Suchen

Neue Ideen zur Zugangskontrolle Alternativen zum Passwort

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Nachlässigkeit bei der Passwortwahl hat schon fast Tradition in vielen Unternehmen. Die lange Historie des Problems führt leider nicht dazu, dass sich Passwort-Alternativen schnell durchsetzen würden. Pfiffige Lösungen sind gefragt, die es Anwendern einfach machen und die trotzdem für Unternehmen auch managebar bleiben.

Die Probleme rund um Passwörter sind bekannt, gelöst sind sie noch lange nicht. Dabei steigt die Gefahr, dass Zugangsdaten gestohlen und missbraucht werden, weiter an.
Die Probleme rund um Passwörter sind bekannt, gelöst sind sie noch lange nicht. Dabei steigt die Gefahr, dass Zugangsdaten gestohlen und missbraucht werden, weiter an.
(Bild: Pixabay / CC0 )

Wer für die IT-Sicherheit im Unternehmen verantwortlich zeichnet, kann es kaum noch hören: Viele Nutzer bevorzugen einfache, leicht zu merkende Passwörter, bleiben ihren Passwörtern auf ewig treu und haben sogar oftmals nur ein einziges Passwort. Gründe dafür gibt es viele: Laut einer Bitkom-Studie fühlt sich gut ein Drittel (36 Prozent) aller Bundesbürger mit der großen Menge an Passwörtern überfordert, die man sich für Computer, Smartphone, Geldautomaten und zahlreiche Online-Dienste ausdenken und dann merken soll. Die Folge: Mehr als ein Drittel der Internetnutzer in Deutschland (37 Prozent) verwendet ein- und dasselbe Passwort für mehrere Online-Zugänge, zum Beispiel zu E-Mail-Diensten, sozialen Netzwerken oder Online-Shops.

Auch wenn die Probleme rund um Passworte gut bekannt sind, gelöst sind sie noch lange nicht. Dabei steigt die Gefahr, dass Zugangsdaten gestohlen und missbraucht werden weiter an, denn die Zahl der genutzten Dienste und Apps, die eine Passworteingabe erfordern, wächst und damit auch die Basis für Phishing-Attacken und Lauschangriffe auf ungeschützte Verbindungen.

Lösungen für sichere Passwort-Verfahren sind gefragt

Wenn sich die Anwender die Risiken schwacher Passworte verdeutlichen, sind sie durchaus interessiert an alternativen Lösungen für die Zugangskontrolle. Laut Bitkom-Umfrage berichtet jeder vierte Internetnutzer (22 Prozent), dass seine Zugangsdaten zu einem Online-Dienst ausspioniert worden sind. Jeder dritte Internetnutzer (34 Prozent) verwendet inzwischen einen sogenannten Passwort-Safe oder Passwort-Manager, in dem die zahlreichen Zugangsdaten zu Online-Diensten und Geräten abgelegt werden können.

Sehr beliebt sind auch biometrische Verfahren. Die breite Mehrheit der Befragten (81 Prozent) könnte sich vorstellen, Verfahren wie Fingerabdruck-Scanner beim bargeldlosen Bezahlen einzusetzen. Immerhin gut ein Drittel (36 Prozent) würde den Iris-Scan des Auges nutzen, um eine Zahlung zu autorisieren. Eine Überprüfung anhand des Stimmprofils würde knapp ein Viertel (22 Prozent) einsetzen. Doch es gibt auch andere interessante Verfahren als alternative Zugangskontrolle, wie zum Beispiel der Web Summit 2016 zeigte.

Geographical Password: Personalisierte Standortdaten als Passwort

Eine der neuartigen Lösungen, die auf dem Web Summit 2016 vorgestellt wurden, ist ZSS Login. Die Idee dahinter: Nutzer merken sich keine komplexen Passworte mehr, sondern spezielle Orte, wie zum Beispiel ein bestimmtes Bistro in Paris, das ihnen bei einem Urlaub gut gefallen hat. Diesen bestimmten Ort wählt der Nutzer auf einer digitalen Karte aus, die von der Zugangslösung angezeigt wird. Ein Doppelklick auf das zum gewählten Ort gehörende Planquadrat liefert die Standortkoordinaten, die dann das Passwort bilden, ein sogenanntes Geographical Password, das der Unternehmensgründer 2014 in einem wissenschaftlichen Artikel (pdf) vorgestellt hat. ZSS Login gibt es als mobile App für iOS und als Desktop-Version, so dass man es mobil oder aber am Arbeitsplatz im Büro nutzen kann.

Ein offensichtliches Problem scheint „Shoulder Surfing“ zu sein, also die Gefahr, dass jemand beobachtet, welchen Ort der Nutzer als Lieblingsort und damit als Geographical Password gewählt hat. Diesem Risiko begegnet die Lösung dadurch, dass die digitale Karte und damit die jeweiligen Koordinaten des ausgewählten Ortes individualisiert werden. Anders ausgedrückt: Die Anwender nutzt einen automatisch generierten Schlüssel, mit dem die Standortdaten des speziellen Ortes und damit das Passwort personalisiert werden.

Smartcards mit Zusatzfunktionen: Mikrofone reichen aus

Eine Smartcard, die Fingerprint-Reader, NFC-Chip und die akustische Übertragung von Einmal-Passworten (OTP, One Time Password) kombiniert.
Eine Smartcard, die Fingerprint-Reader, NFC-Chip und die akustische Übertragung von Einmal-Passworten (OTP, One Time Password) kombiniert.
(Bild: MeReal Biometrics)

MeReal Biometrics hat eine Smardcard entwickelt, die einen integrierten Fingerprint-Reader, einen NFC-Chip, einen EMV-Chip und eine Funktion zur akustischen Übertragung von Einmal-Passworten in sich vereint. Neben der Integration mehrerer Sicherheitsfaktoren auf der Smartcard ist insbesondere der akustische Datentransfer des One-Time-Passwords (OTP) spannend, denn damit können auch solche Geräte und Systeme angesprochen werden, die nicht über NFC / RFID zugänglich sind, aber dafür mit einem Mikrofon für den Empfang des Passwortes ausgestattet sind. Die Karte wird mittels erfolgreichem Fingerabdruck-Scan aktiviert. Für die Aufladung des Karten-Akkus gibt es spezielle Ladegeräte.

Fazit: Die Beispiele zeigen, dass neue Ansätze bei der Zugangskontrolle dabei helfen können, das leidige Passwort-Problem besser in den Griff zu bekommen. Entscheidend neben der Sicherheit der alternativen Verfahren ist immer auch die Nutzerakzeptanz. Hier bieten die neuen Lösungen spannende Funktionen, die Nutzer dabei unterstützen, den Zugang zu vertraulichen Daten und geschützten Diensten stärker abzusichern als bisher. Schwache Passworte, die kaum jeweils ausgewechselt und dafür bei vielen Online-Zugängen wiederverwendet werden, müssen und dürfen nicht sein.

(ID:44438150)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst, Influencer und News Analyst / Commentator bei Insider Research