Was Profis empfehlen: Tipps für die Authentifizierung am PC

Am PC einloggen, verschlüsselte Daten öffnen, Webdienste wie PayPal nutzen - immer ist eine Authentifizierung notwendig. Benutzernamen und Passwörter spielen dabei nach wie vor eine große Rolle, selbst wenn viele Experten vom Passwort als alleinigen Schutz abraten. Doch die Entwicklung ist auch an Passwörtern nicht spurlos vorbeigegangen. Vor kurzem galten möglichst komplexe Passwörter mit Sonderzeichen, Zahlen und Groß- und Kleinbuchstaben als unverzichtbar. Inzwischen setzt sich die Erkenntnis durch, dass solche Wortkonstruktionen nur Unwillen beim Anwender hervorrufen, noch dazu, wenn sie häufig zu ändern sind. Sinnvoller sind lange Aneinanderreihungen von Worten; beispielsweise ein Buchzitat oder ein Satz, der einen Bezug zur Einlog-Situation hat. Solche Phasen erreichen sehr leicht mehr als 20 Zeichen und sind trotzdem deutlich leichter zu merken, als komplexe, achtstellige Buchstaben- und Zahlenkombinationen.

Während sich ein oder zwei komplexe Passwörter noch auswendig lernen lassen, ist spätestens ab zehn verschiedenen Ausdrücken für die meisten Nutzer Schluss. Doch im Prinzip genügt schon ein ausreichend schwer zu knackendes Passwort zusammen mit einem Passwortmanager. Diese Programme, ein Beispiel dafür ist KeePass, verwalten unbegrenzt viele Accounts, zusammen mit Passwörtern und anderen relevanten Informationen. Häufig können sie die Passwortsequenz auch automatisch in das abfragende Programm eintragen, wenn das gewünscht ist. So sind verschiedene Passwörter für viele Accounts keine Herausforderung, auch wenn man Auswendiglernen schon als Kind gehasst hat.

Sicherheitsfragen sind eine Begleiterscheinung von passwort-gesicherten Accounts. Beliebt ist die Frage nach dem ersten Auto, dem Geburtsnamen der Mutter oder nach dem Haustier. In Zeiten umfangreicher Social Media-Accounts lassen sich diese Informationen häufig recht schnell online finden. Besser ist es, eigene Fragen zu formulieren oder, wenn das nicht geht, bei den Antworten bewusst zu lügen. Wer das Geburtsdatum beispielsweise auf einen anderen Tag legt oder als Haustier ein Fabelwesen angibt, macht es Social Engineering-Attacken schwieriger. Noch besser ist es natürlich, wenn eine Zwei-Faktor-Authentifizierung angeboten wird. Dienste wie Google Authenticate nutzen eine, mit dem gewünschten Account verlinkte App, um beim Einloggen einen weiteren Code zu liefern. Auf diese Weise sind Zugangsdaten selbst dann noch sicher, wenn Benutzername und Passwort gestohlen wurden. Zunehmend verlangen Dienstanbieter auch eine aufwändigere Anmeldung, beispielsweise über einen PIN-Code per SMS, oder eine zusätzliche E-Mail mit Bestätigungslink, wenn die Anmeldung von einem neuen Endgerät oder aus dem Ausland erfolgt.

Eigentlich sollten solche Maßnahmen seit Jahren überflüssig sein. Biometrische Identifikationsverfahren gelten seit langem als die ultimative Sicherheitsmaßnahme. Doch bislang haben Hacker immer relativ schnell Wege gefunden, um die üblicherweise verwendeten biometrischen Merkmale zu kopieren. Fingerabdrücke, Iris-Scanner, Gesichtserkennung und Sprachanalyse sind entweder zu leicht zu umgehen oder zu teuer für den weit gestreuten Einsatz. Zudem stellen sich gut gemeinte Ansätze oft als fehlerbehaftet heraus. Die Gesichtserkennung des neuen Apple iPhone, Face ID genannt, soll zwar das Gesicht des Nutzers äußerst zuverlässig erkennen. Doch was, wenn einem ein Dieb oder ein Polizeibeamter das Gerät kurz vor die Nase hält? Die Face ID-Funktion lässt sich ad hoc abschalten, das hilft vielleicht, wenn man eine Verhaftung oder andere geplante kompromittierende Situation befürchtet, ein Diebstahl ist damit nicht abwehrbar.

Es bleibt dabei: Passwörter sind überholt, aber im Moment noch notwendig. Und zusammen mit einigen aktuellen Anpassungen und Erweiterungen - soweit möglich - lassen sie sich mittelfristig immer noch als sicherer Zugriffsschutz einsetzen.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.