designer491 / Shutterstock
Einige Leute können nicht aufhören, über den Tod des Passworts zu sprechen. Passwörter sind alt, unsicher und können leicht durchgesickert sein. Bald werden wir alle Biometrie, Hardware-Sicherheitsschlüssel und andere futuristische Lösungen verwenden – richtig? Na ja, nicht so schnell.
Wir haben mit gesprochen 1Passwort Sicherheitschef Jeffery Goldberg, der sagte, er sei «vorsichtig optimistisch, dass wir diesmal eine Beeinträchtigung des Passwortproblems sehen könnten.»
Das ist die optimistische Einstellung – und weit entfernt vom Tod von Passwörtern.
Warum Leute das Passwort töten wollen
Bei der Erörterung des Unternehmensziels „Eine Welt ohne Passwörter aufbauen,Bereits im Mai 2018 schrieb das Sicherheitsteam von Microsoft:
„Niemand mag Passwörter. Sie sind unpraktisch, unsicher und teuer. Tatsächlich mögen wir sie nicht so sehr, dass wir bei der Arbeit damit beschäftigt waren, eine Welt ohne sie zu schaffen – eine Welt ohne Passwörter. “
Passwörter sind im Laufe der Zeit ärgerlicher geworden, und wir sind alle mit dem Risiko einer Wiederverwendung vertraut geworden. Wenn Sie auf mehreren Websites dasselbe Kennwort verwenden und ein Kennwortleck vorliegt, können Sie mit Ihrem Kennwort auf Ihr Konto auf einer anderen Website zugreifen. Daher müssen Sie für jeden von Ihnen verwendeten Dienst ein sicheres, eindeutiges Kennwort auswählen. Vorbei sind die Zeiten, in denen ein kurzes, einfaches Passwort auf einer Handvoll Websites wiederverwendet wurde.
Für die meisten Menschen, die keine übermenschlichen Erinnerungen haben, ist es unmöglich, sich für jedes Online-Konto ein sicheres, eindeutiges Passwort zu merken. Aus diesem Grund empfehlen wir Passwort-Manager, die sich all diese sicheren, eindeutigen Passwörter für Sie merken. Sie müssen sich nur Ihr Hauptkennwort merken, was viel einfacher ist als das Speichern von 100 und viel sicherer als das Wiederverwenden desselben.
Selbst mit einem Passwort-Manager ist dies jedoch nicht vollständig sicher. Jemand mit einem Keylogger auf Ihrem System könnte Ihr Passwort erfassen und sich als Sie anmelden. Aus diesem Grund bieten Dienste zusätzliche Sicherheit. Wir geben oft ein Passwort ein und müssen uns dann ein zweites Mal mit einem Code oder Schlüssel authentifizieren.
Gibt es einen besseren Weg?
Was könnte das Passwort ersetzen?
Goldberg sagte, er habe in den letzten zwanzig Jahren «Schema für Schema» vorgeschlagen, Passwörter zu töten – von denen viele nicht aus dem gelernt haben, was in der Vergangenheit fehlgeschlagen war. Neuere haben jedoch möglicherweise bessere Erfolgschancen aufgrund von Fortschritten wie leistungsstärkeren lokalen Geräten.
Biometrie kann ein Passwort ersetzen. Sie können Touch oder Face ID (Biometrie) verwenden, um sich bei Ihrem iPhone anzumelden, anstatt eine PIN einzugeben. Android-Handys verfügen auch über Fingerabdruck- und Gesichtsanmeldefunktionen.
Sie können jetzt auch «kennwortlose» Microsoft-Konten erstellen, um sich bei Windows anzumelden. Ihr Benutzername ist Ihre Telefonnummer, und das von Ihnen eingegebene „Passwort“ ist ein Code, der per SMS an Ihre Telefonnummer gesendet wird.
Sie können auch einen physischen Sicherheitsschlüssel anstelle eines Kennworts verwenden, um Ihre Online-Konten zu authentifizieren. Sie behalten den Schlüssel bei sich (Sie können ihn sogar an Ihrem Schlüsselbund behalten) und verwenden ihn über USB, NFC oder Bluetooth, wenn Sie sich anmelden müssen.
Telefone können auch Passwörter ersetzen. Google lässt Android-Geräte jetzt als FIDO2-Tasten fungieren. Möglicherweise müssen Sie sich auch mit einem Fingerabdruck auf Ihrem Telefon authentifizieren, wenn Sie sich auf Ihrem Laptop bei einer Website anmelden.
Viele Unternehmen versuchen, die Abhängigkeit von Passwörtern zu verringern, indem sie Anbieter mit einmaliger Anmeldung anbieten. In diesem Fall melden Sie sich bei Facebook, Google usw. an und verwenden dieses Konto dann, um sich bei anderen Diensten anzumelden. Es sind keine zusätzlichen Kennwörter erforderlich.
Passwort «Ersetzungen» Ersetzen Sie keine Passwörter
Hier gibt es jedoch ein großes Problem. Technologien, die als «Ersatz» für Passwörter angepriesen werden, sind keine Ersetzungen – zumindest noch nicht.
Biometrie wie Face oder Touch ID erfordert weiterhin sowohl einen Passcode als auch ein Apple ID-Passwort auf Ihrem Gerät. Einige Aufgaben erfordern auch eine PIN für die Hintergrundverschlüsselung. Biometrische Funktionen unter Android und Windows Hello unter Windows 10 funktionieren auf die gleiche Weise – im Grunde genommen als praktische Funktion. Es ist einfacher, sich bei Ihrem Gerät anzumelden, da Sie nicht jedes Mal ein Kennwort eingeben müssen, aber nicht Ihr Kennwort.
Ein passwortloses Konto, das Ihnen Telefoncodes sendet, ist ebenfalls nicht besonders gut. Anstelle eines einzigen Passworts für Ihr Konto generiert dieser Dienst bei jedem Anmeldeversuch ein neues Passwort und sendet es Ihnen per SMS. Dies ist weniger sicher als die herkömmliche Methode eines einzelnen Kennworts plus eines Sicherheitscodes, der Ihnen bei der Anmeldung gesendet wird.
Leider stehlen Angreifer in vielen Situationen leicht Telefonnummern, was die Sicherheit verringert. Es ist eine großartige Methode, um Menschen in Ländern zu erreichen, in denen Telefonnummern allgegenwärtig sind, und es verringert die Reibung bei der Anmeldung für ein Konto, weshalb Amazon dies auch anbietet. Es ist jedoch keine gute Lösung, Passwörter zu ersetzen.
Die meisten Dienste, die physische Sicherheitsschlüssel übernommen haben, verwenden diese als zusätzliche Authentifizierungsoption. Sie melden sich weiterhin mit Ihrem Passwort an und geben dann den Sicherheitsschlüssel als sekundäre Bestätigung für den Zugang ein. Die Möglichkeit, einen Schlüssel ohne Passwort zu verwenden, ist noch weit entfernt.
Auch bei Single Sign-On-Diensten gibt es ein Datenschutzproblem. Wenn Sie auf «Mit Google anmelden» oder «Mit Facebook anmelden» klicken, weiß der Dienstbetreiber – Google oder Facebook -, bei was Sie sich anmelden.
Es wird immer Passwörter geben (im Hintergrund)
Selbst wenn Googles Traum, Passwörter durch Telefone zu ersetzen, verwirklicht wird, wird das Passwort dadurch nicht beseitigt. Der Rand Fasst die Pläne von Google folgendermaßen zusammen: «Wenn Sie bereits bei Ihrem Telefon angemeldet sind, können Sie damit das nächste Gerät, das Sie in Ihrem Google-Konto anmelden möchten,» booten «.»
Möglicherweise vermeiden Sie es lange Zeit, Ihr Passwort zu verwenden, aber es befindet sich immer noch im Hintergrund. Schließlich benötigen Sie es, wenn Sie alle Ihre Geräte verlieren.
Passwörter sind immer noch weit verbreitet. Sie sind einfach einzurichten und zu verwenden. Das Ersetzen von Passwörtern bietet mehr Komfort oder zusätzliche Sicherheit. Sie benötigen jedoch immer eine Möglichkeit, den Zugriff wiederherzustellen, wenn Sie Ihr Gerät verlieren und Ihre Biometrie oder Hardwaresicherheit nicht verwenden können.
«Ich denke, es wird immer Randfälle geben, in denen Passwörter erforderlich sind», sagte Matt Davey, Chief Operating Officer von 1Password. Beispielsweise bietet Anmelden mit Apple in iOS 13 eine webbasierte Anmeldeoption, die Ihr Apple ID-Kennwort verwendet, wenn Sie sich auf einem Nicht-Apple-Gerät anmelden. Ein Passwort funktioniert überall und ist die universelle Standardeinstellung, wenn keine ausgefallenen biometrischen oder Hardware-Sicherheitsfunktionen verfügbar sind.
Wie Goldberg sagte, «sind Passwörter für Websites einfach, wirklich einfach zu implementieren». «Sie sind immer noch die einfachste Sache für Servicebetreiber.»
Aus diesem Grund ist 1Password optimistisch in Bezug auf die Zukunft von Passwortmanagern. Das Unternehmen gab an, trotz des wachsenden Wettbewerbs mehr neue Benutzer gesehen zu haben, und Unternehmen wie Apple, Google und Mozilla nehmen die Kennwortverwaltung ernst.
Was hält die Zukunft bereit?
Der Traum, das Passwort zu töten, ist weit entfernt. Selbst wenn der Prozess gut verläuft, ist das beste Szenario, dass wir langsam vorwärts gehen und einfachere Alternativen zu Passwörtern haben.
Eines Tages werden Passwörter möglicherweise so in den Hintergrund gedrängt, dass sie eine lange vergessene Methode zur Wiederherstellung von Konten darstellen. Aber sie werden wahrscheinlich noch lange da sein. Der Kampf, sie für die Mehrheit der Menschen aus dem täglichen Gebrauch zu verbannen, wird lang und hart umkämpft sein. Aber Passwörter komplett töten? Das ist noch schwerer vorstellbar.