An sich sind Passwörter eine praktische und verlässliche Art sich bei Benutzerkonten anzumelden. Die Passwörter sollten allerdings möglichst lang und komplex sein. Doch das ist eben nur die Theorie, sagt Constanze Kurz, Sprecherin des Chaos Computer Clubs.
"Und wir wissen seit Jahren, dass Menschen Menschen sind und ein Großteil von ihnen sich sehr schwer tut, damit, sich Passwörter zu merken und es entsprechend einfach zu ratende Passwörter gibt. Also eben, dass sie nur Zahlen nehmen, dass sie Benutzername und Kennwort gleich wählen. Und das nutzen natürlich solche Leute, die versuchen an Mailadressen oder Account-Daten ranzukommen aus."
Viele Anbieter schauen auf die IP-Adresse
Um das Hacken von Benutzerkonten zu verhindern, setzen viele große Firmen deshalb schon seit einiger Zeit auf zusätzliche Sicherheitstechniken. Häufig passiert das im Hintergrund – ohne dass der Nutzer viel davon Mitbekommt. So protokollieren viele Anbieter anhand der sogenannten IP-Adresse, aus welcher Region sich ein Computernutzer bei ihrer Webseite anmeldet. Damit lassen sich verdächtige Zugriffe auf Benutzerkonnten erkennen oder Versuche, ein angeblich vergessenes Passwort zurückzusetzen. Schließlich melden sich die meisten immer wieder von denselben Orten bei einer Webseite an.
"Also zum Beispiel Büro, zu Hause. Und plötzlich sind da ganz viele Versuche von Australien. Da muss man als Firma natürlich darauf achten, dass Menschen in Urlaub fahren, und man dann ja weiß: Die könnten sich zwei, drei Wochen im Jahr von woanders einloggen. Oder aber sie siedeln mal über. Aber wenn man eben merkt, dass gerade so eine ganz vielfache Abfrage von dem Passwort-Formular kommt – dann sollte man aufmerksam sein."
Zusätzliche Authentifizierung neben dem Passwort
Viele Internet-Seiten unterstützen außerdem schon die so genannte 2-Faktor-Authentisierung oder -Authentifizierung. Dabei wird zusätzlich zu Benutzernamen und Passwort noch eine weitere Erkennungsmethode benutzt.
Dieser zweite "Faktor" kann beispielsweise eine Transaktionsnummer oder TAN sein. Diese Nummer wird dann bei der Anmeldung im Benutzerkonto oder bevor bestimmte Aktionen ausgeführt wird per SMS auf das Handy geschickt. Benutzt wird dieses System jetzt schon häufig beim Online-Banking. Aber auch bei vielen großen und kleinen Internet-Firmen wie Google, Facebook oder Twitter können Benutzerkonten so zusätzlich abgesichert werden. Eine gute Entwicklung, sagt Nabil Alsabah, Sicherheitsexperte beim IT-Branchenverband Bitkom.
"Das ist natürlich eine viel sicherere Methode, als wenn nur das Passwort verwendet wird. Und deshalb empfehlen wir sehr stark die 2-Faktor-Authentisierung immer dann einzuschalten, wenn sie angeboten wird."
Risiken von Fingerabdruck oder Gesichtserkennung
Viele Smartphones und Laptops können inzwischen auch per Fingerabdruck oder Gesichtserkennung entsperrt werden. Das ist für die Nutzer praktisch, denn sie müssen sich eben nicht noch ein zusätzliches Passwort merken oder ständig eintippen. Für die Anmeldung bei Internet-Diensten eignen sich solche sogenannten biometrischen Methoden bisher aber nicht. Zum einen lassen sich viele dieser Techniken mit überschaubarem Aufwand austricksen.
Problematisch wird es aber auch, wenn diese biometrischen Daten in die Hände von Cyberkriminellen gelangen. Bei einem Passwort ist das zwar ärgerlich – aber es lässt sich jederzeit auch wieder ändern und durch ein neues Passwort ersetzen. Bei Fingern und Gesicht geht das so nicht, sagt IT-Sicherheitsexperte Markus Dürmuth von der Ruhruniversität Bochum.
"Wenn Sie an den Fingerabdruck denken, dann könne sie den zweiten Finger verwenden. Und das können sie halt neun Mal machen. Mit zehn Fingern können Sie neun Mal den Fingerabdruck durch einen anderen ersetzen – und dann ist aber auch gut."
Passwörter einfach nur denken
Geforscht wird inzwischen aber auch an besseren und vor allem veränderbaren biometrischen Anmelde-Methoden. Beispielsweise, dass Passwörter nicht eingetippt sondern gesprochen werden – und die ganz individuellen Eigenheiten der Stimme als zusätzliches Sicherheitsmerkmal verwendet werden. Und vielleicht reicht es irgendwann sogar aus, an das Passwort einfach nur zu denken. Denn selbst an der Messung von Gehirnströmen für die Benutzererkennung wird gearbeitet, erklärt Dennis-Kenji Kipker von der Europäische Akademie für Informationsfreiheit und Datenschutz.
"Das heißt also: Man stellt sich etwas vor. Und dabei werden bestimmte Gehirnströme gemessen, und darauf basierend der Zugang letztlich zu dem Dienst gewährt. Wobei da auch noch das Problem ist: Dass eben diese Messvorgänge noch deutlich zu lange dauern."
Vorerst müssen Internet-Nutzer aber wohl weiter Passwörter eintippen – und sich bei vielen Diensten zukünftig sogar noch zusätzlich mit einer Transaktionsnummer ausweisen.