Vorstoß von Apple, Google und Microsoft Vergessen Sie Ihre Passwörter

Die größte Gefahr im Netz sind schlechte oder in falsche Hände gelangte Passphrasen. Doch damit könnte es bald vorbei sein, wenn sich die passwortlose Anmeldung durchsetzt.
So könnte die Anmeldung im Netz künftig aussehen (Symbolbild)

So könnte die Anmeldung im Netz künftig aussehen (Symbolbild)

Foto: FIDO Alliance

Weil an diesem Donnerstag Weltpassworttag ist, könnten wir Ihnen zeigen, wie man sich gute Passwörter ausdenkt und welche Strategien es gibt, damit man diese nicht vergisst. Doch das haben wir vor zehn Jahren schon getan und vor nicht allzu langer Zeit noch einmal.

Ebenso könnten wir erklären, wie man Passwortmanager genannte Apps nutzt, die Passwörter erzeugen und sich diese gleich selbst merken – ganz so, wie wir es in diesem Artikel und in diesem getan haben.

Vor allem aber könnten wir Sie daran erinnern, dass eine sogenannte Zwei-Faktor-Authentifizierung noch viel besser ist als jedes noch so gute Passwort, weil sie beim Log-in einen zweiten Faktor berücksichtigt, etwa eine SMS an Ihr Handy. Aber das haben wir vor fünf Jahren schon getan und im vergangenen Jahr daran erinnert.

Immer wieder aber werden wir daran erinnert, dass nicht alle Internetnutzerinnen und -nutzer unsere oder andere Artikel über sichere Passwörter und noch sicherere zweistufige Log-ins lesen oder sie ernst nehmen. Und zwar immer dann, wenn alljährlich Listen der populärsten – und schwächsten – Passwörter zusammengestellt werden. Anders ist kaum zu erklären, dass »123456« auf diesen Listen bis heute ein Dauerbrenner ist, so wie wir es kurz vor Weihnachten 2021 berichtet haben. Und im Jahr davor, dem Jahr davor und dem Jahr davor.

Man muss es einfach realistisch betrachten: Gute Passwörter sind unbequem, sichere Log-in-Methoden auch.

Das BSI ist schon dabei

Aber das könnte sich nun langsam ändern, wenn klappt, was sich die FIDO-Alliance gemeinsam mit »Hunderten von Technologieunternehmen und Dienstleistern aus der ganzen Welt« ausgedacht hat. Umso mehr als die großen drei Techkonzerne – Apple, Google und Microsoft – federführend daran mitgearbeitet haben. Denn zum Anmelden mit FIDO braucht man keine Passwörter mehr, sondern nur noch einen digitalen Sicherheitsschlüssel. Und der Umgang mit genau dem soll nun viel bequemer werden.

Falls Sie FIDO nicht kennen: Das Kürzel steht seit gut einem Jahrzehnt für Fast Identity Online. Dahinter stehen mehrere Hundert Firmen und Organisationen, die gemeinsam Standards für die sichere passwortlose Anmeldung bei Onlinediensten und Apps entwickeln. Neben den oben genannten Konzernen gehören beispielsweise Visa und Mastercard, Huawei und Netflix und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu.

Niemand kennt Ihr Geheimnis

Was FIDO so besonders macht: Statt auf Passwörter und zweite Faktoren, die von Kriminellen gestohlen oder gekapert werden können, setzt es auf kryptografische Methoden, um die Log-in-Daten seiner Nutzerinnen und Nutzer zu schützen. Die Grundlage dafür ist ein kryptografischer Hauptschlüssel, auf dessen Basis für jeden Dienst, jede App und jede Website ein eigener Schlüssel erzeugt wird. Der kann beispielsweise auf einem USB-Dongle oder in einem sicheren Speicherbereich eines Smartphones abgelegt werden.

Für jede Website und jede App, bei der man sich mit FIDO anmeldet, wird nun ein zweiter, öffentlicher Schlüssel erzeugt. Nur wenn beide Schlüssel zusammenpassen, ist ein Log-in möglich.

Kriminellen nutzt es bei FIDO daher nichts mehr, wenn sie Log-in-Daten von einer Website stehlen. Ohne den privaten Schlüssel der Nutzerin oder des Nutzers sind die öffentlichen Schlüssel wertlos. Auch Phishing-Versuche laufen ins Leere. Wird man mit einer fingierten E-Mail auf eine Fake-Website gelockt, um sich dort einzuloggen, erzeugt das System für diese einen eigenen öffentlichen Schlüssel. Die Täter könnten also bestenfalls die nötigen Daten abgreifen, um sich auf ihrer eigenen Fake-Website anzumelden, hätten jedoch keinen Zugang zum Original.

Zu kompliziert

Bisher ist FIDO vor allem für USB-Dongles mit Fingerabdrucksensor, wie die von Yubikey , bekannt. Mit ihnen kann man sich etwa bei seinem Firmen-E-Mail-Konto anmelden, indem man sich mit seinem Fingerabdruck ausweist. Die FIDO-Technik ist aber auch in Browsern wie Chrome und Edge sowie Betriebssystemen wie Windows, Android, iOS und macOS eingebaut.

Trotzdem wird FIDO bisher in erster Linie von großen Unternehmen eingesetzt, deren IT-Abteilungen sich darum kümmern, die Geräte der Angestellten damit auszustatten. Dass die Technik sich bei Privatpersonen bisher kaum durchgesetzt hat, habe vor allem mit der Benutzerfreundlichkeit – oder vielmehr einem Mangel davon – zu tun, sagt Andrew Shikiar, Executive Director der FIDO Alliance, im Gespräch mit dem SPIEGEL.

Die Cloud ist der Schlüssel

Denn bisher benötigt man eben einen USB-Dongle beziehungsweise muss jedes Gerät, mit dem man sich bei einem Dienst anmelden will, dort registrieren. Künftig hingegen soll man via Cloud von mehreren Geräten aus auf seine FIDO-Zugangsdaten zugreifen können. Dabei würde quasi ein Back-up des privaten Schlüssels in der Cloud abgelegt, damit man von anderen Geräten aus darauf zugreifen kann, erklärt Shikiar.

Noch eine Vision für die Zukunft: Anmeldung über geteilte FIDO-Anmeldedaten an einem Notebook

Noch eine Vision für die Zukunft: Anmeldung über geteilte FIDO-Anmeldedaten an einem Notebook

Foto: FIDO Alliance

Die zweite Neuerung sieht vor, dass man sein Smartphone nutzen kann, um sich auf Websites und bei Diensten anzumelden. Dafür genüge es, wenn das Mobiltelefon sich in der Nähe des gerade genutzten Geräts befindet, sagt Shikiar. Welchen Browser oder welches Betriebssystem man dabei verwendet, sei nebensächlich. Wichtig sei nur, dass die Geräte per Bluetooth verbunden sind. Das Smartphone dient dann als Schlüsselträger, bei dem man sich wiederum biometrisch als rechtmäßiger Nutzer ausweist.

Egal, welche dieser Methoden man benutzt: Passwörter braucht man damit künftig nicht mehr, jedenfalls nicht für Dienste, die FIDO unterstützen. Was nicht heißen soll, dass Sie morgen damit loslegen können. Die FIDO-Technologie wird zwar schon von vielen Firmen verwendet, aber bis Apple, Google und Microsoft die am Donnerstag angekündigten neuen Funktionen in ihre Betriebssysteme und Cloud-Dienste integriert haben, wird es noch dauern. Maximal 18 Monate, schätzt FIDO-Manager Shikiar.