[BLACKY74]

Zitat:

Es ist nervig, sich lange Passwort-Phrasen zu merken. Und Alternativen wie Fingerabdruck, Venenmuster und Gesichtserkennung bergen zu viele Risiken. Wann befreien uns Wissenschaftler endlich von Kennwörtern?

Getty Images

Hashtag, Ausrufezeichen, zweiundvierzig, Großbuchstabe, Kleinbuchstabe, Dollarzeichen: Ein sicheres Passwort zu erstellen, ist schwierig genug. Sich dann auch noch starke Kennwörter für mehrere Seiten zu merken, ist vielen schlicht zu kompliziert.

Bei einer Umfrage des Instituts Ponemon (PDF) unter IT-Anwendern in den USA, Deutschland, Frankreich und Großbritannien gab mehr als die Hälfte der Teilnehmer an, dasselbe Kennwort für durchschnittlich fünf Accounts zu benutzen. Etwa zwei Drittel der Befragten teilen ihre Passwörter sogar mit Kollegen. Das ist erschreckend - und eine Einladung für Angreifer. Doch was gibt es für Alternativen? Und wie lange brauchen wir überhaupt noch Passwörter?

Zumindest das World Wide Web Consortium (W3C) hat Passwörtern im Internet den Kampf angesagt. Mit einem neuen Protokoll wollen die Experten den Zugang zu Websites erleichtern. Web Authentication (WebAuthn) nennt sich das Protokoll. Der Vorteil ist, dass keine Kennwörter mehr zwischen Anwender und Website ausgetauscht und in Datenbanken abgelegt werden. Stattdessen sollen sich die Nutzer mit einem Gerät identifizieren, etwa einem Smartphone oder einem USB-Token.

Apple testet neuen Login-Standard

Die Browser Google Chrome, Mozilla Firefox und Microsoft Edge unterstützen die WebAuthn-Schnittstelle bereits. Auch Apple scheint bald mit von der Partie zu sein: In der Entwicklerversion des Safari-Browsers wird der Standard derzeit getestet. Allerdings gibt es unter anderem Kritik an veralteten Verschlüsselungsverfahren. Sicherheitsexperten halten es noch für zu riskant, die passwortfreie Anmeldung einzusetzen.

Die Technik sei bequem, sagt Informatikprofessor Frank Kargl von der Universität Ulm dem SPIEGEL. Das sei gut so, denn "alles, was die Nutzer nervt, führt dazu, dass die Passwörter schlechter werden". Doch die Bequemlichkeit hat auch eine Kehrseite: "Wenn Anbieter wie Google oder Facebook die Anmeldung für alle Webseiten übernehmen, dann bringt das auch Datenschutzprobleme mit sich", sagt Kargl.

Der WebAuthn-Standard übernimmt das automatische Einloggen auch mit Biometrie-Scannern, die derzeit als Passwort-Alternative im Trend liegen. Smartphones mit dem Gesicht entsperren, den Rechner per Fingerabdruck starten und Türen mit Venenscanner öffnen. Diese Schlüssel hat man zwar immer bei sich. Doch biometrische Passwörter bringen zwei Gefahren mit sich.

Erstens: Fingerabrücke, Venenmuster und selbst Gesichter lassen sich fälschen. Zweitens: Das Passwort kann nicht geändert werden. Die Zahl der Finger ist begrenzt, man hat nur ein Gesicht, und auch das Venenmuster bleibt gleich. Wenn etwa Fingerabdrücke bei einem Hackerangriff erbeutet werden, sind diese biometrischen Daten unbrauchbar.

Gehirn benutzen beim Einloggen

Daher haben sich Wenyao Xu und sein Team eine andere Methode überlegt. Die Forscher von der staatlichen Universität des US-Bundesstaats New York setzen auf einen Gehirnabdruck. Bei der Methode geht es nicht darum, sich komplizierte Zeichenketten zu merken. Die Wissenschaftler messen, wie das Gehirn der Nutzer auf eine Reihe von angezeigten Bildern und Texten reagiert. Da jedes Gehirn andere Ströme erzeugt, ist laut Forschern jedes solche Gehirnpasswort einzigartig.

Und vor allem lässt sich das Passwort leicht ändern. Dafür muss der Nutzer nur aufzeichnen, wie das Gehirn auf eine andere Bilderreihe reagiert. Da der Vorgang unbewusst passiert, seien die Hirnströme für Angreifer nicht nachzuahmen. "Betrüger müssten die Daten aus medizinischen Berichten auslesen", sagt Wenyao Xu dem SPIEGEL.

Der Nachteil am Gehirnabdruck ist, dass die Gehirnströme erst einmal gemessen werden müssen. Das funktioniert nur, wenn Elektroden auf dem Kopf des Nutzers angebracht werden, etwa mit einer Virtual-Reality-Brille oder einer Mütze. Trotz der umständlichen Messung gibt es bereits Kontakt zu Unternehmen. "Google hat Interesse", schreibt Wenyao Xu. Ein Mitarbeiter aus dem Team sei im vergangenen Jahr sogar zum Suchmaschinenkonzern gewechselt.

Ein schnelles Ende der Passwörter ist laut Frank Kargl nicht in Sicht. "Das Passwort wird auch künftig nicht so leicht zu ersetzen sein", sagt der Professor. Das werde auch noch viele Jahre so bleiben. "Derzeit ist es sicher die beste Methode, einen Passwort-Manager zu verwenden." Dorthin gehe auch der Trend: Passwörter automatisch einfügen anstatt auszurotten. Dann könne man auch "komplizierte Kennwörter nutzen, ohne sich alle merken zu müssen".

Quelle:[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Melvin van Horne]

Moin,

ich bin mir nicht sicher ob bei manchen Zeitgenossen die Messung der Gehirnaktivität für ein Login ausreicht ...



JEHOVA!