Ein Passwort allein reicht nicht: Sinnnvoll ist Kombination von Schutzmechanismen
Wenn Marie Jubran übers Internet auf ihr Konto zugreift, muss sie im Web-Browser erst die Nummer ihres schwedischen Personalausweises eingeben, zusammen mit einem vierstelligen Passwort. Dann muss sie noch eine TAN-Nummer von einer Karte mit 50 TANs freirubbeln und bei jeder Transaktion eingeben. Ihre Bank, die Nordea, schickt automatisch eine neue Karte, wenn alle TANs verbraucht sind.
Nicht nur beim Home-Banking steigt das Bedürfnis nach zusätzlichen Sicherungssystemen zum statischen Passwort. Bei der unverschlüsselten Übermittlung von Passwörtern über Internet-Leitungen kommt es immer wieder vor, dass "Sniffer" die vertraulichen Daten abfangen. "Ein Passwort ist ein Konstrukt der Vergangenheit, das seine Kraft verloren hat", sagt Joseph Atick, dessen Firma Identix im US-Staat Minnesota Authentifizierungssysteme auf der Grundlage der Fingerabdruck-Erkennung entwickelt. "Das menschliche Gehirn ist nicht dazu gemacht, sich so viele verschiedene Passwörter und so viele verschiedene PINs zu merken."
Der New Yorker IT-Manager Stevan Hoffacker hat sich deshalb überall im Internet mit dem gleichen Passwort angemeldet - bei mehreren E-Mail-Accounts ebenso wie bei amazon.com oder der Web-Site der "New York Times". Wenn jemand dieses Passwort von einer Site abgreift, steht dem Eindringling dann möglicherweise mit einem Schlag das ganze Online-Leben offen. "Das gehört zu den Dingen, bei denen ich alles tue, um möglichst nicht darüber nachzudenken", sagt Hoffacker.
Programme archivieren Passwörter verschlüsselt
Programme zur Verwaltung von Passwörtern wie der Password Manager von Symantec oder Keychain vom Apple speichern zahllose verschiedene Passwörter zusammen mit der Adresse der Web-Site in verschlüsselter Form. Die einzelnen Passwörter kann man dann getrost wieder vergessen
- aber nur solange man nicht auch das Master-Passwort für das Anmelden beim Passwort-Manager vergisst.
Gleichwohl bleibt das Risiko des Passwort-Diebstahls. So genannte Keystroke-Recorder können heimlich in Internet-Cafes installiert sein und jeden Tastaturanschlag festhalten. Es gibt Computerviren, die gezielt auf Passwortsuche gehen und Crack-Programme, die das Formularfeld für die Passworteingabe mit Begriffen aus speziellen Wörterbüchern bombardieren. Beim "Phishing", dem "Password Fishing", werden E-Mails mit speziell präparierten Links versendet, die zu einer vermeintlich echten Web-Site mit der Aufforderung führen, dort das Passwort einzugeben.
Taschengerät erzeugt Codes im Zufallsverfahren
Für eine größere Sicherheit bei der Authentifizierung sollten mindestens zwei Schutzvorkehrungen miteinander kombiniert werden. Dazu gehören auch Codes, die sich nach einer kurzen Zeitspanne verändern. Die belgische Firma Vasco Data Security hat ein solches System entwickelt, bei dem ein kleines Taschengerät den Code in einem Zufallsverfahren erzeugt, sobald man sich mit einem Passwort bei dem Gerät angemeldet hat.
Der zeitabhängige Code wird dann auf der Web-Site eingegeben, wo die Daten mit einem nach dem gleichen Verfahren arbeitenden Zahlengenerator verglichen werden. Wenn jemand das Gerät stiehlt, hat er noch nicht das Passwort. Und wenn jemand das Passwort stiehlt, hat er noch nicht das Gerät.
Ähnliche Schutzsysteme werden von der Kreditkartenfirma MasterCard in Deutschland, Großbritannien und Brasilien getestet. Hier muss die Kreditkarte mit dem Chip in ein spezielles Lesegerät geschoben werden. Nach Eingabe der PIN erzeugt das Gerät ein Passwort, das dann nur ein einziges Mal bei Online-Anbietern verwendet werden kann.
Doppel-Authentifizierung in Europa weiter als in den USA
Europa, vor allem Skandinavien, ist bei der Nutzung einer solchen Doppel-Authentifizierung schon weiter als die USA es sind. Dort werden zeitlich befristete Zugangscodes als Ergänzung zur PIN von Firmen wie RSA Security entwickelt und vor allem für den gesicherten Zugang zum Netzwerk des Arbeitgebers eingesetzt. Das Problem sei die richtige Balance zwischen Sicherheit und kundenfreundlicher Nutzung, sagt Doug Johnson vom Amerikanischen Bankenverband.
Keine Bank wolle den ersten Schritt tun, sagt Avivah Litan vom Marktforschungsunternehmen Gartner. "Sie wollen nicht, dass die Kunden zu anderen Banken gehen, weil das für sie zu kompliziert ist." Amerikanische Banken und E-Commerce-Anbieter konzentrieren sich daher darauf, dass ihre Kunden möglichst sichere Passwörter verwenden. Beim Online-Auktionshaus eBay etwa ist es nicht möglich, "ebay" oder "password" als Passwort zu verwenden.
Gemeinsame Standards angestrebt
Ein anderer Grund für das Zögern sind zusätzliche Kosten etwa für die Ausstattung von Kunden mit Passwort-Generatoren. Der für die Produktentwicklung zuständige RSA-Security-Manager Jason Lewis stellt sich daher vor, dass mehrere Unternehmen einen gemeinsamen Passwort-Generator akzeptieren, deren Codes auf allen beteiligten Web-Sites gültig sind. Standards für ein einheitliches "Identity Management" strebt das Liberty Alliance Project an, ein Zusammenschluss mehrerer Computer- und Internet-Firmen.
Langfristig könnten aber auch die Kunden bereit sein, einen größeren Aufwand für die Sicherheit zu akzeptieren, wenn sie einen immer größeren Teil ihrer Freizeit im Netz verbringen. Der Sicherheitsmanager von eBay, Robert Chesnut, sagt dazu: "Je mehr Wertsachen man im Haus hat, desto besser ist der Türriegel, mit dem man es verschließt." (APA/red)