Ein Passwort allein reicht nicht mehr aus

8. Juni 2004, 13:16
7 Postings

Zusätzliche Sicherungen als Ausweg - Geräte erzeugen wechselnde Zugangscodes

Wenn Marie Jubran übers Internet auf ihr Konto zugreift, muss sie im Web-Browser erst die Nummer ihres schwedischen Personalausweises eingeben, zusammen mit einem vierstelligen Passwort. Dann muss sie noch eine TAN-Nummer von einer Karte mit 50 TANs freirubbeln und bei jeder Transaktion eingeben. Ihre Bank, die Nordea, schickt automatisch eine neue Karte, wenn alle TANs verbraucht sind.

Sicherheitsbedürfnis

Nicht nur beim Home-Banking steigt das Bedürfnis nach zusätzlichen Sicherungssystemen zum statischen Passwort. Bei der unverschlüsselten Übermittlung von Passwörtern über Internet-Leitungen kommt es immer wieder vor, dass "Sniffer" die vertraulichen Daten abfangen. "Ein Passwort ist ein Konstrukt der Vergangenheit, das seine Kraft verloren hat", sagt Joseph Atick, dessen Firma Identix im US-Staat Minnesota Authentifizierungssysteme auf der Grundlage der Fingerabdruck-Erkennung entwickelt. "Das menschliche Gehirn ist nicht dazu gemacht, sich so viele verschiedene Passwörter und so viele verschiedene PINs zu merken."

Gefährliche Angewohnheiten

Der New Yorker IT-Manager Stevan Hoffacker hat sich deshalb überall im Internet mit dem gleichen Passwort angemeldet - bei mehreren E-Mail-Accounts ebenso wie bei amazon.com oder der Web-Site der "New York Times". Wenn jemand dieses Passwort von einer Site abgreift, steht dem Eindringling dann möglicherweise mit einem Schlag das ganze Online-Leben offen. "Das gehört zu den Dingen, bei denen ich alles tue, um möglichst nicht darüber nachzudenken", sagt Hoffacker.

Zentral

Programme zur Verwaltung von Passwörtern wie der Password Manager von Symantec oder Keychain von Apple speichern zahllose verschiedene Passwörter zusammen mit der Adresse der Web-Site in verschlüsselter Form. Die einzelnen Passwörter kann man dann getrost wieder vergessen - aber nur solange man nicht auch das Master-Passwort für das Anmelden beim Passwort-Manager vergisst.

Knacken

Gleichwohl bleibt das Risiko des Passwort-Diebstahls. So genannte Keystroke-Recorder können heimlich in Internet-Cafes installiert sein und jeden Tastaturanschlag festhalten. Es gibt Computerviren, die gezielt auf Passwortsuche gehen und Crack-Programme, die das Formularfeld für die Passworteingabe mit Begriffen aus speziellen Wörterbüchern bombardieren. Beim "Phishing", dem "Password Fishing", werden E-Mails mit speziell präparierten Links versendet, die zu einer vermeintlich echten Web-Site mit der Aufforderung führen, dort das Passwort einzugeben. (APA)

  • Bild nicht mehr verfügbar

    Die Sicherheitslücke, wie sie im Buche steht: Das Passwort auf dem Post-It

Share if you care.