USB-Token und Gehirnwellen So wollen Forscher uns von Passwörtern erlösen

Es ist nervig, sich lange Passwort-Phrasen zu merken. Und Alternativen wie Fingerabdruck, Venenmuster und Gesichtserkennung bergen zu viele Risiken. Wann befreien uns Wissenschaftler endlich von Kennwörtern?

Getty Images

Von


Hashtag, Ausrufezeichen, zweiundvierzig, Großbuchstabe, Kleinbuchstabe, Dollarzeichen: Ein sicheres Passwort zu erstellen, ist schwierig genug. Sich dann auch noch starke Kennwörter für mehrere Seiten zu merken, ist vielen schlicht zu kompliziert.

Bei einer Umfrage des Instituts Ponemon (PDF) unter IT-Anwendern in den USA, Deutschland, Frankreich und Großbritannien gab mehr als die Hälfte der Teilnehmer an, dasselbe Kennwort für durchschnittlich fünf Accounts zu benutzen. Etwa zwei Drittel der Befragten teilen ihre Passwörter sogar mit Kollegen. Das ist erschreckend - und eine Einladung für Angreifer. Doch was gibt es für Alternativen? Und wie lange brauchen wir überhaupt noch Passwörter?

Fotostrecke

10  Bilder
Test: Fünf der beliebtesten Passwortmanager in der Übersicht

Zumindest das World Wide Web Consortium (W3C) hat Passwörtern im Internet den Kampf angesagt. Mit einem neuen Protokoll wollen die Experten den Zugang zu Websites erleichtern. Web Authentication (WebAuthn) nennt sich das Protokoll. Der Vorteil ist, dass keine Kennwörter mehr zwischen Anwender und Website ausgetauscht und in Datenbanken abgelegt werden. Stattdessen sollen sich die Nutzer mit einem Gerät identifizieren, etwa einem Smartphone oder einem USB-Token.

Apple testet neuen Login-Standard

Die Browser Google Chrome, Mozilla Firefox und Microsoft Edge unterstützen die WebAuthn-Schnittstelle bereits. Auch Apple scheint bald mit von der Partie zu sein: In der Entwicklerversion des Safari-Browsers wird der Standard derzeit getestet. Allerdings gibt es unter anderem Kritik an veralteten Verschlüsselungsverfahren. Sicherheitsexperten halten es noch für zu riskant, die passwortfreie Anmeldung einzusetzen.

Die Technik sei bequem, sagt Informatikprofessor Frank Kargl von der Universität Ulm dem SPIEGEL. Das sei gut so, denn "alles, was die Nutzer nervt, führt dazu, dass die Passwörter schlechter werden". Doch die Bequemlichkeit hat auch eine Kehrseite: "Wenn Anbieter wie Google oder Facebook die Anmeldung für alle Webseiten übernehmen, dann bringt das auch Datenschutzprobleme mit sich", sagt Kargl.

Der WebAuthn-Standard übernimmt das automatische Einloggen auch mit Biometrie-Scannern, die derzeit als Passwort-Alternative im Trend liegen. Smartphones mit dem Gesicht entsperren, den Rechner per Fingerabdruck starten und Türen mit Venenscanner öffnen. Diese Schlüssel hat man zwar immer bei sich. Doch biometrische Passwörter bringen zwei Gefahren mit sich.

Erstens: Fingerabrücke, Venenmuster und selbst Gesichter lassen sich fälschen. Zweitens: Das Passwort kann nicht geändert werden. Die Zahl der Finger ist begrenzt, man hat nur ein Gesicht, und auch das Venenmuster bleibt gleich. Wenn etwa Fingerabdrücke bei einem Hackerangriff erbeutet werden, sind diese biometrischen Daten unbrauchbar.

Gehirn benutzen beim Einloggen

Daher haben sich Wenyao Xu und sein Team eine andere Methode überlegt. Die Forscher von der staatlichen Universität des US-Bundesstaats New York setzen auf einen Gehirnabdruck. Bei der Methode geht es nicht darum, sich komplizierte Zeichenketten zu merken. Die Wissenschaftler messen, wie das Gehirn der Nutzer auf eine Reihe von angezeigten Bildern und Texten reagiert. Da jedes Gehirn andere Ströme erzeugt, ist laut Forschern jedes solche Gehirnpasswort einzigartig.

Und vor allem lässt sich das Passwort leicht ändern. Dafür muss der Nutzer nur aufzeichnen, wie das Gehirn auf eine andere Bilderreihe reagiert. Da der Vorgang unbewusst passiert, seien die Hirnströme für Angreifer nicht nachzuahmen. "Betrüger müssten die Daten aus medizinischen Berichten auslesen", sagt Wenyao Xu dem SPIEGEL.

Der Nachteil am Gehirnabdruck ist, dass die Gehirnströme erst einmal gemessen werden müssen. Das funktioniert nur, wenn Elektroden auf dem Kopf des Nutzers angebracht werden, etwa mit einer Virtual-Reality-Brille oder einer Mütze. Trotz der umständlichen Messung gibt es bereits Kontakt zu Unternehmen. "Google hat Interesse", schreibt Wenyao Xu. Ein Mitarbeiter aus dem Team sei im vergangenen Jahr sogar zum Suchmaschinenkonzern gewechselt.

Ein schnelles Ende der Passwörter ist laut Frank Kargl nicht in Sicht. "Das Passwort wird auch künftig nicht so leicht zu ersetzen sein", sagt der Professor. Das werde auch noch viele Jahre so bleiben. "Derzeit ist es sicher die beste Methode, einen Passwort-Manager zu verwenden." Dorthin gehe auch der Trend: Passwörter automatisch einfügen anstatt auszurotten. Dann könne man auch "komplizierte Kennwörter nutzen, ohne sich alle merken zu müssen".



insgesamt 22 Beiträge
Alle Kommentare öffnen
Seite 1
Sleeper_in_Metropolis 18.02.2019
1.
Zitat : "Stattdessen sollen sich die Nutzer mit einem Gerät identifizieren, etwa einem Smartphone oder einem USB-Token." Dann müsste man ja immer irgendein Gerät mit sich rumschleppen. Das Gegenteil von nervig ist das nicht unbedingt, die Nervigkeit verlagert sich lediglich.
Nonvaio01 18.02.2019
2. Passwoerter wird es immer geben
ohne die gehts nicht. Und was ist am Fingerabdruck nun ein Risiko? Wir reden hier vom Privat gebrauch, nicht den CIA computer, oder die FBI datenbank.
lollopa1 18.02.2019
3. ich lache immer noch...
Gehirnabdruck und so, manno. Klar kann man Gehirnströme aufzeichnen und bestimmt auch einmalig benutzen, jetzt ist das sogar möglich das Passwort einfach zu ändern...., wie denn. Jwetzt kann ich mich beim Admin melden und nach 10 Sicherheitsfragen bekomme ich ein einmaliges Neues, wenn mein Gehirn mal verstrubbelt ist weil ich eine auf den Kopf bekommen habe, das will ich mal sehen ;-) Wir werden in Jahrzehnten noch Passwörter oder biometrische Verfahren benutzen, das mit dem gehirn klappt eh nur wenn es vorhanden und eingeschaltet ist
stempelchen 18.02.2019
4. X.509 Zertifikate
werden schon bei https serverseitig genutzt. Wir, die Clients, bekommen 1-mal Zertifikate. Man ersetze diese durch permanente Zertifikate und wir Clients haben einen perfekten digitalen Ausweis. Den könnten Internet Shops wie das Spiegel Forum als Ausweis nutzen. Diese Zertifikate sind es auch, mit welchen wir rechtsverbindlich z.B. über D-Trust Sign Me unterschreiben können. Warum also immer das Rad neu erfinden?
Leser161 18.02.2019
5. Warum befreien?
Passwörter sind Schlüssel. Schlüssel gibt es seit Jahrhunderten. Es befreit uns auch keiner von Schlüsseln. Natürlich erschweren Schlüssel auch dem Berechtigten den Zugang. Aber sachen mit Tragweite sollten schwierig sein. ich will nicht Geld überweisen bloss weil ich meinen Kopf an den Rechner halte. Ich will überlegen und eine gute Entscheidung treffen. Schlüssel/Passwörter helfen mir dabei nicht leichtfertig zu entscheiden. das ist natürlich ärgerlich für die Wirtschaft die gerne möchte das wir mit leichtfertigen Entscheidungen unser Geld ausgeben. Gut sollen sie es versuchen. Spätestens wenn Trump den roten Kopf drückt weil er seinen vernetzten Gehirnscanner falsch bedient hat der ganz easy über die Cloud für Hundeklappe und roten Knopf zuständig ist, wird man bemerken, das dass keine gute Idee war.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.