wissen.de Artikel

Neue Authentifizierungsmethode: Hackern den Riegel vorschieben

Die Zahl der passwortgeschützten Online-Konten pro Kopf steigt weiter deutlich an und mit ihnen die Anzahl der notwendigen Passwörter: Passwörter für Bankgeschäfte, zum Abrufen von E-Mails, den Einkauf, für soziale Netzwerken oder den Arbeitsplatz. Und immer häufiger versucht jemand, Passwörter abzufangen oder zu erraten und in krimineller Absicht einzusetzen - in der Regel mit finanziellem Schaden für die Nutzer. Wie können sich Privatpersonen sicher davor schützen? Eine neue Methode soll Hackern den Riegeln vorschieben.

ABO, 04.11.2020

Für jedes Benutzerkonto ein eigenes, individuelles Passwort generieren, das stellt für viele Menschen eine Herausforderung dar, Sie wollen sich nicht ständig neue, komplexe Kennwörter merken müssen.

iStock.com, HYWARDS

Längst sind unsere Handys und andere mobile Geräte leistungsfähige Computer – mit einer Menge an gesammelten Daten von vertraulichen E-Mails bis hin zum Bankkontostand. Damit erhöht sich auch das Risiko, sich Viren, Trojaner und andere Schadprogramme einzufangen oder von außen gehackt zu werden. Schaffen sich Hacker Zugang zu privaten und beruflichen Informationen, verursachen sie oft erheblichen Schaden. Dennoch sichern viele Nutzer ihre Konten mit viel zu schwachen Passwörtern, die oft auch noch für mehrere Konten herhalten müssen: Der durchschnittliche Nutzer hat angeblich über 20 passwortgeschützte Accounts, nutzt aber nur fünf unterschiedliche Passwörter.

Wie kommen Kriminelle überhaupt an Passwörter heran?

Hacker benutzen meist zwei Techniken, erklärt Stephan Wiefling von der Hochschule Bonn-Rhein-Sieg (H-BRS): Zu der ersten gehören massive sogenannte Datenbankleaks. Dabei werden beispielsweise bei „LinkedIn“, „Adobe“ oder „MySpace“ ungenügend geschützte Kundendaten einschließlich des Passworts gestohlen. Mit E-Mail-Adresse und Passwort probieren die Hacker dann mit automatisierten Verfahren, ob diese Kombination auch auf anderen Webseiten funktioniert. „Credential Stuffing“ heißt diese Vorgehensweise, die allein von Online-Dienstleister Akamai täglich 250 Millionen Mal registriert wird.

Die zweite Methode ist das Raten von Passwörtern – klingt auf den ersten Blick harmlos, hat aber dem Experten zufolge zunehmend verblüffenden Erfolg. „Der Erfolg liegt bei 70 Prozent schon bei weniger als 100 Rateversuchen“, erklärt Wiefling. Die Ratemethode basiert auf Annahmen und vorhandenen Daten zu einer Zielperson – so wie beispielsweise Namen oder Geburtsdaten von Angehörigen, vielleicht sogar bereits bekannte Passwörter oder den Namen des Haustieres. Danach berechnet der Computer aus statistischen Annahmen eine Liste möglicher Passwörter, die am wahrscheinlichsten gewählt wurden.

Neues System erkennt auffälliges Verhalten

Damit Privatpersonen sich in Zukunft möglichst einfach vor solchen Hackertechniken schützen können, hat Wiefling eine neue Schutzmethode erarbeitet. Hierbei erkennt das System den rechtmäßigen Nutzer beim Einloggen als Anwender - alle anderen jedoch scheitern. „Es geht um risikobasierte Authentifizierung, kurz RBA“, erklärt Wiefling das Prinzip: Demnach akzeptiert eine Webseite die Eingaben von Nutzername und Passwort - solange das System keine Auffälligkeiten erkennt. Nimmt das System hingegen ein auffälliges Verhaltens bei der Nutzung wahr, fragt es nach einer zweiten Anmeldung.

Verdächtig ist sogenanntes abweichendes Verhalten: Verwendet eine Person beispielsweise ein bislang ungenutztes Gerät, meldet sich an einem ungewöhnlichen Ort und vielleicht zu einer noch ungewöhnlicheren Zeit mit diesen Anmeldedaten an, interpretiert das System dies als abweichendes Verhalten und verlangt eine Bestätigung der Eingaben von Nutzernamen und Passwort.

Einfach, komfortabel und zuverlässig

Diese sogenannte risikobasierte Authentifizierung ist damit für Nutzer sehr komfortabel, da sie nur einmal das Passwort eingeben, um von der Webseite akzeptiert zu werden - sofern nichts Ungewöhnliches auffällt. Dass dieser Schutz besonders einfach zu installieren ist, bestätigt auch eine Laborstudie mit knapp 70 Probanden: Sie nehmen laut Wiefling die neue Methode als signifikant sicherer wahr als eine rein passwortbasierte Authentifizierung. Konkret bevorzugen sie die neue Authentifizierung für Webseiten mit persönlichen Daten wie etwa Social-Media-Dienste oder Online-Shopping.

Noch vorsichtiger gehen aber viele Nutzer mit Webseiten mit sehr hohen Sicherheitsanforderungen wie beim Online-Banking um. In einer zweiten Studie zeigte sich deshalb, dass die Probanden für diese Webseiten eine herkömmliche Zwei-Faktor-Authentifizierung (2FA) vorziehen. Hierbei meldet sich der Nutzer grundsätzlich immer zweimal mit zwei verschiedenen Merkmalen – beispielsweise Passwort und Einmal-PIN – an, bis das System sie akzeptiert.

Aber welches Passwort ist sicher?

Der Experte betont, dass eine solche Sicherung aber nur dann schützt, wenn auch das Passwort möglichst sicher gewählt ist. Wiefling empfiehlt dafür Passwort-Manager, den manche Internetbrowser direkt anbieten, um ein Passwort zu erstellen. Dabei müsse nicht jedes Passwort unendlich kompliziert sein, so der Experte: Ein längerer Satz wie „Montags arbeite ich oft sehr gerne“ bringe meist bessere Sicherheit als schwer merkbare, dafür aber kürzere Zeichenkombinationen wie „$Le90pch“.

Außerdem sollte kein Passwort für mehrere Internetdienste benutzt werden, rät Wiefling. So entsteht eine Fülle an Passwörtern, die in einem Online-Safe für Passwörter gespeichert werden können, wo sie automatisch verschlüsselt werden. Nutzer müssen sich dann nur noch ein einziges Passwort merken: Es öffnet den Safe und entschlüsselt die Passwörter.