Sie wissen es wahrscheinlich nicht, aber von zehn Personen aus Ihrem engsten Bekanntenkreis benutzt mindestens eine Person eines der 25 Passwörter der Welt, die am einfachsten zu hacken sind: „123456“, „Passwort“, „qwertz“ oder sogar „starwars“ ... Sicherheit geht oft mit Auflagen einher und indem sie es sich so einfach wie möglich machen, gewähren viele Menschen anderen fast freien Zugang zu ihren persönlichen Daten. Wer dagegen sehr vorsichtig ist, muss sich an eine schwindelerregende Anzahl von Passwörtern erinnern, an nicht enden wollende Codes und verwendet schließlich Gedächtnisstützen, die manchmal auch allen offen stehen. Gibt es denn keine einfachere Lösung?
Es geht um Vertrauen
Vielleicht, aber „einfacher“ reicht nicht; es muss auch „zuverlässiger“ sein, „weniger leicht zu hacken“. Die Lösung, die z. B. darin besteht, Algorithmen unsere Gewohnheiten lernen zu lassen, kann verführerisch erscheinen: Das Passwort wird nur erforderlich, wenn unser übliches Verhalten – Standort, Nutzungszeiten, besuchte Websites, Rhythmus des Tastenanschlags ... – nicht mehr erkannt wird. Schön und gut, aber die Microsoft-Cloud Informationen zu unseren Inhalten erheben zu lassen, um Statistiken zu erstellen, setzt ein Transparenzniveau voraus, das für uns mit dem Datenschutz vielleicht nicht vereinbar ist.
Dem System vertrauen, wie es die große Mehrheit der unter 20-jährigen heute tut, das will noch nicht jeder. Die ältere Generation ist in Bezug auf den Datenschutz nicht so entspannt, weil sie sich noch an eine Zeit erinnern kann, als Sicherheit mit mehr Auflagen verbunden war und die Internetnutzer daran erinnerte, dass Hacking nicht nur bei Prominenten vorkommt und Brute-Force-Angriffe nicht nur in Spionagefilmen. Außerdem ist es einfach, entspannt zu sein, wenn die einzige Bedrohung von Taschendieben ausgeht: Bei Unternehmen haben die Risiken eine andere Tragweite.
Weniger Passwörter, aber bessere
Egal, auf welches Niveau man sich begibt, der Schutz des Geräts (Tablet, Computer oder Telefon) und der Schutz der Daten erfordern auf jeden Fall zwei verschiedene Passwörter. Bereits für das erste versucht man bereits, das Vergnügen zu variieren: Außer Schemata zu verwenden, die einfach, aber leicht zu erkennen sind, und den Fingerabdruck zu erfassen – unter der Voraussetzung, dass man die digitale Speicherung unserer Fingerspitze akzeptiert, im Moment gibt es nichts besseres – will man die 10 Ziffern und 26 Buchstaben durch eine Auswahl von 12 Emoji aus den 2.500 verfügbaren ersetzen und davon eine Serie von vier oder sechs Stück wählen. Das ist zuverlässig und macht Spaß. Doch es muss noch einmal gesagt werden, dass nur eines dieser Passwörter nicht ausreicht! In der Reihe der spielerischen Alternativen entwickelt NovaSpatial im Moment ein Identifizierungssystem, das auf der Erkennung einer kleinen Parzelle auf einer digitalen Weltkarte basiert, deren Koordinaten als Code fungieren, an den man sich dadurch nicht erinnern muss – es reicht aus, zu wissen, wo sich dieser Baum, jenes Schwimmbad, jene Kreuzung usw. befinden.
Während wir darauf warten, dass wir mit Hilfe von Emoji und Karten auf unser visuelles Gedächtnis zurückgreifen können, gibt es immer mehr Online-Managementdienste. Bei virtuellen Tresoren wie 1PassWord, LastPass oder KeePass genügt ein Code, um alle anderen zu schützen, die hinter diesem gespeichert und verschlüsselt werden. Ein einziges Sesam-öffne-dich genügt, dieses sollte so kompliziert wie möglich sein – ein Satz funktioniert jedoch. "Sesam, öffne dich!" zum Beispiel (inklusive Zeichensetzung!).
Die Kehrseite der Biometrik
Große Probleme verlangen große Lösungen: Liegt die Zukunft in der starken Authentifizierung, mit physischen Objekten? Der Daumen, das Auge, die Stimme oder das Gesicht sind in der Tat Mittel, die immer öfter für den Zugang zu Geräten genutzt werden, sie könnten schließlich auch dem Zugang zu Profilen in den sozialen Netzwerken dienen: Die Hacker, die vorgaben, die Gesichtserkennung des iPhone X mit einer super-realistischen Latexmaske hinters Licht geführt zu haben, müssten sich bei Privatpersonen nicht so sehr anstrengen. Die Verwendung der Biometrik wird in den kommenden Jahrzehnten allgemein üblich und immer raffinierter werden: Es wird sogar daran gedacht, DNA-Erkennungssysteme zu entwickeln...
Mit diesen ist dann Schluss mit den Problemen, die manchmal bei der Gesichtserkennung entstehen, wenn man sich den Bart abrasiert oder die Haare geschnitten hat – dann bleibt nur noch das Problem des bösartigen Zwillings! 2015 behauptete Jonathan Leblanc, Global Head of Developer Advocacy bei PayPal, dass die Passwörter der Zukunft nicht mehr aufgeschrieben oder erinnert würden, sondern implantiert, geschluckt oder injiziert. Digitale Tattoos, EKG-Erfassung, um die Herzdaten zu übermitteln, Erkennung der Venen, des Blutdrucks ...Absolut zuverlässig, aber recht unappetitlich.Drei Jahre später scheint das digitale Tattoo vorn zu liegen: Die Chemikerin Zhenan Bao, die gerade e-skin entwickelt hat, unterstreicht zwar das medizinische und soziale Potential dieses vernetzten elektronischen Materials, das perfekt auf die menschliche Haut passt ... Doch dieses muss sich früher oder später der Frage nach der Vertraulichkeit stellen: Nicht mehr unser Fingerabdruck dient dann als universelles Passwort, sondern die hauchdünne elektronische Schicht auf unserer Fingerspitze, die mit unserem Smartphone verbunden ist. Sagt Ihnen das zu?
Das Geheimnis der Zwei-Faktor-Authentifizierung
Anstatt die Biometrik zum Preis von Gott weiß welcher Überschreitung der Privatsphäre unfehlbar zu machen, sollten wir vielleicht lieber auf die Vereinfachung der Zwei-Faktor-Authentifizierung setzen. Ein solches System ist heute schon weit verbreitet für Online-Zahlungen, die einen zweiten Code erfordern, der per SMS verschickt wird und wenige Minuten gültig ist. Dieser Bestätigungscode, der meist auf das Smartphone geschickt wird, kann auch auf eine Google Watch, eine Smartcard, eine App (wie bei der Lösung von Stormshield Data Security), einen Verschlüsselungstoken oder einen USB-Stick (wie die FIDO-Sticks) gesandt werden.
Das Problem besteht dann natürlich darin, dass man die Wohnung nie ohne den Gegenstand verlassen darf, der den zweiten Code erstellt. Seinen Daumen oder sein Auge vergisst man weniger leicht zu Hause als das Smartphone ... Wenn man letzteres nicht als neues Organ des homo numericus betrachtet. Ansonsten bleibt immer noch die Option, dass wir alle Genies werden, die sich an Dutzende von Zeichensequenzen erinnern können. Sie haben die Wahl ...
Danke an Fabien Thomas und Jocelyn Krystlik, Innovation Director bzw. Product Manager Data Security bei Stormshield, für ihre wertvolle Hilfe beim Verfassen dieses Artikels, in Zusammenarbeit mit Usbek & Rica.
