"Change your Password": Sicherheit geht anders

Traditionell ermahnen IT-Experten am 1. Februar unter dem Motto "Ändere dein Passwort" Computernutzer weltweit, ihre persönlichen Daten besser zu schützen. Gebetsmühlenartig weisen sie an diesem Aktionstag darauf hin, wie unsicher einfache Zahlen- oder Buchstabenfolgen sind. Wie jedes Jahr seien solche wie "123456" besonders beliebt. Man habe die eigenen Passwörter endlich auf Sicherheit zu überprüfen und gegebenenfalls zu ändern. Dabei erscheint dieser Ansatz gar nicht mehr zeitgemäß.

Schwache Passwörter bilden längst nicht mehr das größte Sicherheitsloch. Das Thema "Account-Diebstahl" ist viel zu kurz gedacht, denn was nützen starke Passwörter, wenn Unbekannte sie mittels Keylogger ausspähen oder bei einem Shop-Betreiber mitsamt ganzer Kunden-Datensätze abgreifen? Statt dringend notwendiger Aufklärung erhalten die Anwender jedoch die so überholten wie umfangreichen Tipps zum Erstellen und Merken sicherer Kennwörter. Hier nach wie vor lediglich Symptome zu behandeln und die Ursache nicht an der Wurzel zu packen, zeugt von einer schier unglaublichen Realitätsverdrängung.

Alternativen sind gefragt: Weg mit den Passwörtern!

Ein iX-Kommentar von Thorsten Kraft

Thorsten Kraft ist seit 1999 im Bereich der IT-Sicherheit aktiv. Er hat eine Reihe internationaler und nationaler Initiativen im „Kampf gegen Kriminalität im Internet“ initiiert und wird regelmäßig als Sprecher auf internationalen Konferenzen zum Thema Botnetze, Malware & Cybercrime-Bekämpfung angefragt. Er schreibt gelegentlich für das Magazin iX.

Zwar ist es erfreulich, dass immer mehr große Webfirmen wie Google, Microsoft, LinkedIn, Evernote, Twitter, Dropbox und Last Pass ihren Nutzern eine Zwei-Faktor-Authentifizierung (2FA) anbieten. Leider ist sie jedoch im Regelfall nicht standardmäßig eingestellt. Traut man den Kunden etwa nicht zu, mit der "neuen" Technologie zurecht zu kommen, obwohl sie beim Online-Banking bereits zum Alltag gehört?

Besonders negativ fallen deutsche Webangebote auf – selbst diejenigen großer und namhafter Internetunternehmen. Dort sucht man häufig vergebens nach alternativen Verfahren, seinen Account vernünftig abzusichern. Im Prinzip lässt sich jeder Internet-Dienst um alternative Authentifizierungsfunktionen erweitern, doch die meisten Firmen üben darin noch viel zu viel Zurückhaltung.

Die konsequente Einführung der längst verfügbaren 2FA würde das krude Passwort endlich verbannen und uns aus der digitalen Steinzeit führen. Die Anwender müssen jedoch entsprechenden Druck auf ihre Dienstleister ausüben. Das wäre auf die Dauer weitaus sinnvoller, als sich alle paar Wochen ein neues Passwort auszudenken. (un)