Bereits Ende des Jahres soll die Alternative zu Passwörtern starten. Das ist das Ziel der FIDO-Alliance, bei der Unternehmen wie Microsoft, Google und Apple, aber auch Behörden wie das Bundesamt für Sicherheit in der Informationstechnik Mitglieder sind. Damit sollen Log-ins so leicht wie das Entsperren vom Smartphone werden.

Technisch funktioniert das auf dem Prinzip der asymmetrischen Verschlüsselung, bei der zwei Datensätze, Schlüssel genannt, bei der Zugangsabfrage miteinander kombiniert werden. Die Anbieter haben nur einen der beiden benötigten Schlüssel und damit nur die Hälfte der benötigten Zugangsdaten.

Die andere, ohne die ein Log-in unmöglich ist, verlässt das Smartphone oder den Computer nicht. Das heißt, dass Massenhacks, bei denen Passwortdatenbanken kopiert werden und damit Millionen von Passwortdaten leaken, nicht mehr möglich sein werden.

Auch auf den Endgeräten wird die Sicherheit erhöht. Eine Möglichkeit, um diese Schlüssel auf Smartphone oder Computer zu speichern, ist die sogenannte Secure Enclave, die alle großen Hersteller in ihre Geräte einbauen. Das sind quasi in die Hardware eingebaute Tresore, auf die (Schad-)Software nicht zugreifen kann.

Markus Dürmuth, Informatikprofessor an der Leibniz Universität Hannover, sagt, dass diese Technologie ein sehr hohes Maß an Sicherheit bietet. Die theoretischen Angriffsmöglichkeiten seien sehr viel als bei bestehenden Passwort-Systemen. Für die Personen, denen selbst dieses Risiko zu hoch ist, gebe es außerdem zusätzliche Hardware-Tokens, eine Art USB-Stick, die statt eines Smartphones verwendet werden können. (*)

Ein größeres Problem stellt die Ausfallsicherheit dar. Wer sein Telefon und damit auch die eingebaute Secure Enclave verliert, sperrt sich auch aus sämtlichen Accounts aus. Eine Möglichkeit, das zu umgehen, plant zum Beispiel Apple, indem die Schlüssel optional auch in der Cloud gespeichert werden können. Das wäre dann aber wieder ein relevantes Angriffsziel, weil dort die Schlüssel vieler Nutzenden an einem Ort aufbewahrt würden.

Doch sei es möglich, diese Speicherung so zu gestalten, dass sie sicher ist, sagt Dürmuth. Eine ähnliche Technologie werde heute schon von Passwortmanagern verwendet. Er zeigt sich, dass die Hersteller gute Vorkehrungen treffen werden, auch wenn das prinzipielle Problem weiter bestehe.

Ein anderes Einfallstor könnte die Schlüssel auf den Smartphones betreffen, sollten diese biometrisch, also per Fingerabdruck oder Gesichtsscan erreichbar sein. Erpresser oder Strafverfolgungsbehörden könnten relativ einfach erzwingen, die Zugänge zu entsperren. Für alle, die dieses Risiko befürchten, empfiehlt Dürmuth, lieber auf PIN oder Passwort zu setzen, um diese Nachteile zu umgehen.

Der Experte ist zudem überzeugt, dass Passwörter durch FIDO nicht gleich verschwinden werden: "Es würde mich nicht überraschen, wenn diese Übergangsphase sehr lang ist", so der Experte. "Ich würde vermuten, dass wir mit beiden Systemen parallel eine ganze Weile lang leben werden."

(hte)