Jetzt mal Hand aufs Herz, wie viele unterschiedliche Passwörter benutzen Sie? Glaubt man den Statistikern, sind die meisten von uns mit gerade einmal zwei bis vier verschiedenen Varianten im World Wide Web unterwegs. Die Gründe liegen auf der Hand: Sich für jede Plattform ein eigenes Passwort zu merken, wird schnell ziemlich schwierig. Aber zu einfache und mehrfach vergebene Passwörter sind leichte Beute für Cyberkriminelle, so Linus Neumann vom Chaos Computer Club:
"Ein Angreifer, der in der Lage ist, Ihr Facebook-Passwort in Erfahrung zu bringen, kann das gleiche Passwort mit sehr großer Wahrscheinlichkeit auch für Ihr E-Mailpostfach oder Ihr Onlinebanking benutzen."
Erste Alternative: Passwortsafe
Auf diese Weise könnte er womöglich einen großen Schaden anrichten. Jetzt kann sich der Mensch aber in der Regel nur in begrenztem Umfang Passwörter merken. Helfen kann hier ein sogenannter Passwortsafe. Linus Neumann:
"Ich persönlich benutze für jeden Dienst ein individuelles Passwort, was die maximal zulässige Anzahl von Zeichen hat, inklusive Sonderzeichen und Zahlen, was von mir zufällig generiert wird und habe gleichzeitig ein Hilfsprogramm auf meinem Rechner, das diese ganzen verschiedenen Passwörter speichert. Dafür habe ich dann wiederum ein von mir für besonders sicher gehaltenes Passwort, das dann diesen Safe für mich abschließt."
Passwortsafes kann man auf die persönlichen Wünsche und Bedürfnisse abgestimmt aus dem Internet laden. Auch hier bleibt aber das Risiko bestehen, dass es dem Angreifer gelingt, an das Hauptpasswort zu kommen. Damit stehen ihm dann direkt sämtliche Passwörter aus dem Safe zur Verfügung.
Zweite Alternative: Zweifaktorauthentifizierung
Andere Ansätze gehen laut Linus Neumann über einen rein digitalen Schutz hinaus:
"Was wir heute in besseren Sicherheitsverfahren sehen ist die sogenannte Zweifaktorauthentifizierung in der der Nutzer etwas besitzen und etwas wissen muss. Einfaches Beispiel dafür ist Ihre EC Karte. Sie müssen diese Karte haben und den PIN zu der Karte kennen. Beides ist ohne den jeweils anderen Faktor wertlos."
Produziert werden diese sogenannten Token zum Beispiel von der Bundesdruckereitochter D-Trust. Geschäftsführer Kim Nguyen:
"Wir stellen Chipkarten her mit entsprechenden Zertifikaten. Das Zertifikat bestätigt im Prinzip Ihre Identität, das heißt, Sie beweisen uns gegenüber Ihre Identität, indem Sie sich persönlich ausweisen, indem Sie Postident machen, indem Sie zum Beispiel den neuen Personalausweis auch online nutzen. Und das Zertifikat, das auf der Karte dann gespeichert ist zusammen mit einem privaten Schlüssel, das weist eben nach wer Sie sind."
Allerdings birgt laut Kim Nguyen auch die Kombination aus Karte und PIN oder Passwort noch Risiken:
"Wenn ich den Token verliere, dann muss ich diesen Token aus dem entsprechenden Account entfernen. Das ist ein bisschen mit dem Schlüssel zu vergleichen. Wenn ich weiß, wo Sie wohnen und ich finde Ihren Schlüssel, dann werde ich wahrscheinlich auch Ihre Wohnung betreten können."
Erforschung weiterer Alternativen
Um das System der Zweifaktorauthentifizierung noch sicherer zu machen und weitere Technologien zu entwickeln arbeitet die D-Trust mit anderen Onlineunternehmen in der FIDO, der Fast Identity Online Alliance zusammen. Langfristig Bestand, so Nguyen haben aber in der Regel die System mit den geringsten Hemmschwellen für den Nutzer:
"Das ist die Erfahrung, die wir jetzt nach vielen Jahren sicherer IT-Technologie gemacht haben. Es gibt ja schon ganz viel sichere Technologie, aber wir erleben immer wieder, dass Sie doch nur für Experten wirklich gangbar ist. Und ich denke, dass die FIDO Alliance die große Chance bietet, ganz konsequent dieses Thema Nutzererfahrung und -integration in den Vordergrund zu stellen."
Das eine sichere Passwort, das fähig ist uns vor sämtlichen Daten- und Identitätsdiebstählen zu bewahren gibt es also nicht. Sicherer werden Identifizierungsverfahren im Netz aber durch die Kombination digitaler und analoger Elemente und Verwaltungshilfsmittel wie beispielsweise dem Passwortsafe.