Passwörter haben es zuweilen nicht leicht. Immer wieder werden sie als Einfallstor für böswillige Hacker oder großes Sicherheitsrisiko benannt. Das ist weniger überraschend, liest man gefühlt täglich in den Nachrichten, dass Tausende von Zugangsdaten von Nutzern auf verschiedensten Webseiten gestohlen wurden. Doch ist das Passwort an sich tatsächlich ein wunder Punkt im System oder besteht die Gefahr eher darin, dass man schneller als gedacht an solche Informationen herankommt.
Auch interessant: Gefälschte PayPal-App greift Login-Daten der User ab
Ein Beispiel, das zur genaueren Analyse dient, ist die Authentifizierung beim Smartphone. Entgegen vieler Meldungen geht es hierbei um den Zugang zu einem physikalischen Gerät und nicht um den Zugriff auf einen Online-Dienst, der von überall aus möglich ist. In diesem Fall stellt sich die Frage, ob es Alternativen zum Passwort oder zur PIN gibt, die das Smartphone erheblich sicherer machen.
Fingerabdrucksensoren zur Entsperrung von Smartphones gehören mittlerweile fast zum alten Eisen. Schon vor zwei Jahren gab es diese Funktion beim iPhone 5S. Bisher herrscht keine eindeutige Klarheit darüber, dass diese Form der Authentifizierung effektiv mehr Sicherheit bietet als ein traditionelles Passwort. Zweifelsohne lassen sich die Scanner auf manchem Wege austricksen. Es gab bereits mehrere Experimente, bei denen der Fingerabdruck-Scanner mit Holzkleber überlistet werden konnte. Auch über Software-Sachwachstellen ins Gerät einzudringen und die hier die gespeicherten Abdrücke abzugreifen, stellt für Kriminelle keine große Hürde dar.
Zum Teil wird die Frage nach der Sicherheit von Fingerabdrücken auch obsolet. Beim iPhone lässt sich neben dem Fingerabdruck ebenfalls der Entsperrcode nutzen. In diesem Fall handelt es sich beim Scanner also vielmehr um ein zusätzliches Gadget zur Identifizierung des Nutzers, aber weniger um eine integrierte Sicherheitsmaßnahme.
Bei der Iriserkennung handelt es sich ebenso wie beim Fingerabdrucksensor um eine biometrische Authentifizierungsmethode, die bislang jedoch kaum eingesetzt wird. Dies könnte sich in Zukunft ändern, doch auch hier hängt die Sicherheit der Technologie am seidenen Faden der verwendeten Soft- und Hardware. Allerdings liegt die Vermutung nahe, dass der Aufwand und der Schwierigkeitsgrad für Cyberkriminelle um ein Vielfaches steigen würde – es sei denn, man ist Tom Cruise.
Die On-Body-Detection ist eine „smarte“ Sperrfunktion, die Google für Android-Geräte eingeführt hat. Sobald der eingebaute Bewegungssensor erkennt, dass das Telefon getragen wird, wird dem Telefon ein Riegel vorgeschoben. Auch hier handelt es sich vielmehr um eine technische Spielerei als ein verlässliches Authentifizierungsverfahren, ähnlich der Funktion zur automatischen Sperrung des Telefons nach festgelegtem Zeitpunkt. Es heißt nichts anderes, als dass der bereits vorhandene Anmeldemechanismus aktiviert wird.
Auf dem Smartphone gibt es in der Regel verschiedene Arten von Codes – zu den „traditionellen“ Passwörtern lassen sich die PIN und das Kennwort zählen. Im Vergleich zu einem PIN aus Ziffern, besteht bei einem Kennwort die Möglichkeit, eine Kombination aus Ziffern, Klein- und Großbuchstaben sowie Sonderzeichen zu verwenden.
Das Passwort als Authentifizierungsmethode leidet inzwischen unter einem schlechten Image und gilt oftmals als unsicher. Im Falle eines digitalen Zugangs, beispielsweise zu E-Mails oder Online-BankingKonten, trifft dies zweifelsohne zu. Von daher sind zusätzliche Schutzmechanismen wie eine Zweioder Multi-Faktor-Authentifizierung ratsam.
Bei einem physikalischen Zugriff auf Smartphones gilt das Kennwort als relativ sicher, verbunden mit der Beschränkung von Eingabeversuchen. Dennoch ist man als Nutzer damit nicht vor fremden Blicken gefeit. Die Eingabe des Passworts sollte dementsprechend so geheim wie möglich erfolgen.
Keine Frage, neue Authentifizierungsverfahren sind spannende Themen und weisen uns einen Weg in Richtung Zukunft. Zum einen sind die Hersteller in der Pflicht, den Nutzerkomfort nicht unnötig durch Gadgets und Riesenhürden für den User zu überreizen, zum anderen sollte aber auch der Nutzer selbst Bequemlichkeit nicht über die Sicherheit seiner Geräte und Daten stellen. Die Eingabe eines achtstelligen, alphanumerischen Kennworts zur Entsperrung des Smartphones geht gewiss nicht leicht von der Hand, doch legt es einem Angreifer schon den ersten Stolperstein in den Weg. Es nimmt wenige Sekunden mehr in Anspruch, doch die sind der Schutz der Daten durchaus wert.
(Promotion)