Warum Passwörter nicht nur im überfrachteten Alltag zum vielschichtigen Problem werden und Security-Spezialisten an ihrer sicheren Abschaffung arbeiten.
Weg war es. Einfach weg. Das Zauberwort, der magische Code, der mir als Admin Zugang zu all den Apps, Upgrade-, Backup- und Wartungsmöglichkeiten meines Personal Computers erschließt. Von wegen „persönlicher Computer“. Was meint dieser Kerl eigentlich, was er alles von mir wissen darf, nur weil ich täglich viele Stunden mit ihm verbringe?
Meinen Spitznamen als Kind will er wissen (ein weites Feld), der Name meines ältesten Cousins (hat der einmal darüber nachgedacht, was für eine weitverzweigte Familie ich habe????), der Name meiner ersten Schule (bis heute ein Rätsel, stand nicht dran): Das also sind die Fragen, auf die ich Antworten festhalten sollte für den Fall, dass ich mein Kennwort vergesse. Was ich letztlich als korrekte Antworten fixiert hatte, weiß ich leider nicht mehr. Wie das Admin-Passwort.
Das Passwort habe ich vergessen, den ganz schlau versteckten Erinnerungszettel fast zeitgleich versehentlich eingesaugt. Kann passieren, sollte aber nicht. Vor allem nicht bei einem Kennwort, das man sonst nirgends hinterlegt, damit es nicht in falsche Hände gerät oder gar digital ausgelesen wird.
Macht nichts. Ein Wochenende lang musste ich mir Zeit nehmen, um den Computer neu aufzusetzen. Als alles fast fertig war, wollte der zuwendungsintensive PC von mir ein neues Admin-Kennwort haben. Natürlich wieder mit Sicherheitsfragen und von mir festzulegenden Antworten darauf. Plus ein kreatives Benutzerkennwort. Alles möglichst kompliziert gestaltet, wegen der Sicherheit, und natürlich keinesfalls zur Sicherheit auf einen Klebezettel geschrieben, der gut auffindbar am Monitor pappt.
Einfach ist anders. Ein Passwort zu verwenden, erfordert Wissen. Wissen, wie es lautet. Ohne Wissen ist Ohnmacht. Geht es nicht auch passwortlos? Wie schön wäre es doch, ohne Passwort an meine Daten, Apps und die PC-Administration zu kommen? Aber nur ich, kein anderer.
Eine Herkulesaufgabe, denn wir alle leben und arbeiten immer mehr in den Datenwolken. Digitalisierung, Cloud-Anwendungen, allzu kompliziert erscheinende Strukturen werden zu Sicherheitsrisiken, wenn wir auf die passende Kontrolle verzichten. Verlieren die Nutzer die Lust am geeigneten Aufwand, den ihre geschützte Datensphäre ihnen abverlangt, wird’s kritisch. Geld, Wissen, Daten könnten abgezogen werden. Ungewollt zieht Malware in die Systeme ein. Schadprogramme wie Verschlüsselungstrojaner, sogenannte Ransomware, sind für Unternehmen und Hochschulen ein steter Alptraum, ähnlich wie die Panzerknacker für Dagobert Duck. Dann stecken wir doch lieber Aufwand in Abwehrmaßnahmen.
Aufwand? Welcher Aufwand? Aus Vorsicht könnte man beispielsweise von folgendem Satz den dritten Buchstaben von jedem zweiten Wort, außerdem den ersten Buchstaben von jedem dritten Wort sowie den zweiten Buchstaben von jedem ersten Wort aneinanderreihen: „Als ich das letzte Mal mein Passwort verloren habe, war das kein Spaß, denn auch meine Katze, die mir oft beim Arbeiten über die Schulter schaut, konnte mir nicht weiterhelfen.“ Dazu könnte man in einer wohlüberlegten Unregelmäßigkeit abwechselnd groß- und kleinschreiben und unterbrechen mit einem zu definierenden Muster an Sonderzeichen. Schon ist ein unknackbares Passwort kreiert, so hoffen wir zumindest.
Wir müssen uns den Erschaffungsweg nur gut merken, denn aufschreiben sollten wir das Passwort besser nicht. Soll schließlich keiner in die Finger bekommen, aufspüren – oder den Spickzettel einsaugen und damit alle Mühe und vermeintliche Zugangssicherheiten mit Gebläse zerstören.
Das „Passwortlose Passwort“ ist schon länger ein Thema in der IT, speziell im enorm wichtigen Identity-Segment. Es geht dabei nicht um weniger Sicherheit, sondern vielmehr darum, Kontenübernahmen und Datendiebstähle abzuwehren. Zumal Menschen dazu neigen, stets dasselbe Passwort zu verwenden und Tool-Sets dieses Passwort ohne Legitimation nehmen, um sich per „Credential Stuffing“ Zugang zu vielen virtuellen Räumen des Nutzers zu verschaffen. Selbst wer sich die Mühe macht, lange Tabellen mit ausgebufften Passwort-Geschöpfen zu füllen, die für verschiedenste Gelegenheiten bereitstehen, ist nicht sicher: Auch diese durchdachten Schlüssel sind von Algorithmen irgendwann problemlos zu knacken. Und wie gut lässt sich eine Tabelle schützen?
Zielrichtung des passwortlosen Passworts, das sich 2016 auf den Weg gemacht hat, ist ein Datenverkehr ganz ohne Passwörter. Die Idee dahinter: Wo es keine Anmelde-Informationen gibt, gibt es nichts zu holen, da haben Angriffe wie Phishing und Ransomware-Attacken keine Chance. Beim passwortlosen Passwort geht es nur um Haben und Sein. Nicht um Wissen. Authentifizieren (fast) ohne Passwort setzt darauf, speziell ausgerüstete Geräte zu haben sowie als natürliche Person ein Bündel an biometrischen Eigenheiten zu sein. Wenn kein Passwort das Ticket zum Datenzugang ist, nützt es keinem „Phisher“, in Betrugsmails einzufordern, dass ein Passwort eingegeben wird. Auch Manipulationen, um an Passwörter zu kommen, ergeben dann keinen Sinn.
Viele Wege führen zum Identifizieren ohne Passwort: Zwischenstationen, Kompromisse zwischen Einfachheit und komplexer Rücksicherung, auch Kooperationen sind notwendig. Enklaven und automatisierte Mehrfaktoren-Authentifizierung agieren beim passwortlosen Passwort als Wachpersonal. Codes werden auf Schlüsseln hinterlegt und einer Person beziehungsweise einem Gerät zugeordnet. Zugangsdaten verlassen das genutzte Gerät nicht. Asymmetrische Kryptografie und Biometrie, Künstliche Intelligenz und maschinelles Lernen erweitern – teils perspektivisch – die Verfahren, die überprüfen, ob ein „Guter“ und Berechtigter Zugang und Datenzugriff einfordert.
Übrigens: Will man seinen Zugang ganz sicher nicht verlieren, geht es ganz ohne Passwort derzeit meist noch nicht. Aber es hält sich unauffällig im Hintergrund. Und ein Passwort wird man sich doch merken können, nur eines. Was war doch meines gleich?