Wörter bleiben Pass

Ja, es gibt viel zu viele schlechte Passwörter und viele, wenn nicht die meisten Benutzer legen noch deutliche Defizite beim sicheren Einsatz und Management ihrer Zugangskennungen an den Tag. Dennoch werden Passwörter uns weiterhin begleiten – und das ist vielleicht auch ganz gut so. Denn was wäre die Alternative? Letztlich müsste man das erforderliche Vertrauen vom Wissen dann auf Biometrie oder den Besitz von Dingen verlagern – beides bringt ebenfalls Schwierigkeiten und Risiken mit sich: Der Vorrat biometrischer Merkmale ist begrenzt, ihr Einsatz mit erheblichen Datenschutzimplikationen verbunden und die Verfahren sind auch nicht unangreifbar. Dinge können abhandenkommen, unter leerem Akku leiden, kaputtgehen oder andere technische Unzulänglichkeiten aufweisen.

Um ein höheres Sicherheitsniveau zu erreichen, dienen solche Passwortalternativen daher meist nur als zweiter Faktor. Was bei ausgesuchten und besonders schutzwürdigen Diensten und Transaktionen sehr sinnvoll ist und dort auch gut funktionieren kann, wäre aber als genereller Ausweg aus der Passwortproblematik ebenfalls heikel. In der breiten Anwendung wird der ständig notwendige Zugriff auf ein zusätzliches Token oder eine zusätzliche Autorisierung schnell lästig, das vermeintlich prädestinierte Smartphone leidet unter einer Flut mehr oder minder dienstspezifischer Apps und wird zudem zum Single Point of Failure (SpoF) oder auch zum zentralen Ziel fortgeschrittener Attacken.

Als Nebeneffekt wird die Bedeutung des – ohnehin als schlecht angesehenen – Passworts oft geschmälert: Es wird entweder gleich nur als PIN implementiert oder darf vom Benutzer ohne schlechtes Gewissen „einfach“ gewählt werden, weil ja der zweite Faktor die Sicherheit bringen soll. Gern erhebt man dann auch (zumindest bei weniger bedeutsamen Diensten) nach einmaliger Zwei-Faktor-Authentifizierung (2FA) sein Gerät oder seinen Browser zum „Trusted Device“ und meldet sich fortan gar nicht mehr ab und wieder an – außer vielleicht am Gerät, was bei vielen Smartphones die Zugriffs-Sicherheit noch immer auf eine kurze PIN reduziert, die noch dazu oft und in fragwürdiger Umgebung eingetippt wird.

Abgesehen davon sind all diese Systeme im Vergleich zu einer reinen Passwortabfrage teuer, aufwendig und fehleranfällig. Da frage ich mich schon, ob es nicht sinnvoller ist, in der breiten Anwendung weiterhin auf Passwörter zu setzen und lieber verstärkt dafür zu sorgen, dass diese eine gute Qualität aufweisen und möglichst dienstspezifisch bleiben. Ja, das erfordert Schulungen, Hilfestellungen (etwa durch Passwortmanager) und technische Kontrollen. Abgesehen von Letzteren muss man die aber nur einmal „im Benutzer implementieren“ statt in jedem einzelnen Dienst und jeder einzelnen Software.