Wann endet endlich das Zeitalter des Passworts?

Was mich schon seit langem wundert, aber seit der Verbreitung des Smartphones erstaunt, ist das unglaubliche Anhalten an der Passwort-Technologie. Das Passwörter unsicher sind und keine Usability haben, ist doch ausreichend bekannt. Die beliebtesten sind “qwertz”, “passwort” oder “1234”, dann kommen Vor- und Nachname oder Freundin, Haustier oder Geburtsjahr. Zwingt man den User zu einem komplexen Passwort, dann schreibt er es auf und klebt es an den Monitor oder unter die Tastatur. Das wird dann noch verschärft, wenn man den Anwender zwingt, das Passwort alle drei Monate zu ändern. Passwortsafes wie Keepass, machen das Leben etwas angenehmer, aber sie beheben das Problem nicht.  Auch diese tollen Tipps, wie man sich ein sicheres Passwort ausdenkt, sind im großen und ganzen Krücken. Man versucht ein totes Pferd zu reiten. Nach den großen Passwort-Skandalen von Sony, Evernote , Adobe und was es sonst noch alles gibt und dem sehr peinlichen BSI Auftritt, sollte man jetzt mal richtig handeln.

Die Zukunft der Zugangsberechtigung kann nicht das Passwort sein!

Im Zeitalter von RFID, NFC und dem Smartphone, sowie IrisScan, Fingerabdrucksensor und Biometrie müssten inzwischen genug Alternativen auf dem Markt sein. Leider sehe ich das fast nirgendwo. Bis auf Apple mit dem Fingerabdrucksensor beim iPhone 5 (sehr genial), der aber in der Öffentlichkeit teils dümmlich und naiv, statt innovativ dargestellt wurde.

Fingerprint Joke

Man kann dabei nur erahnen, was nach dem NSA Skandal noch alles an Überwachungs-Paranoia kommen wird. Digitale Innovation wird es in Zukunft sehr schwer haben, gerade in Deutschland, aber das ist ein anderes Thema.

Das Smartphone sehe ich dabei als zentrale Stelle um den Zugang zu anderen Geräten zu koordinieren. Hier wundert es mich schon lange, dass man immer noch Pins eingeben oder irgendwelche Muster wischen muss, damit ich das Gerät entsperren kann. Inzwischen könnte ein Smartphone doch mich doch erkennen, z.B. an meinem Gesicht (das wäre nervig) oder an meinem Bedienungsstil. Jeder Mensch nutzt das Gerät nämlich anders. Mustererkennung könnte hier helfen. Wie schnell tippt man und mit welchem Druck auf die Tasten? Welche Apps werden wie oft aufgerufen? Jeder Mensch hat ein individuelles Muster und NUR wenn das nicht stimmt, sollte das Smartphone reagieren und nachfragen. Bist du überhaupt mein anerkannter Nutzer? Und dann ein Foto oder Fingerabdruck als Beweis einfordern und sich natürlich automatisch sperren, eine SMS  schicken und das GPS Signal anschalten zum orten.

Das gleiche gilt natürlich auch für den PC. Inzwischen gibt es Online-Prüfungen, die Nutzer anhand seiner Biometrie über die Tastatur erkennt und wird z.B. bei MOOCs für die Authentifizierung bei Online-Klausuren eingesetzt. Ich brauche also gar keine Passwort mehr, jeder PC könnte offen sein und jeder kann ihn bedienen. Das ist für eine Firma natürlich etwas zu offen. Alternativ könnte man dank Smartphone NFC Technik, den PC automatisch sperren, wenn das Smartphone ausserhalb des Raumes ist. Das gleiche gilt natürlich für das Smartphone selbst. Es gibt inzwischen kleine NFC-Gadgets, wie Ringe, die das Smartphone sperren, wenn es ausserhalb  einer bestimmten Reichweite ist.

Das System kann man natürlich beliebig erweitern und auf alle Apps und Anmeldedienste erweitern. Mich wundert heute immer noch, dass die EC Pin vierstellig ist und sicher sein soll aber die ganze Welt sagt, umso länger Das Passwort wäre, umso besser. Neben dem Fingerabdrucksensor von Apple ist natürlich Google der zweite Vorreiter. Hier wurde auch ein Ring (sie alle zu knechten 🙂 ) ausserwählt. Der Vorteil des Ringes ist nahe liegend, denn man verliert ihn sehr selten und er ist immer am Körper und stört sehr wenig. Kritiker würden auch hier sofort anmerken, dass man auch den Ring klauen kann. Trotzdem erscheint er mir sehr viel sicherer (natürlich nicht perfekt), als alle bisherigen Lösungen. Und natürlich erwarte ich dann auch eine Ergänzung mittels Biometrie, wenn das Device erkennt, dass ich es nicht bin. Dann kann immer noch ein Masterpasswort abgefragt werden oder ähnliches.

Was ich zum Schluss anmerken will, dass ich von den großen Firmen, wie Apple, Google, Amazon aber auch Microsoft, Intel und Nokia enttäuscht bin. Alle forschen an mehr Megapixel, mehr Akku und mehr Rechenleistung, aber die Sicherheit wird stiefmütterlich behandelt. Dabei könnte das inzwischen ein gutes Kaufargument sein. Vielleicht wird der NSA Skandal und die geklauten Smartphones daran etwas ändern, oder die vielen Crowdfunding Projekte. Allerdings sind hier auch die Betriebssytemhersteller gefordert. Das Passwort sollte demnächst überflüssig sein, technisch sind genug Alternativen vorhanden.

 

  1. In einigen Teilen liegst Du richtig. es müsste längst andere Meschnismen geben, die sicher sind. Gibt es aber nicht. Auch der Fingerabdrucksensor im Apple Telefon lässt sich überlisten, selbst Iris-Scanner sind nicht unknackbar. Ein gutes PW, dass ich eingeben muss – am besten per Screentastatur – ist da bei weitem sicherer.

    NFC ist leider auch keine Alternative, solange es nicht mit irgendeinem Secure-Element hardwaretechisch verknüpft ist. Denn dann könnte man es auch auslesen.

    Aber Sicherheit wird leider erst jetzt ein Thema, wo wir zu spüren bekommen haben, dass wir ohne jeden Verdacht bereits überwacht werden. Mal schauen, wie es in einem Jahr aussieht, ob sich dann was bei den Herstellern getan hat.

    • Hallo Matthias,

      danke für deinen Kommentar.

      Absolute Sicherheit gibt es leider nicht. Was ich sagen wollte, dass es ein Kompromiss geben muss, zwischen Usability und Sicherheit. Natürlich lässt sich der Fingerabdrucksensor überlisten, aber er wird bestimmt von viel mehr Nutzern genutzt, als ein Pin. Das ist dann doch ein Schritt in die richtige Richtung, denn es ist besser als gar kein Schutz. Passwörter werden leider oft nicht richtig eingesetzt. Das ist das fatale an dem System. Auch Passwörter lassen sich sehr leicht knacken. Ich brauch nur dem Nutzer ein Finger brechen, schon hab ich es 🙂 Das ist jetzt etwas krass ausgedrückt, doch was ich sagen will, man muss das System nicht immer technisch überlisten. Es gibt auch oft andere Schwachstellen.

      Doch wie wir beide sehen, es geht langsam in die richtige Richtung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.