Passwort: Goodbye

Manches überdauert viel länger, als man erwartet hätte: Creme Puff etwa, eine Hauskatze aus dem texanischen Austin, wurde erstaunliche 38 Jahre und 3 Tage alt. Ebenfalls steinalt, aber nicht totzukriegen, ist das Passwort. Als man es im 16. Jahrhundert im militärischen Bereich als Legitimation nutzte, um passieren zu dürfen, ahnte wohl niemand, dass es rund 500 Jahre später den Facebook-Account oder den Webmail-Zugang schützen würde.

Doch in 500 Jahren hat sich einiges getan: Es gibt Phishing, Trojaner und viele weitere Angriffe auf Passwortsicherheit. Um es Cyberganoven nicht leichter als nötig zu machen, nutzt man für jeden Dienst ein anderes Passwort – möglichst lang und kompliziert. Das kann sich dann nur noch der Passwortmanager merken. Und dann ist da auch noch die Zwei-Faktor-Authentifizierung. Sie drückt den Nutzern die Verantwortung auf: Wer kein 2FA-Verfahren einrichtet, ist selbst schuld, wenn der Account gehackt wird.

Es ist höchste Zeit, dass sich das ändert. Mit Passkeys gibt es einen sicheren Nachfolger für das Passwort. Anstelle auf Zeichenfolgen wie "CremePuff123" fußt er auf moderner Public-Key-Verschlüsselung. Zudem ist er Phishing-resistent und kommt daher ohne 2FA aus. Zum Einloggen legt man den Finger auf den Fingerabdrucksensor und fertig. Die Technik ist da und steckt in fast allen Betriebssystemen und Browsern (siehe FAQ auf S. 164).

Der Haken: Aktuell ermöglichen nur eine Handvoll Webdienste und Apps das Einloggen per Passkey, darunter immerhin die Dienste von Google und Microsoft. Nun sind die anderen Anbieter am Zug. Denn auf ein individuelles, langes und kompliziertes Kennwort zu bauen, für dessen Sicherheit niemand garantieren kann, ist gefährlich und nicht mehr zeitgemäß.

Jetzt müssen Sie mithelfen: Mailen Sie den Betreibern der fünf Webdienste, die Ihnen am wichtigsten sind. Fragen Sie nach, wann Sie sich dort mit Passkeys einloggen können, damit der Bedarf erkannt wird. Vielleicht können wir dem steinalten Passwort dann bald Goodbye sagen.

Ronald Eikenberg