Das Problem mit Passwörtern: Sie schützen ein Unternehmen vor allem dann, wenn sie lang und kompliziert sind und oft geändert werden. Das heißt, wenn Angestellte sie sich wahrscheinlich nicht merken können.
Technologiefirmen versuchen, Lösungen zu finden, die sicherer und gleichzeitig praktischer sind. Viele Laptops haben mittlerweile eingebaute Sensoren für Fingerabdrücke. Smartphones und andere Geräte bieten zunehmend biometrische Optionen wie Gesichts- und Stimmerkennung.
Apple hat vergangenes Jahr AuthenTec übernommen, einen Hersteller von Sensortechnologie für Fingerabdrücke. Am Dienstag hat der Konzern verkündet, dass das neue iPhone-Modell einen solchen Sensor haben wird. Microsoft berichtet, dass das Betriebssystem Windows 8.1, das kommenden Monat auf den Markt kommen soll, "für Fingerabdruck-Biometrie optimiert" sei. Die biometrische Authentifizierung werde auch innerhalb des Systems einsetzbar sein, sagt das Unternehmen.
Google, Paypal, Lenovo und andere Unternehmen haben sich indessen zusammengetan und die FIDO (Fast Identity Online) Alliance gegründet, die Industriestandards für Biometrie und andere Arten der sogenannten starken Authentifizierung setzen will.
Google experimentiert außerdem mit einem neuen Token, der von der kalifornischen Firma Yubico hergestellt wird. Wie traditionelle Token-Geräte, die zufällige numerische Passwörter generieren und seit Jahren eingesetzt werden, generiert das Gerät von Yubico vorübergehende Passwörter, die als zweite Art der Authentifizierung dienen sollen.
Doch anstatt das Passwort abzulesen und in einen Computer zu tippen, können Angestellte den Token in den USB-Port eines Computers stecken oder ihn in die Nähe eines Geräts halten, das mit Nahfeldkommunikation Daten durch das Berühren von zwei Geräten übertragen kann.
Google testet neue Tokens
Google testet den Token dieses Jahr mit seinen eigenen Angestellten und will ihn nächstes Jahr auch anderen Verbrauchern anbieten, um sich sicher in Gmail- und andere Google-Konten einzuloggen.
Mayank Upadhyay, Chef für Sicherheitstechnik bei Google, sagt, dass die Tokens leicht zu nutzen und stark verschlüsselt seien. "Wir glauben, dass wir den Sicherheitsstandard für unsere Angestellten über das gehoben haben, was bisher kommerziell verfügbar ist", sagt er. Der Token funktioniert mit dem Google-Browser Chrome und "fügt sich für Menschen bei Google nahtlos in den Alltag ein", sagt er.
Eine weitere Option von RSA, der Sicherheitssparte von EMC, die die häufig eingesetzten SecurID-Tokens herstellt, ist die risikobasierte Authentifizierung.
Diese Technologie durchsucht Massen von Nutzerdaten aus verschiedenen Gruppen bei einem Unternehmen, um festzustellen, ob der Nutzer sich "normal" verhält, und rechnet ihm eine Risikopunktzahl aus. Wenn sich ein Angestellter zum Beispiel von einem neuen Ort aus einloggt, einen anderen Computer benutzt oder auf Systeme zugreifen will, die er sonst nicht nutzt, steigt seine Risikopunktzahl. Dann muss sich der Nutzer gegebenenfalls weiter authentifizieren, zum Beispiel, indem er seine Identität per Telefon verifiziert.
Mobile Geräte können die Sicherheit erhöhen
Viele Beobachter erwarten, dass sich die Sicherheitslandschaft rasant verändern wird, wenn immer mehr Angestellte ihre eigenen Smartphones und anderen Geräte mit zur Arbeit bringen. Die Verbreitung unterschiedlicher mobiler Geräte wird oft als Sicherheitslücke gesehen, doch einige Analysten glauben, dass diese Geräte die Sicherheit erhöhen können, indem es einfacher wird, biometrische Authentifizierung einzusetzen. Die meisten dieser Geräte haben ein Mikrofon und eine Kamera und können den Nutzer oft auch orten.
"Wir glauben, dass biometrische Authentifizierung immer beliebter werden wird. Das wird durch mobile Technologie ermöglicht", sagt Ant Allan, Vizechef für Forschung bei Gartner.
Er erklärt, dass es für große Konzerne sehr teuer sein kann, für jeden Angestellten neue Hardware zu installieren. Ein System, mit dem persönliche Geräte eingesetzt werden können, hätte daher wirtschaftliche Vorteile. Außerdem werden Nutzer von mobilen Geräten wahrscheinlich lieber einen Fingerabdrucksensor benutzen als sich Passwörter zu merken.
Die Firma Agnitio SL aus Madrid stellt Stimmerkennungssoftware her, die von der Polizei eingesetzt wird. Nutzer müssen nur einen einfachen Satz sprechen, um sich in Systeme einzuloggen.
Die Londoner Firma PixelPin will Passwörter währenddessen mit Bildern ersetzen. Man wählt zum Beispiel ein Bild von seinem Ehepartner aus und loggt sich in ein Computersystem ein, indem man auf vier Teile des Gesichts klickt, die man sich in einer bestimmten Reihenfolg eingeprägt hat. Ein Foto ist einprägsamer als ein Textpasswort und für andere ist es schwieriger zu stehlen, sagt Firmengründer Geoff Anderson.
Forscher testen Hirnwellen als Authentifizierung
Forscher von der University of California in Berkeley untersuchen den Einsatz von Hirnwellen als Form der Authentifizierung. Versuchspersonen trugen bei Tests ein Headset, das ihre Gehirnströme dabei maß, während sie über bestimmte Tätigkeiten nachdachten. Die Forscher konnten daran mit einer Erfolgsquote von 99 Prozent zwischen unterschiedlichen Personen unterscheiden. Theoretisch könnte man auf diese Weise einen "Passgedanken" schaffen.
Die meisten Experten rechnen damit, dass Unternehmen ganz unterschiedliche Technologien einsetzen werden. Das Saratoga-Krankenhaus in New York zum Beispiel liest anstelle von Passwörtern die Fingerabdrücke seiner Angestellten ab. Zwar haben sie damit viele Sicherheitsprobleme des Krankenhauses behoben, doch der Sensor funktioniert nicht für jeden.
Manche ältere ehrenamtliche Mitarbeiter haben Schwierigkeiten, ihre Hände auf dem Sensor stillzuhalten. Wenn die Haut eines Nutzers zu trocken ist, funktioniert der Sensor auch nicht, sagt Gary Moon, Sicherheitsanalyst im Krankenhaus. Manche Angestellten weigern sich auch, ihre Fingerabdrücke zu teilen. Deshalb nutze das Krankenhaus auch heute noch Passwörter als zusätzliches Sicherheitssystem, sagt Moon.
"Es gibt kein ideales Sicherheitssystem für jeden", sagt Vance Bjorn, Gründer von DigitalPersona in Kalifornien. Die Firma hat auch die Sensoren für das Krankenhaus von Saratoga hergestellt. Unternehmen brauchen Zugang zu verschiedenen Technologien, sagt Bjorn.
"Eine Technologie mag bestimmte Probleme lösen, aber sie bietet vielleicht nicht die richtige Mischung aus Sicherheit, Komfort, Kosten und Umsetzungsfähigkeit", sagt er. (Andre Blackman, Wsj.de/derStandard.at, 24.9.2013)