Individuelle Webentwicklung

Nicht immer ist eine Standardsoftware ausreichend um individuelle Anforderungen gerecht zu werden, wir schaffen Lösungen

Informationen
Bild: Individuelle Webentwicklung

Alternativen zum klassischen Passwort

Alternativen zum klassischen Passwort

Egal ob Windows-Anmeldung, E-Mail-Postfach, Online-Banking oder Shopping-Internetseite: Fast überall werden Passwörter benötigt. Das klassische Passwort wird dabei vom Benutzer direkt über die Tastatur eingegeben und besteht im Idealfall aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Zudem verfügt ein sicheres Passwort über eine gewisse Zeichenlänge.

Klassische Passwörter haben einige Nachteile. Ist das geheime Passwort nicht kryptisch genug und leicht zu erraten, ist dieses auch ebenso leicht zu hacken. Moderne Computer knacken mit passender Software viele Passwörter innerhalb von wenigen Sekunden. Noch einfacher geht es mit einem Keylogger, der alle Tastatureingaben des Benutzers speichert und an den Angreifer überträgt. Klassische Passwortknacker arbeiten meist zunächst auf der Basis von Wörterlisten, die in Knack-Tools integriert sind oder im Internet kursieren.

Sie probieren also Zeichenkombinationen aus, die Namen oder Begriffen entsprechen. Zunächst ohne Zusätze, danach auch zusammen mit Zahlen. Hilf dies nicht, nutzen Passwortknacker Brute-Force-Attacken die alle möglichen Kombinationen auszuprobieren, um ein Passwort herauszufinden. Je länger das gewählte Kennwort und je abwegiger die Kombination ist, desto schwerer hat es der Angreifer.

Ein sechsstelliges Passwort wie Beispielsweise „a1b2c3“ ist innerhalb von 8 Sekunden geknackt. Zudem besteht immer die Gefahr, dass der Nutzer sein eigenes Passwort vergisst. Damit schließt er sich im schlimmsten Fall selbst aus. Immer das gleiche Kennwort zu benutzen oder es online, beziehungsweise im Browser, zu speichern gilt als unsicher. Aber wer soll sich alle Passwörter für seine verschiedenen Dienste merken können und welche Alternativen gibt es zum klassischen Passwort?

 

Zugang zu Daten schützen: Wem ein Passwort nicht ausreicht, kann auf Alternativen umsteigen. Screen © PC-Welt

 

Tippbiometrie

Das Tippverhalten jedes Menschen ist so individuell wie seine Handschrift. Die Idee hinter der Tippbiometrie ist deshalb ganz simpel: Der Nutzer muss sich bei dieser Technologie kein Passwort merken, sondern einfach einen kurzen Text über die Tastatur abtippen. Ein Programm erkennt dabei anhand des Tippverhaltens, ob es sich um den autorisierten Benutzer handelt. Dabei werden zahlreiche Kriterien wie Schreibrhythmus, Korrekturverhalten, Umschaltung oder Zehn- beziehungsweise Zweifinger-Schreibsystem mit dem gespeicherten Benutzer-Profil verglichen.

Die Psylock GmbH stellte auf der Anfang März 2011 in Hannover stattfindenden CeBIT das Tippbiometrieverfahren vor. Das Unternehmen bietet nun bereits erste Tippbiometrie-Software zum Kauf an. Diese wird bisher jedoch nur in Unternehmen und Universitäten eingesetzt und wird noch nicht bei Internetdiensten angeboten. Das System ist theoretisch auf jedem Computer auf der Welt nutzbar und kann zur Windows-Anmeldung oder zum Login auf einem Webserver verwendet werden.

Security-Token

Der Security-Token nutzt Hardware zur Authentifizierung von Benutzern. Dazu erhält der Nutzer einen USB-Stick, eine Smartcard oder einen Chip mit dem er sich am Computer oder bei bestimmten Diensten anmelden kann. Security-Tokens können personalisiert sein. Sie sind dann eindeutig einem bestimmten Benutzer zugeordnet. Zusätzlich können die Geräte mit einem PIN abgesichert sein. USB-Token haben im Gegensatz zu einer Smartcard den Vorteil, dass kein spezielles Kartenlesegerät am Computer notwendig ist.

Der Benutzer muss sich beim Security-Token nicht zwangsläufig ein Passwort merken. Viele Programme und Dienste bestehen nur darauf, dass der Token angeschlossen, beziehungsweise eingesteckt, ist. Bessere Sicherheit gibt es nur bei einer separaten Anmeldung. Security-Token sind beispielsweise alle SIM-Karten in Mobiltelefonen und die Zugangskarten zu Pay-TV-Angeboten. Auch der neue Personalausweiß bietet eine Online-Funktion, bei der sich Nutzer über ein Kartenlesegerät ausweisen können. Leider greifen derzeit im Netz kaum Dienste auf die neue Funktion zurück.

Die Nachteile der Security-Token liegen klar auf der Hand: Verliert oder zerstört der Nutzer die Hardware, schließt er sich selbstständig vom System aus. Kommt der Token in falsche Hände und ist nicht mit einen zusätzlichen Login-Schutz versehen, erhält ein möglicher Angreifer Zugriff auf Systeme oder Dienste, für die er keine Authentifizierung besitzt.

 

Biometrische Scanner könnten das klassische Passwort in Zukunft überflüssig machen. Screen © PC-Welt

 

Biometrische Erkennung

Biometrie ist definitiv die sicherste Alternative zur PIN oder zum Passwort. Dabei können sowohl der Fingerabdruck als auch ein Augenscanner zum Beweis einer vorgegebenen Identität mit bestimmten Rechten eingesetzt werden.

Mittlerweile gibt es zahlreiche Notebooks mit einem integrierten Fingerabdruck-Scanner. Damit ist die Anmeldung am Windows-System abgesichert, sodass kein anderer Benutzer das System ohne Einwilligung starten kann. Der Chaos Computer Club (CCC) hat jedoch bereits im Oktober 2004 die Sicherheit solcher Vorrichtungen bezweifelt und erfolgreich widerlegt. In einem zweiminütigen Video präsentiert der Chaos Computer Club, wie sich der Fingerabdruck einer Person mit diversen Hausmittelchen fälschen lässt. Aktuelle Notebook-Modelle bieten eine leicht verbesserte Technologie. Zudem setzen die Systeme neben biometrischen Daten auch eine zusätzliche Passworteingabe.

Augen- und Stimmenscanner werden bisher nur in Unternehmen mit hohen Sicherheitsstandards eingesetzt. Für private Zwecke sind sie derzeit noch Zukunftsmusik. Mit der Webcam und einem eingebauten Mikrofon haben viele Internetnutzer bereits die passende Hardware zu Hause. So gut wie jedes neue Net- oder Notebook hat eine Webcam integriert.

Keine absolute Sicherheit

Leider gibt es keine absolute Sicherheit. So können Softwarefehler oder gezielte Angriffe jedes Sicherheitsfeature deaktivieren. Es gibt jedoch bereits Alternativen zur klassischen Passworteingabe. Biometrische Authentifizierung beim Einloggen in Windows ist bereits in vielen Notebooks integriert. Ob sich Nutzer irgendwann über den Fingerabdruck oder Augenscanner, Tippbiometrie oder Security Token bei Netzdiensten anmelden können, wird sich zeigen.

 

  • Quelle: web.de