VerschlüsselungDas passwortfreie Web

Mit den Passwörtern ist es eine einfache Sache: Entweder sie sind gut, dann kann man sie sich nicht merken, weil sie kompliziert sind. Oder sie sind einfach zu merken, aber schlecht - und deshalb leicht zu knacken. Die "Web Authentification Working Group" will die Frage beantworten, wie Passwörter überflüssig werden können.

Es gibt ja die berühmten Passwort-Manager. Die wollen uns das Leben ein bisschen erleichtern. Aber so richtig funktioniert das bislang nicht. Wird also Zeit, dass hier mal einer eine gute Idee hat. Unsere Hoffnung: Wer eine Gruppe mit dem tollen Namen "Web Authentification Working Group" gründen kann, der kann vielleicht auch das leidige Passwortproblem lösen.

Wer ist die "Web Authentification Working Group"?

Eine durchaus ernst zu nehmende Organisation: das World-Wide-Web Konsortium unter dem Vorsitz des WWW-Erfinders Tim Berners Lee. Die Institution ist dafür zuständig, Standards fürs Internet abzustimmen.

Fido 2.0

Eine wichtige Rolle dabei spielen dabei die IT-Giganten wie Google, Microsoft und Paypal. Sie haben sich zur sogenannten Fido-Allianz (Fast Identity Online) zusammengeschlossen, weil sie das Problem mit den Passwörtern ein für allemal lösen wollen. Seit Kurzem gibt es nun den Fido 2.0-Standard.

"Fido 2.0 setzt auf Public Key Verschlüsselung."
Andreas Noll, DRadio Wissen Netzreporter

Bei der Registrierung soll das Client-Gerät (also etwa ein Handy) einen Schlüssel erzeugen und der Anwendung den öffentlichen Schlüssel übergeben.

Biometrische Sensoren

Wenn Andreas unserem Moderator Till zum Beispiel 1 Million Euro überweisen will, geht er auf die Bank-Website, füllt die Überweisung aus und dann kontaktiert das System automatisch sein Handy. Dort legt er dann seinen Finger auf den biometrischen Sensor - und die Überweisung ist scharf.

"Es geht dabei immer um die sogenannte Zwei-Faktor-Authentifizierung."
Andreas Noll

Ihr gebt also auf der Homepage euren User-Namen und euer Passwort ein, kommt aber erst ins System, wenn ihr zusätzlich auf dem Krypto-USB-Stick einen Knopf drückt - oder das Handy eine Bestätigung an die Website schickt.

USB-Stick oder Handy

Zwei-Faktor-Authentifizierung geht in den einfacheren Varianten auch ohne Krypto-USB-Stick. Nach dem Login mit Nutzernamen und Passwort wird automatisch eine Ziffernkombination auf das Handy geschickt. Damit bestätigt ihr das Login. Andreas Noll glaubt allerdings, dass in Zukunft vor allem biometrische Merkmale eine Rolle spielen. Microsoft will bei Windows 10 ganz stark in diese Richtung voranmarschieren. Da gibt es dann USB-Sticks mit Fingerabdrucksensor, die zum Login verwendet werden können. Oder besondere Webcams, die zur Identifikation eingesetzt werden.

Kritische Stimmen

Kritiker bemängeln grundsätzlich, es sei nicht gerade ungefährlich, wenn wir unsere biometrischen Daten dem Rechner anvertrauen. Bis Ende des Jahres sollen die ersten Standards beschrieben sein.