Sicherheitsexperten raten, dass man regelmäßig sein Passwort ändert und dass es nicht zu einfach sein darf. Doch das stellt uns vor Probleme, für die sie keine Ratschläge haben.
Alle halbe Jahre werde ich daran erinnert, wie lange ich schon bei der „Welt“ arbeite. Denn dann meldet sich unsere IT-Sicherheit und fordert mich auf, mein Passwort zu ändern. Die Anforderungen sind komplex: mindestens acht Zeichen, Großbuchstaben und kleine, mindestens eine Zahl. So könnten die Zugänge grundsätzlich relativ sicher sein. Doch meine Passwort-Variation beschränkt sich darauf, dass ich beim immer selben Wort lediglich die Zahl am Schluss ändere: Jetzt bin ich bei 8.
Das sicher Passwort ist Illusion
Bei wohl 95 Prozent meiner Accounts nutze ich dasselbe Passwort – nur die Zahl am Ende variiert. So kann ich mich selbst dort einloggen, wo ich seit Jahren nicht mehr war – ohne dass ich lange überlegen müsste, mit welchem Mädchen ich damals zusammen war, weil ich dessen Name genutzt haben könnte.
Bei aller Komplexität, es gibt kein sicheres Passwort. Will jemand mein Passwort hacken, wird er einen Weg finden: Es gibt Software, die Variationen testet, man könnte Spyware bei mir installieren, oder man könnte meinen Systemadministrator bestechen. Eine gute Möglichkeit ist auch die Funktion „Passwort zurücksetzen“: Die Hürde ist dann eine Sicherheitsfrage, deren Beantwortung einfach sein kann: Oft steckt die Lösung irgendwo in Informationen, die man auf Facebook preisgegeben hat.
Die Konzerne suchen nach Lösungen
Wie können Zugänge sicherer werden? Viele Unternehmen gehen dahin, dass man neben dem Passwort noch eine zweite Verifizierung durchführt. Wenn man sich bei Facebook beispielsweise von einem anderen Land als sonst üblich einloggt, kann es passieren, dass Fotos von Freunden aufpoppen und man darum gebeten wird, diese zu benennen.
Die Grundannahme ist hier, dass ein Hacker die junge Dame von Markos Geburtstag wohl kaum zuordnen kann – aber ich womöglich. Bei Google soll es einen Mechanismus geben, bei dem der Login mit früheren verglichen wird: von wo, mit welchem Gerät und weitere Faktoren, die geheim sind. Hat Google dann das Gefühl, dass dies nicht ich bin, wird gesperrt, und es gibt direkt eine Meldung bei mir.
Ich mache weiter bis „Meinpasswort72“
Für die Zukunft fordern Experten den Abschied vom Passwort. Stattdessen wollen sie die eindeutige Identifizierung über Fingerabdrücke, Augeniris oder Stimmenabgleich. Selbst der E-Personalausweis könnte schon vieles verbessern, nur nutzt ihn keiner. Bis es so weit kommt, werde ich wohl auf der Arbeit munter weiterzählen. Bei meiner Rente wäre die Zahl am Passwort-Ende die 72.