Passwortlosigkeit: Erwachsen werden

Was ist die IT-Industrie doch erwachsen geworden! Nur wenig erinnert noch an die Zeiten, als die erste Generation von Technikpionieren den frischen Sandkasten namens Internet für sich entdeckte – ganz unbeschwert und ohne Bammel vor bösen Jungs und fiesen Angriffen. Heute tragen die Pioniere von damals Maßanzug, sind CEOs, CTOs oder zumindest Senior Cloud Technology Evangelists. Den Sandkasten von damals gibts nicht mehr, da steht heute ein Rechenzentrumsmonstrum, eingezäunt und gut gesichert.

Nur in einem Punkt haben wir alle uns eine kindliche Naivität bewahrt: Wenn es darum geht, wie wir uns im Internet anmelden, vertrauen wir am liebsten auf ein Konzept aus Sandkastenzeiten: "Ich flüster dir jetzt ein Geheimnis, das darfst du aber niemandem erzählen. Nur wenn ich das morgen aufsage, darfst du die Tür aufmachen." Kennwörter sind populär bei Nutzern und bei Entwicklern, denn beide sind überzeugt, dass das Konzept einfach, beherrschbar und sicher ist, wenn man sich nur Mühe gibt – und so kämpfen die Nutzer mit Passwortmanagern gegen das Chaos im Kopf, die Entwickler mit allerlei schwerem Geschütz gegen Brute-Force-Angriffe und Phishing. Zweite Faktoren sind aktuell der beste Weg, um sich trotz Kennwörtern halbwegs sicher durchs Internet zu bewegen. Ab Seite 16 erfahren Sie, wie das allen Widrigkeiten trotzend bestmöglich gelingt.

Aber letzten Endes müssen wir alle uns eingestehen, dass man aus Mettwurst kein Marzipan macht – und aus geflüsterten gemeinsamen Geheimnissen kein zeitgemäßes Loginverfahren. Doch was sind die Alternativen? Wie immer bei den großen digitalen Fragen unserer Zeit hat auch in diesem Fall die EU-Kommission eine technisch unausgegorene und problematische Idee im Angebot: Was die EUid leisten soll und welche neuen Probleme sie bei der Gelegenheit schafft, lesen Sie ab Seite 144.

Der bisher aussichtsreichste Kandidat, das Kennwort eines Tages abzulösen, ist FIDO2, weil kryptografisch sicher, dezentral und mittlerweile auch erprobt. Weil fast alle Browser und Geräte FIDO2 ganz ohne teure Sticks beherrschen, ist der Weg frei für ein Login ohne Passwort: Handy, Tablet, Notebook und PC sind stets zur Hand und könnten schon heute die Generalschlüssel zu unserer digitalen Identität werden – wenn nur mehr Dienste mitmachten. Bauchgefühl und nostalgische Erinnerungen haben jetzt mal Sendepause: Wer mit den Großen spielen will, braucht Kryptografie. Die Zeit geflüsterter gemeinsamer Geheimnisse ist vorbei.