Eine aktuelle Untersuchung beschäftigt sich damit, wie User aus verschiedenen Ländern mit dem Thema Authentifizierung ungehen. Mit bemerkenswerten Ergebnissen.
Maximale Einfachheit und maximale Sicherheit beim Login sind schwer miteinander vereinbar. Foto: flucas - Fotolia.com
Online-Login-Verfahren sind für alle Unternehmen, die darauf angewiesen sind, Banken etwa oder Online-Händler, ein heikles Thema. Sind die Zugangshürden zu lasch, dann fühlen sich einige Konsumenten nicht ausreichend geschützt. Außerdem besteht die Gefahr des illegalen Eindringens. Andererseits schrecken zu aufwändige, mehrstufige Verfahren User auch ab, schließlich soll alles, was aus dem Web kommt, easyst to use sein.
Wie also umgehen mit diesem Dilemma? Um hierfür Anhaltspunkte zu finden, haben Ponemon Institute, Security-Analysefirma aus Traverse in Michigan, und Nok Nok Labs, ein Anbieter von Authentifizierungslösungen aus Palo Alto in Kalifornien, gemeinsam knapp 2000 User zwischen 18 und über 65 Jahren aus den USA, Großbritannien und Deutschland befragt. Es ging um Gewohnheiten, Präferenzen und Wünsche bezüglich Online-Authentifizierungen. Die Ergebnisse bestätigen - auch - einige gängige Klischees.
Viele User in allen drei Ländern wünschen sich eine einheitliche Online-Identität, mit der sie sich auf den unterschiedlichsten Plattformen einwählen können. Verifiziert und verwaltet werden sollte diese Identität von Banken, so die Mehrheitsmeinung.
Nützlich fänden die Befragten eine solche Zentral-Identität vor allem auf Reisen - etwa zum Einloggen ins Internet - oder für die Nutzung Sozialer Netzwerke. Amerikaner und Briten versprechen sich von einer Vereinheitlichung mehr Bequemlichkeit, Deutsche mehr Sicherheit.
Ein guter Weg zum sicheren Passwort Wer sein Passwort nach dieser Vorgehensweise anlegt, kann sicher sein, ein schwer zu knackendes und starkes Passwort zu besitzen (nach Anregungen aus dem Microsoft Safety & Security Center).
Das Safety & Security Center von Microsoft bietet auch die Möglichkeit, ein Passwort auf seine Verschlüsselungsstärke zu testen Hier wurde ein Passwort eingegeben, dass nach der Tabelle in Bild 1 erstellt wurde.
Warum manuell ein Passwort erstellen, wenn es auch dafür Software gibt? Mit der freien Software PWGen werden wirklich sichere und sehr komplexe Passworte erstellt.
Nach einmal die Überprüfung Hier wurde ein Passwort eingegeben, das zuvor mittels des Programms PWGen erstellt worden ist. Allerdings ist der Hinweis wichtig, dass diese Überprüfung allein kein sicheres Passwort garantieren kann.
Die Anmeldung an die Passwort-Datenbank Hier sind alle wichtigen Passworte versammelt und können übersichtlich verwaltet werden.
Wer mit wirklich komplexen unterschiedlichen Passworten arbeitet, kommt um den Einsatz eines Passwort-Managers nicht herum Hier die Open-Source-Lösung KeePass, die durch ihre vielfältigen Möglichkeiten auch sehr gut in Unternehmensnetzwerken eingesetzt werden kann.
Professionelle Lösungen wie die hier gezeigte Lösung Passwort-Depot bieten natürlich noch viel mehr Möglichkeiten Hier steht beispielsweise auch eine umfangreiche Suchmöglichkeit in der Datenbank zur Verfügung.
Vielfältige Möglichkeiten Das Passwort-Depot ermöglicht es, die gesicherten und verschlüsselten Daten auch auf externe Medien auszulagern.
Integration ist wichtig Sollen die Anwender leicht und schnell mit den komplexen Passworten umgehen können, so ist wie hier eine direkte Einbindung in den Browser sinnvoll: Die Nutzer geben dann die Passworte direkt aus dem „Safe“ in die Webseite ein.
Enge Integration in den jeweiligen Browser Die Lösung Robo kann ebenfalls Passworte verwalten, ist aber primär darauf ausgerichtet, den Anwender beim sicheren Ausfüllen von Web-Formularen zu unterstützen.
Master-Passwort Das Master-Passwort wird bei Installation von RoboForm auch daraufhin untersucht, ob es entsprechend sicher und komplex genug ist.
Nach der Installation Roboform kommt auch ins Spiel, wenn sich der Anwender über Web auf einem anderen Windows-System anmelden will.
Direkte Erinnerung Das Programm wird direkt in den Browser integriert – die funktioniert neben dem Internet-Explorer auch im Firefox und unter Opera.
Zusatzfunktionen Das eigentliche RoboForm-Programm stellt dem Anwender neben der reinen Verwaltung von Passworten noch andere Funktionen zur Verfügung, so auch die Möglichkeit Notizen sicher abzuspeichern.
Deutsche sind misstrauisch
US-Amerikaner bevorzugen das Smartphone zur Überprüfung von Identitäten. Foto: Nokia
Uneins sind sich die Konsumenten auch darüber, welches Gerät sie am liebsten zum Check ihrer Identität im Falle des beschriebenen Single-Sign-Ons nutzen würden: US-Amerikaner bevorzugen ihr Mobile, Briten RFID-Chips, Deutsche ein biometrisches Verfahren.
Wenn Konsumenten einer Organisation Vertrauen, dann würden sie sich dort generell am liebsten über ein Verfahren zur Stimm- oder Gesichtserkennung identifizieren. Am unbeliebtesten sind in den USA und in Großbritannien Iris-Scans, in Deutschland Fingerprint-Scans.
Die Mehrheit der Antwortenden findet es aber generell akzeptabel, dass Banken, Kreditkartenfirmen, Krankenkassen, Telkos oder Internet Service Provider biometrische Verfahren einsetzen wollen, um Identitäten zu checken.
Sichere Identifizierung und Authentifizierung halten die User in allen Ländern vor allem dann für wichtig, wenn sie Geräte mit anderen teilen (müssen), beispielsweise den Computer in der Hotellobby, weil sie ohne eigenen PC unterwegs sind.
Bemerkenswert nah am Klischee: Die befragten User haben generell hohes Vertrauen in die Sicherheit der Login-Verfahren auf jenen Seiten, die sie regelmäßig nutzen. Für die Deutschen gilt das allerdings nicht.
Das Facebook-Konto besonders gut schützen Was für das Mail-Konto gilt, trifft auch für Facebook zu. Ein guter Schutz für beide Konten ist extrem wichtig. Denn sobald ein Angreifer Zugang zu Ihrem Facebook-Konto hat, kann er sich damit auch bei sehr vielen anderen Diensten anmelden. Das geht auf einer Webseite immer dann, wenn neben dem normalen Login-Feld auch „Anmelden mit Facebook“ steht. Sie Schützen Ihr Facebook-Konto gut gegen Passwort-Diebe, wenn Sie auch hier eine Zwei-Wege-Authentifizierung per Handy einrichten. Melden Sie sich dafür in Facebook an und klicken Sie dann auf den Pfeil oben rechts neben dem Wort „Startseite“. Wählen Sie dort „Konteneinstellungen, Sicherheit (linke Seite), Anmeldebestätigung (Mitte)" und aktivieren Sie diese. Ein Assistent führt Sie durch die nächsten Schritte. Dadurch wird immer dann ein neuer Code auf Ihr Handy geschickt, wenn Sie sich von einem unbekannten Gerät (PC, Tablet, Handy) aus bei Facebook anmelden. Diesen Code nutzen Sie als Ihr Log-in-Passwort.
TAN-Generator fürs Online-Banking Die TAN (Transaktionsnummer) beim Online-Banking ist im Grunde genommen auch ein Passwort - eben eines, das nur einmal gültig ist. Da die TAN die Richtigkeit einer Überweisung belegt, sollten Sie ein sicheres TAN-Verfahren nutzen. Den besten Schutz liefern sogenannte TAN-Generatoren, die es für 10 bis 20 Euro zu kaufen gibt. Beim Online-Banking zeigt die Banking-Website dann Details zur Überweisung auch mit einem Leuchtcode (Flickercode) am Monitor an. Es erscheinen eine Reihe von weißen und schwarzen Blöcken. Der TAN-Generator hat auf seiner Rückseite Fotozellen, die diesen Leuchtcode lesen. Anschließend gibt das Gerät die nötige TAN aus. Zwar gibt es schon einen Virus, der die Nutzer solcher Geräte austricksen kann. Allerdings muss der Nutzer schon sehr mitarbeiten, damit der Virus erfolgreich ist. Denn der Schädling fordert ihn auf, eine Testüberweisung per TAN-Generator durchzuführen. Dass die „Testanweisung“ aber ein Diebstahlsversuch ist, kann einem misstrauischen Anwender schon auffallen.
Passwort-Manager für Android - Keepassdroid Damit Sie Ihre Passwörter auch auf dem Smartphone gut verschlüsselt immer dabei haben können, nutzen Sie den Passwort-Tresor Keepassdroid. Wenn Sie die App das erste Mal starten, schlägt es ihnen vor, eine neue verschlüsselte Datenbank im angegebenen Pfad anzulegen. Klicken Sie hier einfach auf „Erstellen“. Auf dem nächsten Bildschirm müssen Sie ein sicheres Verschlüsselungs-Kennwort für Ihre Datenbank vergeben – mindestens 8 besser 12 möglichst zufällige Zeichen (Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen). Danach wiederholen Sie es und tippen auf „OK“, um die Datenbank anzulegen und zu öffnen. Die Datenbank wird durch die AES-Verschlüsselung geschützt.
WLAN-Passwörter und mehr mit Android sichern Android speichert eine Menge Passwörter und Einstellungen im System. Damit Sie diese nach dem Zurücksetzen des Smartphones nicht wieder erneut eingeben müssen, lohnt sich die Speicherung im Internet. Allerdings sind die nötigen Einstellungen nicht bei allen Handys automatisch richtig gesetzt. So kontrollieren Sie das Sichern der Passwörter im Netz: Sie finden die Option bei Android 4 unter „Einstellungen, Sichern & zurücksetzen, Meine Daten sicher“. Geben Sie dort auch das „Sicherungskonto“ an und aktivieren Sie „Automatische Wiederherstellung.“ Bei Android 2.3 finden Sie die Option bei „Einstellungen, Datenschutzeinstellungen, Meine Daten sichern“. Einen kompletten Überblick darüber, was Android alles speichert, gibt es leider nicht. In der Android-Hilfe stehen immerhin diese Angaben: „Bei Aktivierung dieser Option werden zahlreiche persönliche Daten automatisch gesichert, darunter Ihre WLAN-Passwörter, Browser-Lesezeichen, eine Liste Ihrer über Google Play installierten Apps, die Begriffe, die Sie über die Bildschirmtastatur zum Wörterbuch hinzugefügt haben, sowie ein Großteil Ihrer benutzerdefinierten Einstellungen. Diese Funktion kann auch von einigen Apps von Drittanbietern genutzt werden, sodass Sie Ihre Daten wiederherstellen können, wenn Sie eine dieser Apps erneut installieren.“
Online-Passwort-Manager für den PC Der Online-Passwort-Manager Lastpass merkt sich alle Ihre Passworte und füllt Sie im Browser auf Wunsch auch aus. Damit können Sie für jeden Dienst ein anderes und dazu noch extrem kompliziertes Passwort wählen. Lastpass erstellen Ihnen auf Wunsch auch beliebig komplizierte Passwörter. Sie selbst müssen sich nur noch ein Passwort merken, nämlich das Master-Passwort für Lastpass. Es öffnet den Online-Passwort-Tresor. Lastpass gibt es als kostenlose Browser-Erweiterung für Internet Explorer, Firefox, Safari, Chrome und Opera. Im Laufe der Installation werden Sie aufgefordert ein Lastpass-Konto anzulegen, dass Sie mit dem sicheren Master-Kennwort schützen. Am Ende können Sie alle bereits in Ihrem Browser gespeicherten Anmelde-Daten in Ihre Lastpass-Datenbank importieren lassen.
Der Passwort-Satz macht das Kennwort kompliziert Wenn Sie sich ein kompliziertes Passwort ausdenken und merken möchten, dann können Sie einen einfach zubehaltenen Satz wählen und gegebenenfalls um eine Zahl ergänzen. Denn ein gutes Passwort hat Großbuchstaben, Kleinbuchstaben und Zahlen. Idealerweise setzen Sie auch noch ein Sonderzeichen hinzu. Das kann dann so aussehen: „Alle meine Entchen schwimmen in dem See und das schon seit 1975#“ ergibt das Passwort: „AmEsidSudss1975#“.
Verwenden Sie Sonderzeichen mit Bedeutung Das gute Passwort enthält auch zumindest ein Sonderzeichen. Damit Sie sich das Passwort aber trotz dieses Zeichens einfach merken können, weisen Sie ihm eine Bedeutung zu. So kann etwa „+“ für gut stehen und § für Recht. In Verbindung mit dem Passwort-Satz, der im letzten Bild vorgestellt wurde, könnte ein Passwort so aussehen: Wi§h-ia+d = „Wer immer Recht hat - ist auch gut drauf“ Allerdings sollten Sie Sonderzeichen vermeiden, die unter Umständen nicht auf allen Rechnern verfügbar sind, etwa ä, ö, ü, ß. Unbedenklich sollten etwa diese Zeichen sein: #, +, -, !, §, $, %, &.
Meiden Sie die Passwortspeicherung von Browsern Es ist zugegebener Maßen bequem, wenn der Internet-Browser sich alle Log-in-Daten merkt. Doch zumindest bei den meisten älteren Versionen der gängigen Browser können Viren diese Passwörter stehlen. Zudem können Tools wie der Elcomsoft Internet Password Breaker die Kennwörter auslesen.
iPhone- und iPad-Backup verschlüsseln Wer ein iPhone oder iPad besitzt, hat dort in der Regel bereits etliche Passwörter eingegeben. Das sind natürlich die WLAN-Passwörter, können aber auch alle Log-in-Daten sein, die Sie auf Webseiten eingeben. Denn auch der Browser auf iPhone und iPad speichert auf Wunsch diese Log-ins. Allerdings nur auf dem Gerät selber. Das Backup der Daten, das Sie mit iTunes am PC vornehmen können, hat die Codes standardmäßig nicht mit dabei. Wenn Sie das iPhone mal zurücksetzen oder auf ein neues Gerät umziehen, fehlen die Kennwörter entsprechend. Das lässt sich aber verhindern, wenn Sie das Backup am PC selber mit einem Passwort schützen. Dann wandern die WLAN-Kennwörter ebenso wie alle anderen Codes mit in die Sicherung. So geht’s: Starten Sie iTunes am PC und verbinden Sie Ihr Apple-Gerät mit dem PC. Wählen Sie es dann in iTunes aus. Ab Version 10 von iTunes geht das oben rechts. Aktivieren Sie auf der Übersichtsseite „Backup, Automatisch sichern, Dieser Computer, Lokales Backup verschlüsseln“.
Zwei-Wege-Authentifizierung fürs Mail-Konto Schließlich darf die oben bereits erwähnte Zwei-Wege-Authentifizierung fürs Mail-Konto nicht fehlen. Hier noch mal die Gründe und die Anleitung für Gmail: Schützen Sie Ihr Mail-Postfach ganz besonders gut. Denn wenn ein Krimineller Zugriff auf Ihre Emails hat, hat er auch Zugriff auf fast alle anderen Online-Dienste. Denn bei den meisten Diensten kann man sich, wenn man das Passwort nicht kennt, mit nur einem Klick ein neues Passwort oder einen Passwort-Link per Mail zusenden lassen… Grund genug, fürs Postfach nur den besten Schutz zu wählen und das ist die Zwei-Wege-Authentifizierung. Leider unterstützen das bisher nur wenige Freemail-Anbieter. Eine löbliche Ausnahme ist hier Gmail. Haben Sie dort einmal diese Methode der Authentifizierung gewählt, dann kann sich ein neues Gerät, etwa ein anderer PC oder ein Smartphone, aber auch eine neue App oder ein neuer Browser nur mit einem zusätzlichen Passwort anmelden (anwendungsspezifisches Passwort). Dieses weitere Passwort sendet Ihnen Google zu. Der Clou daran: Der Versand des Passworts erfolgt auf einen anderen, auf einem zweiten Weg. Es kommt also nicht an dem PC an, an dem Sie sich gerade einloggen, sondern über ein Handy per SMS über ein Festnetztelefon per Ansage oder über eine App auf dem Smartphone. So aktivieren Sie die Zwei-Wege-Authentifizierung: Loggen Sie sich auf www.gmail.com in Ihr Gmail-Postfach ein, klicken Sie auf den kleinen Pfeil rechts oben und wählen Sie „Konteneinstellungen -> Sicherheit -> Bestätigung in zwei Schritten -> Bearbeiten“. Es startet ein Assistent, der Sie Schritt für Schritt durch die Einrichtung führt. Sie benötigen dabei bereits das Handy oder das Festnetztelefon, um den ersten Code per SMS oder Sprachnachricht zu empfangen. Sie erhalten anschließend eine Mail mit den Links zu allen nötigen Konfigurationsseiten. So kommen Sie an die Stelle, an der Sie sich die „anwendungsspezifischen Passwörter“ generieren lassen können, ebenso wie eine Liste mit Ersatzcodes.
Viele vergessen ihr Password
Die Kombination aus Passwort und einem Pin ist vielen Usern nicht sicher genug. Foto: Fotolia/PhotographyByMK
Wenig stringente und praktische Login-Verfahren halten die Menschen in der Regel nicht davon ab, sich durch sämtliche Schritte durchzuklicken, um schließlich doch Zugang zu erhalten.
Mit Ausnahme der Deutschen: Sie steigen aus, sobald es zu umständlich wird. Gleichzeitig misstrauen sie aber Webseiten, deren Zugang ausschließlich durch ein Passwort geschützt ist.
Und noch eine - erwartete - deutsche Eigenheit konnte die Untersuchung verifizieren: User zwischen Flensburg und Garmisch haben eine ausgeprägte Abneigung dagegen, Namen, Mailadressen und Telefonnummern in irgendwelche Antwortfelder zu tippen. Engländer und vor allem US-Amerikaner sind hier wesentlich angstfreier.
Wenn ein Login scheitert, dann in der Regel, weil der User Benutzername oder Passwort vergessen hat oder sogar die Antwort auf eine der üblichen Sicherheitsfragen vergessen hat ("Wie lautet der Mädchenname der Mutter?").
Die Ergebnisse der Untersuchungen sollten Anbieter ermutigen, im Schulterschluss Lösungen zu einheitlichen Login-Daten und ihrer zentralen Verwaltung voranzutreiben. Wenn am Ende tatsächlich Banken diejenigen sind, die diese Daten verwalten, dann käme ihnen das mehr als gelegen, weil damit auch neue mobile Banking-Lösungen leichter umsetzbar sind.