Technik

Schluss mit "123456" und Co.? Biometrie beerdigt Dummie-Passwörter

53828020.jpg

Biometrische Technologien sollen Passwörter überflüssig machen - doch es gibt auch Bedenken.

(Foto: picture alliance / dpa)

Trotz zahlloser Datendiebstähle und Konto-Hacks im großen Stil sind viele Nutzer-Passwörter viel zu leicht zu knacken. Sollte man sie lieber ganz abschaffen? Experten glauben, dass die Zukunft biometrischen Technologien gehört. Google arbeitet schon mit Hochdruck daran.

Wie kann man die Sicherheit von Nutzern im Netz verbessern? Klassische Passwörter sind offenbar nicht das richtige Mittel dafür, denn trotz aller Warnungen sind viele Nutzer noch immer viel zu sorglos bei der Wahl ihrer Sicherheits-Codes: das Geburtsdatum, der Name des Haustiers, Postleitzahlen oder Klassiker wie "123456" und "password" machen es Hackern leicht, Konten im Netz zu knacken. Die Zukunft, das zeigt zumindest eine aktuelle Studie, liegt in biometrischer Technologie.

Das US-Unternehmen "TeleSign" hat die Studie in Auftrag gegeben, bei der 600 US-amerikanische Sicherheitsexperten zur "Zukunft von Konten-Sicherheit" befragt wurden. Für die meisten Unternehmen ist die Sicherheit der Nutzerkonten oberste Priorität, so ein Ergebnis der Studie, auf die "pressetext" hinweist. Auf klassische Passwörter setzen dabei immer weniger Unternehmen, das Vertrauen in die herkömmlichen Sicherheitsmethoden sinkt. Immer mehr Unternehmen setzen deshalb auf Zwei-Faktor-Anmeldemethoden oder auf biometrische und verhaltensbasierte Sicherheitstechnologien.

Unmöglich zu kopieren

Vor allem letztere rücken immer mehr in den Fokus vieler Firmen. Selbst Fingerabdrücke und andere physische Informationen müssen irgendwo gespeichert werden und können somit auch gestohlen werden. Deshalb interessieren sich viele Experten für biometrische Technologie, die das Verhalten der Nutzer analysiert - zum Beispiel Tipp-Geschwindigkeit, Druckstärke beim Tippen, typische Mausbewegungen oder den Klang der Stimme. Die Sicherheit sei hier viel höher, denn individuelle Eigenschaften, die ein Computer zuvor ausgewertet hat, seien fast unmöglich zu kopieren, zitiert "pressetext" aus der Studie.

Acht von zehn Befragten glaubten, dass verhaltensbasierte Sicherheitsmechanismen die Nutzerkonten im Gegensatz zum jetzigen Standard deutlich besser schützen könnten, so das Ergebnis der Studie. Die Befragung habe ergeben, dass rund 54 Prozent der befragten Experten die neuartige Technologie bereits ab 2016 oder etwas später für ihre Internetseite einführen wollen, um Nutzer vor Hackern zu schützen.

Abacus geht weiter als alle anderen

An den Sicherheitstechnologien der Zukunft tüfteln Unternehmen wie Paypal oder Lenovo schon lange. Das Industriekonsortium "Fast Identity Online" (FIDO Alliance) gibt Standards zur Kombination von Kennwörtern mit Hardwarekomponenten oder Nutzereigenschaften (Fingerabdrücke) vor. Googles "Project Abacus" geht aber noch deutlich weiter. Ziel des 2015 auf der Entwicklermesse I/O vorgestellten Projekts ist es, Passwörter komplett abzuschaffen und durch ein biometrisches Anmeldesystem zu ersetzen. Schlüssel ist der sogenannte "Trust Score", eine Art Gradmesser für die Vertrauenswürdigkeit von Anmeldeversuchen.

Für die Messung werden Spracheingaben, Gesichtserkennung, Bewegungen, Standort und Tippverhalten des Nutzers mit einbezogen - alles individuelle Merkmale, die weder kopiert noch weitergegeben werden können. Der Mensch würde so in seiner Gesamtheit zum "Passwort". Die Vorteile dieser Methode: Sie ist sicherer als ein biometrischer Fingerabdruck und zudem flexibel, da sie nicht mehr einem binären Ja-Nein-Schema folgt, sondern einer graduellen Skala von eins bis hundert. Banking-Apps zum Beispiel bräuchten zur Anmeldung einen höheren Vertrauens-Wert als eine Spiele-App.

Alle Sensoren arbeiten mit

Schon Ende 2016 soll Abacus in Smartphones zum Einsatz kommen - das ist laut "Android Authority" zumindest Googles Vorhaben, das der Konzern bei der diesjährigen I/O vorgegeben hat. Der Konzern möchte dabei alle Bewegungs-Sensoren des Smartphones nutzen, kombiniert mit Verhaltensmustern, zum Beispiel beim Öffnen bestimmter Apps, Bluetooth, GPS, Gesichts- und Spracherkennung und WLAN.

Der Vorteil: Macht sich ein Unbekannter am Handy zu schaffen, können bestimmte Funktionen sofort gesperrt werden. Doch die verhaltensbasierte Anmeldung stößt auch auf Kritik: Was ist, wenn ich mir ein Bein breche und plötzlich humple, mein Verhalten also anders ist? oder ich einen schlechten Tag habe, mich dauernd vertippe, die Stimme kratzt? Oder mich aus dem Urlaub irgendwo anmelden will?

Erkennt mein Gerät mich dann noch? Und was ist eigentlich die Konsequenz daraus, wenn die Authentifizierung zur Identifizierung wird? Wenn Nutzer also nicht mehr nur nachweisen müssen, dass sie zugangsberechtigt sind, sondern auch zeigen müssen, dass sie sie selbst sind? Wird dann das Verhalten im Hintergrund ständig ausgewertet und mit einer Datenbank abgeglichen? Biometrische Daten sind die sensibelsten Daten überhaupt. Die Technologie zu nutzen, heißt auch, noch mehr von sich preiszugeben als Unternehmen wie Google oder Facebook ohnehin schon wissen.

Technisch sind laut Google schon heute die meisten Smartphones in der Lage, die Anforderungen von Abacus umzusetzen. Wann und wie das Projekt aber tatsächlich auf Smartphones und andere Geräte kommt, ist noch offen - und das ist vielleicht auch ganz gut so.

Quelle: n-tv.de, jwa

Mehr zum Thema