Tom König hat sich gestern in seiner Kolumne Warteschleife auf Spiegel Online darüber beschwert, dass jeder Dienst und jede Website einen eigenen Login erfordert. Zudem plädiert er dafür, einfache Passwörter wie »Mutti« zu verwenden.
Er argumentiert bei den einfachen Passwörtern damit, dass die besonders sensitiven Services EC-Karte oder Mobiltelefon nur mit einem sehr einfachen vierstelligen Code gesichert sind. Königs Argumentation greift aber hier deutlich zu kurz. Er übersieht einen ganz deutlichen Unterschied zwischen einem Dienst wie Facebook und einer EC-Karte: Die EC-Karte hat ein nicht zu verachtendes Zusatzmomentum gegenüber einem klassischen Login — man muss die EC-Karte physisch besitzen und eine PIN kennen. Zudem wird die Karte nach drei Fehlversuchen gesperrt. Hier reicht also nicht nur Wissen.
Ein klassischer Online Login funktioniert aber meist nur mit Wissen. Und ein Teil des Wissens ist meist kein Geheimnis. Sei es E-Mail-Adresse, Benutzername oder — schon etwas geheimer — die Kundennummer. Hier muss also das Passwort den alleinigen Schutz gewährleisten. Folglich muss das Passwort auch mehr Kombinationen als eine vierstellige Zahl haben (das sind genau 10000). Diese könnte man in einer für einen Rechner recht überschaubaren Zeit durchprobieren. Ähnlich einfach sind auch Dictionary-Attacks, bei denen nacheinander Wörter aus einem Wörterbuch durchprobiert werden, zu realisieren. Insbesondere, wenn man über ein Botnetz verfügt. Natürlich werden auch hier Sperren nach einer bestimmten Anzahl von Fehlversuchen seit langem implementiert, aber auch diese sind ja nur eine Verlangsamung des Problems.
Ein wichtiges Element ist aber auch, dass man für jeden Dienst ein eigenes Passwort nutzen sollte. Dies kann natürlich nach irgendeiner merkbaren Regel gebildet werden. Dabei schließen sich leicht zu merken und sicher nicht gegenseitig aus. Oder man nutzt einen Passwort-Safe wie 1Password und LastPass. Ganz nach Gusto. Dennoch: ohne ein wenig Hirnschmalz, wie man mit seinen Zugangsdaten umgeht, geht es bei rein wissensbasierten Zugangssystemen nicht.
Google geht mit der 2-Step-Verification wiederum den Weg einer Kombination aus Wissen und Besitz. Und zwar in einer sehr komfortablen Weise. Der Besitznachweis muss nicht bei jedem Loginversuch erbracht werden, es reicht die einmalige Verifikation in einem bestimmten Zeitraum an einem Rechner — bei Google alle 30 Tage.
Königs Artikel ist meines Erachtens nach eine große Gefahr, ruft er doch zu einer deutlich zu geringen Vorsicht beim Umgang mit Passwörtern auf. Wird die Benutzer/Passwort-Kombination an einer Stelle herausgefunden, können innerhalb kürzester viele andere Services betroffen sein. Und dann ist die Kacke am dampfen…
