Fingerabdruck und Iris-Scan: Wie Google, PayPal & Co. das Passwort neu erfinden wollen

Googles Sicherheitsexperte Stephan Somogyi
Googles Sicherheitsexperte Stephan Somogyi

Dass "123456" kein gutes Passwort ist, dürfte inzwischen allgemein bekannt sein. 150 Privatunternehmen stellen nun generell das "System Passwort" in Frage. Geht es nach Google und Co. könnten wir uns künftig per Daumen oder Auge im Internet identifizieren.

Anzeige

Der Bundestagspräsident sorgt für Gelächter bei den Abgeordneten. „Bei der ersten Anmeldung an das neue System werden sie oder ihre Mitarbeiter aufgefordert, ihr Passwort zu ändern. Das setzt voraus – ganz praktisch –, dass einer da ist“, sagt Norbert Lammert Mitte August im Plenum mit Blick auf den Neustart des Bundestag-Computernetzes „ParlaKom“. Es gab viel Spott für diesen Einblick in die tagtäglichen Probleme der deutschen Politik. Dabei illustriert die Posse eigentlich nur, dass auch im Deutschen Bundestag eine Diskrepanz zwischen den steigenden Sicherheitsanforderungen und dem technischen Verständnis dafür herrscht. Denn erst eine Cyber-Attacke auf den Bundestag machte das Ändern der Passwörter nötig.

Wer noch nicht verstanden hat, warum schlecht gewählte Passwörter so gefährlich sind, dem sei das Gespräch vom britischen Talkshow-Host John Oliver mit Edward Snowden ans Herz gelegt. Snowden empfiehlt in dem Gespräch von „Passwörtern“ auf „Passsätze“ umzusteigen, weil die allermeisten Passwörter innerhalb von Sekunden zu knacken seien.

In der Privatwirtschaft ist diese Erkenntnis angekommen. Nur wer sich sicher im Netz bewegen und alle Angebote nutzen kann, wird dort auch Geld ausgeben, so die einfache wie bestechende Logik. 2012 gründeten deshalb mehrere Unternehmen, darunter PayPal, Infineon und Lenovo, die FIDO-Allianz mit Sitz in Kalifornien. Diese nicht-kommerzielle Vereinigung ist inzwischen auf über 150 Unternehmen angewachsen – mit namhaften Mitgliedern wie Google, Alibaba, Microsoft, Samsung oder der Bank of America.

Die Fast Identity Online Alliance, wie sie auf englisch heißt, hat sich vorgenommen, neue Standards für die Authentifizierung und Sicherheit im Internet zu entwickeln und zu setzen. Den größten Feind haben sie auch schon ausgemacht: Es ist das Passwort.

Bei einer Diskussion von verschiedenen FIDO-Mitgliedern in der Berliner Dependance von Google wird am Dienstag schon zu Anfang klar gemacht: Das System Passwort hat mittel- und langfristig keine Zukunft. Passwörter seien „kaputt und menschenfeindlich“, wie Sicherheits-Spezialist Stephan Somogyi von Google sagt, durch die eigenen Erhebungen wisse man, wie aktiv die Angreifer seien. Ioannis Kabitoglou vom deutschen Chiphersteller Infineon verweist darauf, dass drei Viertel aller erfolgreichen Cyber-Attacken auf die Verwendung von schlechten Passwörtern zurückgehe. Das ist wenig überraschend, wenn man bedenkt, dass zwei Drittel aller Nutzer dasselbe Passwort für alle Angebote verwenden, wie Fabian Bahr, Berlin-Chef der deutschen Sicherheitsfirma Giesecke & Devrient, später noch anbringt.

Bisher hat die FIDO-Allianz zwei Standards entwickelt, die es ermöglichen, sich im Internet zu authentifizieren – entweder über im technischen Gerät implementierte biometrische Daten wie Fingerabdruck- oder Iris-Scan. Oder über einen so genannten Sicherheits-Token, der zum Beispiel über USB angeschlossen werden kann und so auf unterschiedlichen Geräten die Authentifizierung erlaubt. Beiden Standards ist gemein, dass sie systemübergreifend funktionieren und die Daten an keiner zentralen Stelle gespeichert werden. So kann sich der Nutzer überall anmelden, wo FIDO akzeptiert wird, aber es gibt keine zentrale Datenbank, in der der Benutzer gelistet wird.

Wie genau FIDO von den Anbietern eingesetzt wird, liegt ganz bei diesen, wie Google-Mann Somogyi erklärt. Denkbar sei sowohl der alleinige Einsatz als auch die Kombination mit bisherigen Sicherheitsmaßnahmen. Es werde Anbieter geben – zum Bespiel im Computerspiele-Bereich –, die auf den alleinigen Einsatz der FIDO-Standards setzen, so Somogyi. Wahrscheinlicher ist aber die Kombination mit bereits bestehenden Standards. Google lässt die Authentifizierung mittels FIDO überhaupt erst zu, wenn eine weitere Sicherheit besteht, beispielsweise eine hinterlegte Handynummer.

Gerade der Verlust des Tokens oder eine Kopie von biometrischen Daten würde es sonst erlauben, das neue System zu missbrauchen. Bisher haben nur die „Early Adopters“ den Service angenommen, so Somogyi, aber die Nutzerzahl wachse stetig, genau wie die Anzahl an Geräte, die den Service implementiert hätten.

Wenn sich FIDO durchsetzt, könnte es sein, dass Norbert Lammert künftig nicht nur an das Ändern von Passwörtern erinnert, sondern auch davor warnt, den Fingerabdruck irgendwo leicht fertig zu hinterlassen.

Anzeige
Anzeige

Alle Kommentare

  1. Und wenn der Fingerabdruck kompromittiert ist, weil der Service gehackt wurde, wo kiege ich dann neue Fingerabdrücke her? Oder neue Augen???

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*

Anzeige