Es war einer der am besten analysierten Hacks des letzten Jahres: Wired-Autor Mat Honan wurde im vergangenen Sommer Opfer einer ausgeklügelten und sehr gezielten Attacke: Innerhalb kürzester Zeit wurden seine Apple-, Twitter- und GMail-Accounts übernommen, und die Daten seines iPhones, iPads und Macbooks von außen gelöscht. Honan nahm in Folge Kontakt zu einem der Angreifer auf, und deckte dabei einige grundlegende Probleme in den Sicherheitschecks von Firmen wie Amazon oder Apple auf, die die Cracker verwendet hatten.

Konsequenzen

Ein Tag, der sein Leben verändert hat, wie Honan betont. Die ursprünglich verloren geglaubten Daten konnte er zwar später doch wieder herstellen, seine Gedanken kreisen aber seitdem um das Thema Online-Sicherheit. Einige Monate später kommt er nun in einem neuen Artikel auf Wired zu einem eindeutigen Verdikt: "Das Zeitalter des Passworts ist vorbei, wir haben es bisher noch nicht bemerkt".

Leicht gemacht

Der Ist-Zustand sei jedenfalls verheerend: Längst würden auch ausgeklügelte Passwörter nicht mehr vor Attacken schützen. In seinem Fall sei etwa kein einziges seiner Passwörter geknackt worden. Im Zeitalter von Facebook und Co. reiche meist schon eine einfache Internet-Recherche, um die Sicherheitsfragen zu einem Account zu beantworten. In anderen Fällen ging es sogar noch leichter. Beim Provider AOL zeigte sich im Test, dass es ausreicht, Namen und Geburtsort per Telefon anzugeben, um ein neues Passwort zu erhalten.

Unterschiede

Reicht dies einmal nicht mehr, findet sich meist eine Lücke, die sich durch die unterschiedlichen Sicherheitsvorschriften der Internet-Konzerne auftut. In seinem Fall habe es etwa bei Apple gereicht, die letzten vier Stellen seiner Kreditkartennummer anzugeben - und damit jenen Teil, den Amazon ohne zusätzliche Sicherheitschecks an die Angreifer weitergegeben hatte.

Fehler

Bei der breiten Masse wäre ein Hack noch wesentlich einfacher: Viele Passwörter ließen sich einfach erraten, wenn man die Person kennt. Ein weiterer klassischer Fehler: Viele würden die gleichen Passwörter bei vielen Services verwenden, wird einer davon geknackt, sind de fakto alle geknackt. Und hilft all dies nichts, gibt es noch immer die Möglichkeit gezielte Phishing-Attacken.

Authentifizierung

Die Zukunft sieht Honan, in dem was Google - und andere Hersteller - mit der "Zwei-Faktor-Authentifizierung" probieren: Das Passwort soll nur mehr zu einem Faktor in einer Kette von Sicherheitschecks werden. So könnten sich AngreiferInnen selbst dann nicht in einen solcherat geschützten Google-Account einloggen, wenn sie das Passwort besitzen. Zusätzlich brauchen sie noch einen regelmäßig wechselnden Code, der über eine spezielle Smartphone-App geliefert wird.

Faktoren

Für Honan geht dies aber noch nicht weit genug, der Wired-Autor ist überzeugt, dass wir für die Sicherheit einen Teil unserer Privatsphäre und (wahrgenommenen) Anonymität aufgeben müssen. Von Spracherkennung bis zu biometrischen Faktoren oder gar einem DNA-Check sei hier künftig viel denkbar. Honan gibt durchaus zu, dass dies für viele beängstigend klingen mag, die Alternative sei seiner Meinung nach allerdings "Chaos", bei dem Identitätsdiebstahl zum Alltag wird. (red, derStandard.at, 18.11.12)