibt zahlreiche weitere Hilfestellungen wie RoboForm (Passwortmanager) oder OneID (mTan-ähnliche Sicherheitsabfrage), aber keine berührt den Kern des Problems: dass eine Passwort-Abfrage der falsche Ansatz ist.

Erfordert keine Aufmerksamkeit

Ein interessantes Tool aus den Mozilla Labs zeigt an, wie oft man das gleiche Passwort verwendet und wie alt die verwendeten Keywords sind. Und eine künftige Erweiterung für Google Chrome treibt den Passwort-Wirrwarr auf die Spitze: Der Browser kann bald selbständig Passwörter vorschlagen und speichern, die er für angemessen hält. Ähnliches leisten das kostenpflichtige Tool 1Password oder Apples Schlüsselbund auf MacOS. Beide können Login-Daten speichern und sie mit einem Masterpasswort zur Verfügung stellen.

Das deutet an, wohin die Reise geht: Sich Passwörter zu merken und sie alle Nasen lang einzugeben, ist nicht mehr zeitgemäß. Eine Sicherheitskontrolle an sich ist notwendig, aber sie erfordert nicht mehr zwingend unsere Aufmerksamkeit. Wenn mein Browser ohnehin ein Passwort generieren und selbständig eintragen kann, dann brauche ich als Nutzer die Abfrage nicht mehr zu sehen. Sie kann im Hintergrund laufen, ohne mein Zutun, als zusätzliche Sicherheitsschicht, ähnlich wie ein gutes Anti-Viren-Programm. Es soll mich in Ruhe lassen mit seinen Abfragen und Updates und mich einfach ans Ziel bringen. Ich hoffe, dass wir das Thema in absehbarer Zeit durchgestanden und bis auf ein Master-Passwort, einen Fingerabdruck oder, von mir aus, Iris-Scan Ruhe vor Passwörtern haben. Logins dürften wir dann im Prinzip nicht mehr brauchen. Würde mir gefallen.

(Jürgen Vielmeier)


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Jürgen Vielmeier

Jürgen Vielmeier ist Journalist und Blogger seit 2001. Er lebt in Bonn, liebt das Rheinland und hat von 2010 bis 2012 über 1.500 Artikel auf BASIC thinking geschrieben.

35 Kommentare

  • Das ist ja schön, wenn Dein Browser ein Passwort genieren kann. Und wie loggst Du dich von einem fremden Gerät ein?

    Und ganz davon abgesehen gibt es ja auch noch Passwortabfragen außerhalb des Browsers, Stichwort Domain 😉

  • unsere Browser merken sich doch ohnehin schon die Login-Daten. Ich bin aber dennoch sehr gespannt, welchen Methoden sich zukünftig durchsetzen werden.

  • @janbpunkt: Gute Idee, allerdings haben wir imho auch hier das Problem:
    Ist es einmal erraten, kann man sich die restlichen Passwörter auch denken.
    Es sei denn, man nimmt statt basicthinking halt bThinking, statt facebook fBook, statt google … tja…jetzt wirds schwer. Man muss sich also zusätzlich für jeden Dienst die Abkürzung merken, wenn man sie nicht ausschreiben will.
    Das ist zwar einfacher als ganze Passwörter für jeden Dienst neu zu erfinden und sich zu merken, allerdings auch wieder weniger sicher.

  • Ich persönlich halte Handvenenscans für die beste Lösung. Sie sind im Gegensatz zu Fingerabdrücken hygienisch und im Verleich zu Irisscans billig und gehen schnell. Außerdem lässt sich dieses Verfahren (bisher) nicht manipulieren. Wer schon mal beim Chaos Computer Club den Bericht über Fingerabdruckscanner gesehen hat weiß, wovon ich rede. Auch Irisscanner sind nicht 100% sicher (ich erinnere an die eine Filmszene in Illuminati)

  • @Carsten
    1Password löst das mit einer umfassenden Synchronisation über Browser, Geräte (iOS, Android) und Systeme (ausgenommen ein nativer Linux-Client). Shared man den Schlüsselbund auf einer Freigabe (Dropbox, aber theoretisch auch ein eigenes, privates Share), dann ist sogar eine HTML-Variante verfügbar.

  • Wenn ich in meine Glaskugel schaue, sehe ich eine verschwommene blaue box. Auf der steht … ach mist ich kann´s nich richtig lesen, moment … ahh … „sign in with facebook“

  • Also ich setze da bisher auf KeePassX als Passwortmanager.
    Sehr zu empfehlen.
    Damit habe ich auch ein Masterpasswort und damit Zugriff auf alle Passwörter aller Dienste.

  • Aus den Mozilla Labs kommt noch eine ganz andere Idee zur Authentifizierung, die meiner Meinung nach eine große Zukunft hat, nämlich BrowserID.

    http://browserid.org

    Man kann es sich so ähnlich wie OpenID (mit Email-Adressen statt HTTP-URLs) vorstellen. Das langfristige Ziel ist aber, die Authentifizierung in den Browser selbst zu holen, da wo sie auch hingehört.

  • PwdHash ist eine interessante Alternative, bei der man nicht jemandem alle Passwörter überantworten muss. Dieser Algorithmus (gibt es als Plugin für bekannte Browser) nimmt ein vom Benutzer angegebenes Passwort und den Domainnamen der entsprechenden Seite. Es berechnet dann daraus einen Hash, den man dann als Passwort verwenden kann.

    Vorteil: man braucht nur ein Passwort, und selbst wenn ein Dienst geknackt wird, sind die anderen davon unberührt. Zudem sind die generierten Passwörter nicht leicht zu erraten.
    Nachteil: wenn das Masterpasswort geknackt ist, sind damit auch alle anderen Passwörter wertlos.

  • Sonderzeichen + Zahlen kombi ist was aus den 90 ern, total veraltetes Sicherheits denken. 5 Wörter zufällig aus nem Wortschatz mit 1 Mio Wörtern rausgesucht ist so sicher wie ein 30 stelliges Ziffern Passwort und lässt sich viel einfacher merken.

    https://xkcd.com/936/

  • Habe gerne die Kontrolle über meine Passwörter und verwende daher KeePass. Gibt es nicht nur für Windows, sondern auch für alle wichtigen mobilen Plattformen und man kann somit auch von unterwegs drauf zugreifen…

  • Es gibt kein Patentrezept Masterpasswort, Fingerabdrücke , E-Perso sind eigentlich noch gefährlicher da sie bei massenhaften Einsatz schneller als Gedacht zum viel riskanteren Identitäts Diebstahl führen können.
    Man stelle sich einmal vor seine Fingerabdrücke (bzw ihre Daten) kursieren demnächst frei verfügbar im Netz umher wie heutztage Kreditkarten Nummern, es wird sicher Schwerer dann seine Unschuld zu Beweisen zu können, geschweige denn diese wie ein Passwort oder Karte einfach Auszutauschen.
    Daher sind Fingerabdruck- oder Iris Scanner an jeden Rechner oder gar Smartphone eine ziemlich Dumme wenn nicht sogar gefährliche Idee.
    Fast alle Verschlüsselungen die es heutzutage gibt sind in wenigen Jahren durch immer schnellere GPUs Unbrauchbar, schon heute können mehere günstige Grafikkarten fast jedes Passwort in früher unvorstellbarer Geschwindigkeit knacken oder gebrächliche RSA Verschlüsselungen mit niedrigen oder mittleren Bitraten. Cloudcomputing Netze könnten das sogar noch Begünstigen
    Im Prinzip brauchen wie neue Mathematische Ansätze , eine simple Lösung wie hier Angedacht kann es aber auch dann kaum geben , es wird wohl immer die Sicherheit vor der Benutzerfreundlichkeit kommen müssen.

  • Die Passwort speichern funktion ist wirklich komfortabel, anstregend wird es jedoch, wenn man an einem neuen Rechner sitzt, oder am Smartphone, weil dann heist es, ‚Mist, wie war das Passwort nochmal‘

  • Ich sehe das auch so. Ich finde die Idee wirklich gut, aber es müsste noch eine Lösung mit der man von anderen Geräten aus arbeiten kann.

  • So eine Lösung gibt es ja, nur ist diese Browserabhängig ;)…

    ich will alle Passwörte einfach überall dabei haben und nichts vin hand mehr eingeben müssen und das ganze natürlich kompaktibel zu allem und jedem und am liebsten ohne drittsoftware instakllieren zu müssen, oder mich registrieren zu müssen, sprich so einfach, wie möglich…

  • Ein vernünftiger Passwortmanager (Keepass) + Truecrypt bleiben das A und O. Ich mache mich doch nicht von Facebook abhängig.

  • Leute, wenn man das hier liest, stehen einem die Nackenhaare zu Berge. Authentifizieren kann man grundsätzlich über etwas, das man ist (Biometrie), das man hat (ePerso, KeyPass), oder das man weiss (Passwort), im besten Fall mit einer Kombination aus all dem. Die ersten beiden Fälle verlangen (noch) nach zusätzlicher Ausrüstung und sind etwas sperriger zu bedienen. Also bleibt, wenn’s einfach sein soll, das Wissen. Aber es muss klar sein: jede Alternative zu einem (sicheren) Passwort für jede Seite einzeln ist unsicherer. Jede. Weil alle Alternativen darauf hinauslaufen, entweder ein (berechnetes?) System zum Generieren von Kennworten zu benutzen (zum Beispiel dem Browser die Kennworte überlassen), das nachvollzogen werden kann, oder die Passwörter zu speichern und auf ein einziges zu reduzieren. Beides ist ein massiver Sicherheitsverlust. Die beste Lösung ist nicht, die Sicherheit zu reduzieren, sondern andere Wege der Authentifizierung zu gehen. Biometrie bietet sich an. Was sich NICHT anbietet, ist, seine Sicherheit auf ein einziges Passwort zu reduziern. Wie man das als zukunftsträchtig propagieren kann, geht über meinen Horizont.

  • Ich kann Mika da nur voll und ganz zustimmen. Das Missbrauchspotential ist zu hoch aber die Bequemlichkeit und Gedankenlosigkeit der Menschen scheint grenzenlos wenn ich manche Posts hier lese.

  • Nunja, es existieren genügend Ansätze, biometrische Authentifizierung auch sicher zu machen in dem Sinn, dass „Diebstahl“ – i.e. Kopieren der Merkmale – nicht möglich ist. Wahr ist, dass, sollte der Diebstahl doch möglich sein, derselbe Fall eintritt, als wenn jemand das Masterpasswort einer Kennwortmanagement-Software errät. Allerdings muss man dem Gebiet auch zugestehen, dass es sich rapide entwickelt, anstatt einfach nur mit der Angst vor Identitätsdiebstahl zu argumentieren (der ist auch ohne Biometrie möglich). Ich mache mir mehr Sorgen um die undurchsichtige Art und Weise, wie meine Authentifizierung ohne meine Zustimmung weitergereicht werden kann (Kommentar auf Seite x verfassen nutzt Authentifizierung von Seite y, beispielsweise. Ich finde diese Entwicklung ganz und gar nicht begrüßenswert.)

  • @16 Platero
    Biometrie bietet sich an…………..

    Biometrie oder andere Körpermerkmale zur Autentifizierung für jede x beliebige Sicherheitsabfrage einzusetzen ist sehr Gefährlich, man stelle sich einen gehackten Server oder einen Trojaner vor, was alltäglich passiert, so das statt tausender Kreditkarten Nummern nun die Biometrische Daten der Leute den Hackern in die Hände fallen die sich mit den Daten nun Ausweisen könnten oder anderen Unfug treiben?
    Mann kann ein Passwort Ändern, Zugangsdaten, eine Kreditkarte tauschen, aber seine Biometrischen Daten oder Ires- oder Fingerabdrücke?
    Sind diese einmal in falsche Hände geraten ist es vorbei ….
    Nein, diese vermeintliche nicht zu fälschene Sicherheit kann sehr schnell zum Boomerang werden, Biometrie sollte daher sehr vorsichtig Angewand werden und unter möglichst strenger Kontrolle bleiben, nur bei wirklich wichtigen Sachen wie Bankgeschäften ect.

    Sonnst gebe ich dir schon Recht.
    so einfach, wie möglich…und Sorglos ist aber falsch und kann nicht funtionieren.

  • Naja Auslaufmodell sag ich mal jein.
    Wo ich auf jeden Fall zustimme ist der erste Teil. Man meldet sich oft bei so vielen Diensten an wofür man ein Passwort benötigt, dass es unmöglich ist immer ein anderes höchst komplexes zu wählen (und sich zu merken, wohlgemerkt!).
    Allerdings find ich die Idee mit dem Browser ja nicht so prickelnd. So hat man zur Zeit als User noch ein bisschen das Gefühl etwas für die eigene Internet Sicherheit zu tun. Wenn mein Browser mein Passwort generiert und anschließend etwas passiert, ist das nicht nur ärgerlich weil man vielleicht meint man hätte es besser gemacht (unwahrscheinlich aber nachvollziehbar). Nein es würde glaub ich dem Hersteller auch nicht gerade zu Gute kommen.
    Die Fingerabdruckscanner waren ja ziemlich in vor Kurzem, aber der Hype hat sich ja auch schnell wieder gelegt. Die wären natürlich praktisch, allerdings gibts auch hier wieder das Problem: was machen wenn ich unterwegs bin.

  • Mika, sorry, aber das ist (teilweise) Unfug. Biometrische Authentifizierung bedeutet nicht, dass deine biometrischen Merkmale auf irgendeinem Server gespeichert sind, die dort jemand abgreifen und dann benutzen kann. Gespeichert werden (einfach ausgedrückt) Merkmale, die nur in Verbindung mit deinem spezifischen Merkmal (das du bei jeder Authentifizierung vorweisen musst) gültig werden. Dein Argument ist aber nicht nur insofern falsch, sondern du ignorierst auch völlig die Tatsache, dass der Hacker, um deine Identität annehmen zu können, dann deine Körpermerkmale imitieren muss – geeignete Merkmale vorausgesetzt, ist das ein sehr unwahrscheinliches Szenario. Für etliche biometrische Merkmale existiert heute noch nichtmal ein Ansatz, wie man die imitieren könnte. Mehr Angriffsfläche bietet da der benutzte Scanner und die Übertragung der Daten, und diese Angriffsfläche existiert so auch bei allen anderen Authentifizierungsformen.

  • Passwörter merken ist doch eigentlich gar nicht so schwer.
    Man sucht sich einen Satz, z.B. „Der Atem meiner Katze riecht nach Katzenfutter“.
    Von dem nimmt man nur die Anfangsbuchstaben. DAmKrnK
    Das würzt man mit ein paar Sonderzeichen und hängt an das Ende einen Hinweis auf das Portal an.

    Am Ende kommt dann etwas wie $DAmKrnKBTBlog% oder $DAmKrnKWebMail% heraus, was leicht zu merken, aber nicht zu erraten ist. Ist allemal besser, als seine Kennwörter Dritten anzuvertrauen.

  • Ich habe ein 20stelliges, willkürlich generiertes Passwort auswendig gelernt, das ich für wie alle Dienste nutze… Aber klar: Wenn die Illuminaten, Tempelritter und das BKA mich knacken wollen, reicht das natürlich nicht aus. Vielleicht ein Leberscan? Meine ist wirklich einzigartig….

  • @Hm:

    Diese Methode ist so unsicher wie gar kein Passwort, da die Tools zum knacken von Passwörtern immer mit einem Wörterbuch arbeiten. Die Worte Web und Mail stehen da mit Sicherheit auch drinnen, also ist solch ein Passwort in kürzester Zeit geknackt.

    Auch der Ansatz mit Sonderzeichen nicht besonders gut, wenn du z. B. an einem anderem Rechner mit englischer Tastatur und Tastaturlayout sitzt. Da wünsche ich dir dann viel Spaß beim eingeben des Passwortes! Solange es internationale Zeichen sind geht das, wenn nicht hat man ein Problem.

    Passwörter mit Zahlen können allerdings ganz gut sein:

    Man nehme einen Namen, zum Beispiel Manfred Mustermann und drehe den mal um:
    Nnamretsum Derfnam

    Diese Worte gibt es in keinem Wörterbuch. Dazu nun einen Geburtstag: 16.07.1985 (nein, das ist garantiert nicht meiner!)

    Diesen drehe man ebenfalls um:
    58917061

    Aus dem Namen und der Zahl kombinieren wir nun ein Passwort:

    5Mn8am9re1ts7um0De6rf1nam

    Natürlich kann man dazu noch mit Groß- und Kleinbuchstaben etwas spielen oder die Zahlen etwas unrhythmischer setzen, im Großen und Ganzen ist das aber schon ein ziemlich sicheres Passwort. Dazu noch wenn erlaubt eben ein paar internationale Zeichen $%&§, da freut sich der Cracker dann ganz bestimmt! 😉 Allerdings sind diese Zeichen leider nicht überall erlaubt…

    Selber kann man sich das wohl nicht merken, aber jeder vernünftige Browser hat einen Passwortmanager.

    Dazu nehmen wir noch ein Tool wie das Add-on SyncPlaces, damit man seine Passwörter überall verfügbar hat und schon braucht man sich um seine Passwörter nicht mehr kümmern.

    Solche und ähnliche Kombinationen verwende ich seit Jahren, allerdings geht das nicht überall in dieser Länge. Banken z. B. haben meist nur ein 5- oder 6-stelliges Passwort und bei ICQ gehen seit kurzem zumindest 8 Stellen, da waren zuvor auch nur 5 oder 6 Stellen erlaubt.

    Grüße aus TmoWizard’s Castle

    Mike, TmoWizard

  • @Jott

    Das Problem ist, wenn ein Dienst z.B. gehacked wird. Das war z.B. beim Hack der Bitcoin Wechselstube MtGox der Fall. Da es hier sozusagen um Bankgeschäfte geht, könnte man davon ausgehen, dass dort die Daten sicher sind. Dennoch haben Hacker die Benutzerdatenbank mit E-Mail, gehashtem Passwort etc. entführt und bei einem Filehoster hochgeladen. Den Hash konnte man mit ein wenig aufwand knacken und die Passwörter konnten so freigelegt werden.

    Plötzlich hat man von dir eine E-Mail und Passwort Kombination. Verwendest du diese jetzt überall bzw. hast überall das gleiche Passwort, kann das schnell zu einem Problem werden.

    Ich verwende z.B. verschiedene Standardpasswörter je nach „Sicherheitsstufe“. Für alle ganz kritischen Sachen werden dann individuelle Passwörter generiert und sowieso alles in Keepass gespeichert.

  • 27: Hast du meinen Beitrag überhaupt gelesen?
    Die Worte am Ende des Passworts sind nur ein Hinweis auf den Dienst und ein Unterscheidungsmerkmal. Das eigentliche Passwort besteht aus einer unerratbaren Zeichenkette, gebildet aus einem Satz plus Sonderzeichen und/oder Zahlen. Mit einem Wörterbuch kommst du da keinen Schritt weit.

    Deine Methode ist auch sicher, aber da hapert es schon wieder an der Merkbarkeit. Passwortmanager – etwa wie der bei Firefox, wo die Passwörter in Klartext hinterlegt sind? Ne Danke, meine Kennwörter existieren ausschließlich in meinem Kopf und das funktioniert gut.

  • Ich erinnere mich, dass man eine Möglichkeit gefunden hat zusätzlich zum Passwort noch den Tipprhytmus bzw. das Tippverhalten zu speichern (PsyLock) und als weiteren Sicherheitsmechanismus zu verwenden. Nur gegen einen guten Keylogger wird es natürlich auch nichts nützen.

  • herr vielmeier glänzt wieder mal mit unwissen. bitte das nächste mal die bedeutung von wörtern nachschlagen bevor sie sie verwenden. wollen sie nicht lieber einen weiteren apple-clickbait-„artikel“ schreiben? für den müssen sie auch keine neuen wörter lernen.
    um ihnen noch etwas arbeit abzunehmen: ein keylogger entschlüsselt keine passwörter.

  • @30 Andrej schrieb
    …Ich erinnere mich, dass man eine Möglichkeit gefunden hat zusätzlich zum Passwort noch den Tipprhytmus bzw. das Tippverhalten zu speichern (PsyLock)…

    Das wird sicher kaum bei unterschiedlichen Geräten funktionieren , ich kann mir nicht vorstellen das Tipprhytmus bzw. das Tippverhalten bei einer Desktop Tastatur zu einem Touch Screen Keyboard vom Smartphone oder Tablet-PC vergleichbar ist?

  • […] Warum die Passwort-Abfrage ein Auslaufmodell ist Das deutet an, wohin die Reise geht: Sich Passwörter zu merken und sie alle Nasen lang einzugeben, ist nicht mehr zeitgemäß. Eine Sicherheitskontrolle an sich ist notwendig, aber sie erfordert nicht mehr zwingend unsere Aufmerksamkeit. Wenn mein Browser ohnehin ein Passwort generieren und selbständig eintragen kann, dann brauche ich als Nutzer die Abfrage nicht mehr zu sehen. […]

Kommentieren