© Bildagentur PantherMedia  / John McAllister

Es ist ja so: Wenn wir unsere Wohnung oder unser Haus verlassen, schließen wir ab. Ein Schlüssel gibt uns ein sicheres Gefühl und wir passen gut auf ihn auf. Geht er verloren, ist das blöd, aber wir haben meistens einen Ersatzschlüssel. Im schlimmsten Fall können wir das Schloss auswechseln. Die Vorstellung, unser Haus mit einem Passwort zu sichern, klingt absurd. Was ist, wenn man das Passwort vergisst? Was, wenn man bei der Eingabe des Passworts beobachtet wird oder es im Suff aus Versehen ausplaudert? Und apropos Suff: Was, wenn man nach einem rauschenden Fest nach Hause kommt und gerade nicht auf das Hirnareal zugreifen kann, in dem das Passwort abgelegt ist? Rollt man sich dann auf der Fußmatte zusammen und wartet ab, bis der kognitive Apparat wieder voll funktionsfähig ist? Mit einem Schlüssel kann all das nicht passieren.
Und trotzdem setzen wir im Netz immer noch fast ausschließlich auf das Prinzip Passwort. Wir haben 30 verschiedene Passwörter für Foren, Webshops und diverse Social-Media-Accounts – im dümmsten Fall haben wir ein Passwort für 30 verschiedene Webseiten. Wer soll sich das alles merken? Und was ist, wenn wir ein Passwort verlieren, weil wir es uns eben nicht merken konnten? Was, wenn ein Passwort geklaut oder ausgespäht wird, zum Beispiel durch einen Trojaner oder wenn es auf der Seite selbst abgegriffen wird? Was, wenn wieder einmal die Passwortdatenbank eines Webseitenbetreibers geleakt wird, wie das quasi täglich passiert, kürzlich wieder mal bei Facebook?
Passwörter funktionieren ja nach dem Prinzip: Ich habe ein Geheimnis, durch das ich beweisen kann, wer ich bin. Im Optimalfall kennen nur ich und derjenige, von dem ich etwas will dieses Geheimnis. Aber während ich dieses Geheimnis demjenigen mitteile, der mir hinsichtlich meiner Identität Glauben schenken soll, kann eine Menge Mist passieren – siehe oben. Jemand kann mithören, ohne dass ich es merke. Oder derjenige, dem ich das Geheimnis anvertraue, kann ein ganz anderer sein… Kurz: Wenn wir uns wirklich bewusst machen würden, wie unsicher die ganze Passwortsache ist, würden wir uns deutlich mehr Sorgen um Dinge machen, die uns sonst kaum bekümmern. Dass wir über Sicherheit im Netz so wenig nachdenken, ist schlichtweg der Tatsache geschuldet, dass wir nicht wissen, was alles passieren kann und auch ständig passiert.

SCHLÜSSEL, DIE WIE HUNDE HEISSEN

Es gibt verschiedene Ansätze, die „Passwortpest“, wie sie von einigen ITlern wenig liebevoll genannt wird, zu umgehen. Zentrale Identitätsprovider ermöglichen z.B. ein Login über Google, Facebook oder Apple. Das heißt, jemand anders bestätigt demjenigen, von dem ich etwas will, wer ich bin. Das ist ein bisschen so wie eine Nanny, die mitläuft und meinem Gegenüber versichert: „Ja, das ist wirklich die kleine Sigrid, der kannst du die Bonbontüte schon geben, die auf ihren Namen zurückgelegt ist. Ich kenn die!“ Blöd daran ist, dass die Nanny eine Menge mitbekommt und vor allem bedeutet das Ganze Abhängigkeit. Wenn ich mich mit der Nanny verkrache und sie nicht mehr mit mir spazieren gehen will, um zu bezeugen, wer ich bin, habe ich ein Problem.
Warum also nicht auf das einfachste Prinzip vertrauen, das wir auch zum Schutz unserer Häuser und Wohnungen einsetzen? Scharfe Hunde! Und Schlüssel natürlich… Am allerbesten sind Schlüssel, die wie Hunde heißen: FIDO2 zum Beispiel. FIDO steht für „Fast IDentity Online“, also „schnelle Identität bei digitalen Verbindungen“. Wer schon mal mehr als zehnmal sein Passwort eingeben musste, weil er vergessen hat, welches Sonderzeichen an dritter Stelle steht – war das jetzt ein Plus oder ein Stern oder doch die Raute? – wird das „Fast“ durchaus zu schätzen wissen.
Die Vorstellung, auf sämtliche Accounts zugreifen zu können, ohne jedes Mal ein anderes Passwort eingeben zu müssen, klingt sehr verführerisch. Vielleicht verunsichert einen der Gedanke aber auch. Das Netz als Haus, das mit einem Schlüssel aufgesperrt wird? Ja, geht das denn wirklich?
Klar! Es funktioniert sogar ganz ähnlich wie ein Hausschlüssel. Diverse Anbieter haben bereits Hardwareteile (Token) entwickelt, die einen Chip enthalten, der als „Geheimnisträger“ fungiert. Via USB, Bluetooth oder NFC kann der physisch vorhandene Schlüssel dann zum Einloggen angeschlossen werden. Mittlerweile gibt es aber auch schon virtuelle Schlüssel – Android und Windows10 bieten bereits einen Zugang via FIDO2. Entscheidend ist, dass der Browser mit dem Schlüssel „sprechen“ kann. Chrome, Mozilla Firefox und Edge sind schon dazu in der Lage. Safari nicht, weil Apple derzeit noch auf sich selbst als zentralen Identitätsprovider setzt.
Zugegebenermaßen klingt die Vorstellung das eigene Haus und persönliche Online-Accounts mit dem gleichen Tool, nämlich einem Schlüssel zu schützen, zunächst befremdlich. Was passiert, wenn ich den Schlüssel verliere? Dann kann ich einen Ersatzschlüssel haben, zum Beispiel in irgendeiner Schublade und den verlorenen Schlüssel sperren. Das ist schon mal cool und geht mit einem Haustürersatzschlüssel nicht! Zudem gibt es auch ein Sekundärsystem, auf das ich zurückgreifen kann – zum Beispiel in Form einer hinterlegten Mailadresse. Die Sicherheit des Schlüssels ist auch beliebig hochskalierbar, etwa in Form einer Multifaktorauthentifizierung. Iriserkennung, Fingerabdrucksensoren, Pin – all das ist möglich. Und wer jetzt sagt: „Aber das kann man doch alles fälschen, sieht man doch in jedem dritten Agentenfilm! Da muss mir nur einer den Finger abschneiden und das Auge aus dem Kopf popeln!“, dem sei gesagt: Die Beschäftigung mit den Themen Passwortdatenbanken und Passwortsicherheit sollte lieber unterlassen werden, da sonst ein Nervenzusammenbruch droht.
Man kann gespannt sein, was die Zukunft bringt! Vielleicht verbauen wir Authentifizierungschips ja bald in unseren Köpfen. Dann müssten wir allerdings aufpassen, dass uns keiner köpft, um hemmungslos unsinniges Zeug im Netz bestellen zu können…