Passwörter waren eine grossartige Sache, als das Internet seine ersten und zweiten Gehversuche machte. Das Passwort öffnete wie von Zauberhand den Zugang zu allerhand Diensten, Leistungen und Plattformen. Blöderweise nicht nur für die berechtigten Nutzer, die schnell erstarkende Gemeinde der Hacker war und ist immer mit im Boot.
Unglaublich raffinierte Hacks sind nicht durchwegs erforderlich, auch heute nicht – ein Blick auf Hitparade der meistgenutzen Passwörter im Jahr 2019 präsentiert die unausgesprochene Einladung in Form von weit geöffneten Türen:
An der Spitze nach wie vor "12345", dicht gefolgt von "123456". Für User mit erhöhtem Anspruch und gut entwickelter Merkfähigkeit auf dem dritten Platz: "123456789". Dass "password" und "test" mit zu den Spitzenreitern gehören, erstaunt jetzt keinen, schliesslich sollte man sich das Passwort merken können, sonst wird das nichts mit dem Sesam, der sich öffnen soll.
Passwort-Manager schaffen Abhilfe – allerdings auch nur für jene, die sich das höchst komplexe Master-Passwort mit ganz vielen Zeichen merken können.
Die Idee der Passwörter ist nicht für Menschen gemacht
Darin liegt die Krux. Entweder sind Passwörter so einfach und merkfähig, dass die Türen praktisch offenbleiben, ohne dass ein begabter Hacker Sonderschichten schieben müsste – oder sie sind dermassen komplex, dass ein normaler Mensch keine Chance hat, sich sein eigenes Passwort zu merken. Unheil steht im einen wie im anderen Fall ins Haus.
Dieser Ansicht ist auch Olivier Schraner, der CTO für Infrastruktur und Sicherheit bei der UBS, der gegenüber der Handelszeitung sagt:
«Es gibt zwei Arten von Passwörtern, die schlechten und die sehr schlechten. Die schlechten sind die einfachen, die man leicht knacken kann. Und die sehr schlechten sind die, die so komplex sind, dass man sie aufschreiben muss.»
Deshalb will die UBS Passwörter komplett abschaffen, wie die Handelszeitung weiss, intern und extern. Also für Mitarbeiter, wie auch für Kunden. In einem ersten Schritt sollen Passwortlösungen mit Zwei-Faktor-Authentifizierung eingeführt werden. Im nächsten Schritt sollen Passwörter komplett abgeschafft und Multi-Faktor-Authentifizierungen auf einen Chip bzw. eine Karte gebracht werden.
Längst fälliger Schritt mit Signalwirkung
Die Technologien von Smartcards und Biometrie sind schon länger verfügbar – erstaunlich, dass der grösste Teil der digitalen Welt nach wie vor mühsam mit Passwörtern unterwegs ist. Deshalb eine gute Entwicklung, dass Banken zum Angriff auf Passwörter blasen und für ihre Kunden und Mitarbeiter den Weg zu "menschlichen" Verfahren ebnen. Menschlich in dem Sinne, als intelligente Technologie die dümmsten Fehler und auch die weniger dummen verzeiht, weil diese Fehler gar nicht gemacht werden können. Und bald schon muss niemand mehr endlose Zeichenketten kennen, die nicht für Menschen gemacht sind, nur um sich bei Maschinen anzumelden.
Wie die Handelszeitung berichtet, baut die UBS derzeit zu Testzwecken eine neue Anlage in Asien, um einen "friktionslosen Sicherheitsansatz" zu verfolgen, das heisst ein passwortfreies Leben. Mögen zahlreiche weitere Banken dem Beispiel der UBS folgen. Und der gesamte Rest der Wirtschafts- und Internetwelt ebenso.