Das Problem mit dem Passwort

Mittlerweile muss man sich überall authentifizieren. Es gibt kaum noch einen Dienst im Internet, den man ohne Login nutzen kann. Eine Anmeldung besteht immer aus einem Namen (der ist eigentlich nicht geheim, soll man aber trotzdem nicht weitersagen) und einem Passwort (das ist geheim). Ich hab oft das Gefühl, dass ich am Computer beinah nur noch mit Einloggen beschäftigt bin. Das geht schon beim Einschalten und der Anmeldung am Betriebssystem los. Eigentlich könnte man jetzt denken, uff, das war echt anstrengend, zum Glück hab ich es jetzt hinter mir. In Wirklichkeit geht es jetzt aber erst richtig los. Ich möchte Mails lesen, Passwort. Ich möchte meine Freunde auf Facebook besuchen, Passwort. Ich möchte eine Überweisung machen, Passwort. Ich möchte ein Buch bei Amazon kaufen, Passwort. Ich möchte ein Video auf YouTube hochladen, Passwort. Ich möchte einen Beitrag in einem Forum schreiben, Passwort. Ich möchte mir einen Film bei Lovefilm ausleihen, Passwort. Das hört gar nicht mehr auf. Egal, was man tut, überall muss man sich immer erst einmal authentifizieren.

Dabei darf man sich als privater Nutzer eigentlich gar nicht beschweren. Es gibt so ein paar Kreise, bei denen ist es richtig übel. Angestellte in großen Konzernen zum Beispiel. In solchen Organisationen werden in der Regel alle Unternehmensprozesse mit einem Computerprogramm unterstützt. Natürlich hat dabei jeder Prozess mehr oder weniger meistens sein eigenes Programm. Bevor man mit diesen Programmen arbeiten kann, muss man sich natürlich erst mal anmelden. Oder die Leute von der IT. Alter Walter, da kann man sich das Mitleid wirklich nicht mehr unterdrücken. Administratoren und Programmierer müssen sich noch zusätzlich den ganzen Tag lang an verschiedenen Servern, Datenbanken, Entwicklungssystemen und Testinstallationen anmelden.

Puh, als ob das nicht schon genug wäre. Wenn man irgendwo angemeldet ist und 10 Minuten keine Eingaben macht (zum Beispiel weil das Telefon klingelt), dann fliegt man raus (was vorher nicht gesichert war, ist verloren, klar). Das heißt konkret, Login und Passwort noch mal eingeben. Beim Erstellen eines Passwortes sind leicht zu erratende Ausdrücke natürlich verboten. Geburtstag, verboten. Name der Liebsten, verboten. Geburtsort, verboten. Auch einfache Wörter und Kombinationen sind verboten. Test1234, verboten. abcdef, verboten. Sommer3, verboten. Teilweise werden solche Passwörter auch schon gar nicht mehr beim Erstellen akzeptiert. Wenn dann mal ein gutes Passwort gefunden ist (zum Beispiel 1MSiMizw! = 1 Mal Sport im Monat ist zu wenig!), darf man es niemals niemals niemals für eine weitere Internetseite verwenden. Man muss sich dann ein weiteres Passwort ausdenken. Und jetzt kommt’s. Bei besonders sensiblen Logins muss man das Passwort zwingend alle drei Monate ändern. Dazu wird man sogar technisch gezwungen. Und das neue Passwort muss sich selbstverständlich zusätzlich noch von den drei letzten Passwörtern unterscheiden.

Es gibt unzählige Studien, wie viel Lebenszeit wir mit Schlafen oder im Stau verbringen. Die Studie darüber, wie viel Lebenszeit wir mit Passworteingaben verbringen, die gibt es noch nicht.

Übliche Mittel der Selbsthilfe

Nun entwickelt jeder Mensch seine eigenen Strategien, um all die Passwörter mental zu bewältigen und daran nicht zu verzweifeln. Am Liebsten bedient man sich dabei natürlich der klassischen Excel-Liste, welche unverschlüsselt auf dem Dateisystem liegt. Immerhin, das ist besser als der Zettel am Monitor, den man auch noch sehr oft sieht. Dabei hat man früher noch gesagt, Passwörter darf man nicht aufschreiben. Sehr beliebt ist auch das Speichern der Passwörter im Browser. Google, Mozilla und Microsoft synchronisieren sogar die Passwörter über die Cloud auf andere Computer (macht das nicht ein bisschen Bauchweh?). Wer es richtig machen möchte, der nutzt einen externen Passwort-Manager. Um den Passwort-Manager zu benutzen, muss man aber natürlich auch erst mal wieder (ist doch logisch) ein weiteres Passwort eingeben (das Master-Passwort). Das kann richtig an die Nerven gehen. Ich selbst erwische mich deswegen immer öfter dabei, dass ich mich mit einem Cookie authentifiziere („angemeldet bleiben“).

Wenn man zum Ändern eines Passworts aufgefordert wird, besteht weitgehend Einigkeit in der weiteren Vorgehensweise. Man regt sich erstmal auf. Danach mache ich es meistens so, dass ich im Raum herumschaue und in meinen Gedanken die Namen aller dort befindlichen Gegenstände auf Passworttauglichkeit prüfe. Für die Problematik, dass die drei zuletzt verwendeten Passwörter nicht erlaubt sind, gibt es einen Geheimtipp unter Passwortprofies. Die Tastatur hat drei Reihen waagrecht und siebeneinhalb Reihen senkrecht voll mit Buchstaben. Darauf kann man nun Muster bilden und beliebige Reihen zu einem Passwort kombinieren. Beispielsweise, zwei senkrechte Reihen nacheinander getippt, fertig ist das Passwort. Erstes Passwort QAYWSX, zweites Passwort EDCRFV, drittes Passwort TGBZHN und viertes Passwort UJMIK,. Man kann auch variieren. Wenn unbedingt Zahlen drin sein müssen, einfach die Zahlenreihe dazu nehmen. Also 1QAY2WSX und so weiter. Zusätzlich kann man auch Groß- und Kleinschreibung einfließen lassen, 1qAy2wSx und so weiter. Ganz schön clever, oder?

Natürlich wissen wir, dass all die Authentifizierungen notwendig sind und sich einfach aus der Logik ergeben. Natürlich wissen wir, dass die Welt böse ist und deshalb Passwörter möglichst sicher gewählt werden müssen. Natürlich wissen wir, dass der Mensch faul ist, und deswegen durch besonders strengen Passwortregeln zur Sicherheit gezwungen werden muss. Wir wissen das alles. Aber das hilft uns nicht weiter, denn wir sind mit den unendlich vielen Passwörtern schlichtweg überfordert. Soweit die Situation. Und nun?

Mögliche Ansätze

Es braucht ein Stück Technologie, dass uns bei diesem Durcheinander unterstützt. Ein magischer Code, der die Authentifizierung für uns übernimmt. Optimal wäre auf Knopfdruck. Seite aufrufen, Klick und wir sind drin (Single-Sign-On). Noch besser, wenn damit einhergehend ebenfalls zweckerforderliche persönliche Daten bereitgestellt würden. Das ist nämlich genauso nervig, bei jedem Einkauf immer wieder die gleichen Masken auszufüllen (Rechnungsadresse, Lieferadresse, Zahlungsdaten, und so weiter). Zugegeben, das ist schon eine ziemlich grobe Anforderung. Deswegen wären wir auch schon mit einem schlichten, unveränderlichen und manuellen Login zufrieden, den wir überall benutzen können.

Letztlich benötigt es dazu eigentlich nur drei Dinge. Einen zentralen Speicherplatz zum Hinterlegen der Identität inklusive persönlicher Daten. Ein Programm, Algorithmus oder Protokoll, welches die Authentifizierung durchführt. Und die Unterstützung dieses Mechanismus beim Zielobjekt (die Internetseite, bei der man sich anmelden möchte). Diese drei Komponenten müssen nun schlüssig platziert und sinnvoll miteinander verbunden werden. Dabei gibt es verschiedene Möglichkeiten. Letztlich geht es hauptsächlich um die Frage, wo man die Identität hinterlegt. Daraus leitet sich dann alles weitere ab. Ich persönlich fände es ziemlich charmant, wenn Identität ein direkter und vollintegrierter Teil des Betriebssystems wäre. Identität als Systemeinstellung, einfach zu pflegen und über offene Schnittstellen kontrolliert abrufbar. Eine andere Idee ist, die Identität unmittelbar in den Browser einzubauen. Der Browser ist einfach näher an der Internetseite dran. Zuletzt kann man aber auch auf eine lokale Speicherung verzichten und die Identität im Internet hinterlegen. Dazu braucht man einen Authentifizierungsprovider, der unsere Identität über eine standardisierte Schnittstelle für andere Dienste bereitstellt. Alles hat seine Vorteile, alles hat seine Nachteile.

Bisherige Versuche

Es gab in der Vergangenheit auch schon einige Anstrengungen, dieses Thema anzugehen. Microsoft hat sich in diesem Fall sehr früh vorgewagt (das ist echt ungewöhnlich) und wollte mit dem Dienst Passport ein zentrales webbasiertes Authentifizierungssystem schaffen. Findige Programmierer fanden aber gleich zu Beginn gravierende Sicherheitslücken und so tat sich der Dienst sehr schwer. Das ist jetzt schon zehn Jahre her. Letztlich ist die ganze Sache auch gescheitert, aber Passport hat wenigstens als Microsoft-ID bis heute überlebt und wird nun als zentrale Authentifizierung für Microsoft-Dienste verwendet.

Die nächste Versuch war OpenID. OpenID ist eine offene und standardisierte Technologie, um eine webbasierte Authentifizierung vorzunehmen. Das System ist dezentral ausgelegt, das heißt, prinzipiell kann jede beliebige Organisation als Authentifizierungsprovider dienen, und unsere Identität abrufbar aufbereiten. Das ist besonders interessant, weil man dadurch seinen Authentifizierungsprovider frei wählen kann. Zusätzlich ist es möglich, mehrere Identitäten abrufbar zu halten, und teilweise auch selbst als Authentifizierungsprovider zu fungieren.

Eine aktuelle Initiative kommt von Mozilla. Es nennt sich Mozilla Persona und ist ein browser-basiertes Authentifizierungssystem. Das bedeutet, dass man sich quasi nur im Browser anmelden muss und dieser erledigt dann alle weiteren Logins automatisch oder auf Knopfdruck. Der Ansatz ist interessant, befindet sich aber noch in einer Art Beta-Phase. Es gibt bisher nur ein paar vereinzelte Internetseiten, welche Mozilla Persona unterstützen, die aber mehr als Referenz dienen.

Das war nur eine kleine Auswahl. Die meisten Implementierungen konzentrieren sich auf die webbasierte Anmeldung. Auf der Ebene des Betriebssystems gibt es leider bis heute noch keinen einzigen Versuch, einen entsprechenden Authentifizierungsmechanismus zu integrieren. Das ist schade, denn der Ansatz wäre sicherlich sehr lehrreich.

Das eigentliche Problem

Letztlich ist also alles da. Die Technologie ist da. Die Nachfrage ist da. Und die Unternehmen bemühen sich. Aber warum sind wir dann bei diesem Thema noch nicht wesentlich weiter gekommen?

Es liegt am Vertrauen. Das Vertrauen fehlt. Es gibt kein Unternehmen und keine Organisation, in dessen Hände wir mit guten Gewissen unsere elektronische Identität legen können. In der privaten Wirtschaft werden unsere Daten zu oft für eigene Zwecke missbraucht. Als erste Alternative hat man dann gleich den Staat im Sinn. Kann der das nicht übernehmen? Der Staat ist leider nicht besser, er verschafft sich auch jetzt schon Zugang zu unseren Daten auf allen Kanälen ohne zu fragen. Sei es mit Hilfe von Datenabgleich, Vorratsdatenspeicherung oder Auskunftsersuchen.

Das Authentifizierungsproblem ist im Grundsätzlichen ein Vertrauensproblem. Wir werden belogen, betrogen und verkauft. Es fehlt an Offenheit, Ehrlichkeit und Integrität. Eigentlich ist es so, dass wir den meisten Organisationen sogar misstrauen. Identität ist Persönlichkeit und Authentifizierung ist Wahrheit. Hohe Güter, die man nicht leichtfertig in fremde Hände gibt. Vertrauen wäre dafür die grundlegende Voraussetzung. Und nebenbei, Vertrauen ist ein Grundbaustein für gutes Miteinander und deswegen ist das Ganze auch ziemlich traurig.

Jetzt ist ausgerechnet Facebook dasjenige Unternehmen, welches bei der zentralen webbasierten Authentifizierung bisher am erfolgreichsten ist. Es gibt täglich mehr Dienste, die keine eigene Registrierung mehr benötigen. Man kann sich ganz bequem mit dem Facebook-Account anmelden und muss sich damit immer weniger Passwörter merken. Facebook ist eigentlich sogar ideal für die Authentifizierung, denn bei Facebook geht es um den Menschen. Und deren Daten, und deren Interessen, und deren Freunde, und deren Vernetzung und jetzt wissen die auch noch, welche Dienste und Seiten wir im Internet sonst noch nutzen. Oh Mann, ausgerechnet Facebook …

Links
Facebook Login
Mozilla Persona
OpenID

Über den Autor
Marco Hitschler wohnt in Mannheim und schreibt auf diesem Blog beliebige Texte in das Internet hinein. Sein Handwerk ist die Informatik und beruflich arbeitet er im Projektmanagement. Wenn man einmal mit dem Bloggen angefangen hat, kann man nicht mehr aufhören. Furchtbar! Infolgedessen wird auf diesem Blog ganz kunterbunt in verschiedenen Formaten publiziert.
2 Kommentare
  1. marco
    Moritz 1. Juni 2013

    Ich habe auch jahrelang herumprobiert, wie ich das mit den zig Passwörtern am besten löse. Irgendwann bin ich einfach dazu übergegangen, sie mir zu merken. Ist am Anfang etwas kompliziert, aber sobald man es drauf hat, gibt es keine Probleme mehr.

  2. marco
    marco 7. September 2013

    Update
    Kurz nach der Veröffentlichung dieses Artikels habe ich durch eine Empfehlung den Dienst LastPass entdeckt. LastPass ist cloud-basierten Passwort-Manager und erfüllt weitgehend alle Anforderungen, welche oben im genannt wurden. Alle Passwörter werden in der Cloud gespeichert. Es gibt Plugins für alle gängigen Browser und Apps für alle wichtigen Smartphone-Plattformen. Das User Interface von LastPass ist zwar eine Katastrophe, aber unterstützt sogar Auto-Login. Und das klappt bei den meisten Internetseiten einwandfrei. Nicht nur Passwörter lassen sich speichern, auch Formulardaten und benutzerspezifische Datenstrukturen. Wer sich traut, seine Passwörter in die Cloud zu legen, der sollte sich LastPass mal ansehen.
    Link
    LastPass

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.