Erinnern Sie sich noch an Ihren ersten PC, Ihr erstes E-Mail-Konto oder Ihren ersten Social-Media-Account? Für viele ist es schon Jahrzehnte her, dass sie zum ersten Mal ein digitales Konto eingerichtet haben – doch auch nach all dieser Zeit sind Passwörter die gängigste Methode geblieben, um Daten zu schützen. Die Idee ist nicht schlecht: Mit einem guten Kennwort verweigert man Kriminellen im Idealfall den Zugriff aufs private Konto. Doch inzwischen glaubt keine Expertin und kein Experte mehr, dass dies der beste Weg ist, Onlineaccounts und -daten zu schützen.

Das erste Problem ist: Eine erstaunliche Zahl an Menschen macht es sich auch im Jahr 2023 zu einfach mit den Passwörtern. „123456“ und „password“ zählen immer noch zu den beliebtesten Kennwörtern. Doch damit haben es Angreifende leicht, sich Zugang zum Konto zu verschaffen. Das zweite Problem ist: Selbst komplexe Passwörter schützen nicht, wenn Cyberkriminelle sie durch gewiefte Phishing-Attacken und Hacks ergattern können. Cyberangriffe auf Passwörter sind eine ständige Gefahr – im Darknet floriert noch immer das Geschäft mit gestohlenen Daten. Einige Fachleute gehen sogar so weit zu sagen, es gebe kein sicheres Passwort. Doch was wären die Alternativen?

Neue Welle von Cyberattacken: Warum es immer mehr Hackerangriffe gibt

Die Verwundbarkeit der digitalen Welt wird von Kriminellen immer professioneller ausgenutzt. Die Schäden, die eine Cyberattacke auslöst, sind für die Wirtschaft und Privatleute immens.

Jetzt mit Plus lesen

Passkeys: Log-in ohne Passwort – dafür mit Fingerabdruck

Apple, Google und Microsoft haben im vergangenen Jahr beschlossen, das Passwort langfristig abzuschaffen. Sie wollen auf Passkeys setzen, durch die die Anmeldung einfacher und sicherer werden soll. Pünktlich zum Welt-Passwort-Tag am 4. Mai 2023 hat Google damit begonnen, Nutzerinnen und Nutzern die Anmeldung per Passkey zu ermöglichen.

Passkeys lassen sich schnell einrichten: Wer ein neues Konto erstellt hat oder bei einem bestehenden Account das Passwort durch einen Passkey ersetzen möchte, muss sich zunächst lediglich auf einem Gerät anmelden. Wenn sich Nutzerinnen und Nutzer für einen Schutz per Passkey entscheiden, wird automatisch ein Passkey erstellt, das lokal auf dem Gerät gespeichert wird. Bei jedem Log-in bedient sich das System automatisch am gespeicherten Passkey – man muss also nur noch den Nutzernamen oder die E-Mail angeben.

Theoretisch lässt sich auf jedem Gerät, das man verwendet, ein Passkey für ein Onlinekonto erstellen. Alternativ können Nutzerinnen und Nutzer aber auch das Smartphone nutzen, um sich auf jedem Smartphone, Laptop und Co. beim Account anzumelden: zum Beispiel per Fingerabdruck, Gesichtsscan oder PIN für die Bildschirmentsperrung. Dazu muss sich das Handy nur in der Nähe des Geräts befinden, auf dem sie sich einloggen.

Das Leben und wir

Der Ratgeber für Gesundheit, Wohlbefinden und die ganze Familie - jeden zweiten Donnerstag.

Abonnieren

Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu.

Die Methode ist wesentlich simpler, als sich unzählige verschiedene Passwörter zu merken. Viel wichtiger ist aber, dass Passkeys resistent gegen Phishing-Attacken sind. Denn was wollen Cyberkriminelle schon mit einer Fake-Website eines Onlinedienstes erreichen, wenn es für den entsprechenden Account gar kein Passwort mehr gibt? Um an die Daten zu kommen, bräuchten sie schon das entsprechende Gerät oder Smartphone – und selbst dann können sie ohne die richtige PIN, den richtigen Fingerabdruck oder Gesichtsscan nicht viel damit anfangen.

Doch was wäre, wenn etwa das Smartphone abhandenkommt – und es das einzige Gerät ist, auf dem ein Passkey gespeichert ist? In diesem Szenario wäre das Konto nicht endgültig verloren. Die Entwickler sind darauf eingestellt und lassen Nutzerinnen und Nutzer den Zugriff auf ihre Konten per Mailadresse oder Telefonnummer wiederherstellen. Aber um das zu vermeiden, lohnt es sich, nicht nur ein einziges Gerät als Passkey zu verwenden.

Mehr zum Thema

 

Welt-Passwort-Tag am 4. Mai

Hacking: Warum auch ein starkes Passwort allein noch keinen Schutz bietet

 

„Immer noch ein äußerst lukratives Geschäft“

Das Spiel mit der Angst: Wie Kriminelle mit Phishingmails die Schwachstelle Mensch ausnutzen

 

Ein Angriff jagt den anderen

Was sind DDoS-Attacken – und wie gefährlich sind sie?

Fido: Anmeldung per Stick

Auch die Allianz Fido (Fast Online Identity) ist davon überzeugt: Die Zukunft ist passwortfrei. Ihr Fido-2-Standard soll dabei eine komfortable und sichere Anmeldung ermöglichen. Darunter ist eine Authentifizierung zu verstehen, die ähnlich wie Passkeys passwortlos operieren. Nutzerinnen und Nutzer benötigen dazu einen Fido-Authenticator – also zum Beispiel einen USB-Stick oder einen USB-C-Stick fürs Smartphone, auf denen geheime Schlüssel zu einzelnen Konten hinterlegt sind. Sticks gibt es von verschiedenen Herstellern, darunter Google und Yubikey.

Ein Fido-Authenticator muss zuerst über einen Dienst verbunden werden. Dort werden die Schlüssel zu den jeweiligen Websites und Apps gespeichert. Wird der Authenticator aktiviert – also zum Beispiel der USB-Stick in das Gerät gesteckt und anschließend der Knopf auf dem Stick gedrückt – verbindet es sich mit den jeweiligen Accounts, indem es eine sogenannte Challenge an den Authenticator schickt. Damit ist eine Art mathematisches Rätsel gemeint, das nur der Sicherheitschip lösen kann. Nutzerinnen und Nutzer haben dabei die Wahl: Entweder ersetzt Fido das Passwort komplett oder aber es wird zusätzlich zum Passwort als zweiter Identifikationsschritt eingesetzt. Beides ist sicherer als ein Passwort allein.

Wie auch bei den Passkeys ist hierbei der Vorteil, dass Phishing- und Hackerangriffe zwecklos sind: Die Accounts schalten sich erst dann frei, wenn Sie sich per Stick authentifizieren. Das Passwort, sofern es noch komplett durch den Authenticator ersetzt wurde, bringt Angreiferinnen und Angreifern ohne den Stick nichts.

Mehr zum Thema

 

Vorsicht vor Schadsoftware

Teure Betrugsmasche: Woran Sie gefälschte Paket-SMS erkennen – und wie Sie sich davor schützen

 

Achtung, Telefonbetrug

Wie Sie sich gegen falsche Europol-Anrufe wehren können

 

Wenn Betrüger unter falschem Namen bestellen

Watchlist Internet: So reagieren Sie richtig bei Identitätsdiebstahl

Warum Fido 2 Passwörter noch nicht abgelöst hat

Fido-Sticks gibt es bereits seit 2019, doch noch konnten sie Passwörtern nicht im großen Stil Konkurrenz machen. Der Grund dafür ist unter anderem, dass bislang längst nicht alle Dienste mit Fido funktionieren. Bei Microsoft und Google können Userinnen und User einen Authenticator nutzen, bei vielen anderen Services jedoch nicht – oder nur als Ergänzung zu einem Passwort.

Fido-Authenticators müssen zudem stets überall mitgenommen werden, um auf jedem gewünschten Gerät Zugriff auf die Konten zu haben. Das hat sich bislang für viele Menschen als wenig attraktiv herausgestellt, weil ähnlich wie beim Haus- oder Autoschlüssel die Gefahr besteht, dass man die kleinen Sicherheitschips verliert. Und dann muss der Zugriff zu allen Accounts, die per Authenticator gesichert sind, erst wieder aufwendig hergestellt werden. Den Stick sollten Nutzerinnen und Nutzer daher immer gut aufbewahren, am besten am Schlüsselbund. Außerdem empfiehlt es sich, einen Back-up-Stick zu haben, mit dem Sie sich beim Verlust des ersten bei Ihren Konten anmelden können.

Die Vorherrschaft der Passwörter hat ein Ablaufdatum

Passkey und Fido gelten als vielversprechendste Alternativen zum Passwort. Die Forschung tüftelt jedoch auch an wesentlich unkonventionelleren Wegen: ein „Brain-Passwort“ zum Beispiel. Dabei wird die Gehirnaktivität eines Menschen auf bestimmte Reize mithilfe von Sensoren gemessen. Die daraus entstehende Gehirnstruktur dient als Passwort, das nicht replizierbar ist. Für so etwas bräuchte es aber selbstverständlich erst alltagstaugliche Hardware, die diese Signale überhaupt messen und an das Zielgerät weiterleiten können.

Klar ist aber: Die Vorherrschaft der Passwörter hat ein Ablaufdatum. Onlinedienste haben die große Gefahr durch vermehrte Cyberangriffe erkannt: Schon jetzt erfordern viele eine Zwei-Faktor-Authentifizierung beim Log-in, für die zusätzlich zum Kennwort etwa ein SMS-Code benötigt wird. Einzelne Apps bieten alternativ auch an, sich mit der Handynummer und einem SMS-Code einzuloggen. Und wenn Giganten wie Google, Apple und Microsoft nun zunehmend auf Passkeys setzen, werden Nutzerinnen und Nutzer früher oder später die Vorteile von einfachen, passwortfreien Log-in-Methoden erkennen. Sicherer als Passwörter, die massenweise durch Phishing- und Hackerangriffen gestohlen werden, sind sie auf jeden Fall.