D.Lehmann
Login-Sicherheit
Quelle
"Computer login" by Christiaan Colen/flickr.com (CC BY-SA 2.0)

Ob in Foren, sozialen Netzwerken, für den E-Mail-Login oder beim Online-Shopping: Wer solche Angebote im Internet verwenden möchte, kommt kaum ohne entsprechende Nutzer- oder Kundenkonten aus. Dementsprechend schnell sammeln sich Zugangsdaten und Passwörter an. Beim Verfasser dieses Textes sind es bereits stolze 126. Will man da noch die Grundregeln der Passwortsicherheit beachten, kann das schon in Arbeit ausarten. Erst recht, wenn sich Empfehlungen auch mal ändern: Während manche IT-Sicherheits-Experten am „Ändere dein Passwort“-Tag am 1. Februar festhalten, sagt mittlerweile selbst das BSI (Bundesamt für Sicherheit in der Informationstechnik, dass ein sicheres Passwort bedenkenlos über mehrere Jahre verwendet werden könne. Eine Änderung sei nur ratsam, wenn ein Verdacht auf Missbrauch besteht.

Zwei-Faktor-Authentifizierung ist entscheidend

Viel wichtiger sei mittlerweile die Art des Logins. Statt sich nur mit E-Mail oder Nutzernamen und Passwort anzumelden, ist es gerade bei sensiblen Konten (bei denen beispielsweise Bankdaten ins Spiel kommen) ratsam auf die Zwei-Faktor-Authentifizierung (2FA) zu setzen. Der zweite Faktor stellt eine extra Hürde dar, mit der der Login bestätigt werden muss. Das kann beispielsweise ein per SMS an das Smartphone übermittelter Code sein, der dann zusätzlich eingegeben werden muss. Oder die Kopplung mit einem bestimmten Gerät oder einer eigenständigen App, auf dem der Anmeldeversuch authentifiziert wird.

Eine bequeme Lösung dafür können Fido2-Sticks (oder auch Security Keys, also „Sicherheitsschlüssel“) sein. Je nach Hersteller, versprechen sie sogar ein passwortloses, aber sicheres Anmelden per Tastendruck. Optisch ähneln sie herkömmlichen USB-Sticks, die man genauso einfach ans gewünschte Gerät anschließt. Achtung: Prüfen Sie vorher, welche Anschlüsse bei Ihrem gewünschten Gerät vorhanden sind und welche die verschiedenen Anbieter unterstützen. Teilweise ist eine Verbindung auch über Bluetooth oder NFC möglich.

Virtueller Passwortdiebstahl ist dadurch unmöglich

In jedem Fido2-Stick ist ein sogenannter Krypto-Schlüssel enthalten, den Sie sich wie eine geheime zufällige Zeichenfolge vorstellen können. Kommt es zum Login, wird dieser vom Webdienst abgefragt und geprüft. Damit nicht jeder, der im Besitz des Sticks ist, diesen verwenden kann, kann er zusätzlich mit einer PIN oder einem Fingerabdruck geschützt werden. Der große Vorteil dabei ist, dass ein virtueller Passwortdiebstahl (ob durch Phishing, Trojaner oder Serverangriffe) nicht mehr möglich ist.

Der Nachteil auf der anderen Seite ist natürlich, dass Sie diesen Stick im Bedarfsfall immer dabei haben müssen. Viele stecken ihn deshalb an den Schlüsselbund. Damit ist er auch am ehesten Vergleichbar: Ein analoger Schlüssel, so wie für die Wohnung oder das Auto auch, nur eben für virtuelle Dienste.

Die häufigsten Fragen zu Fido2 hat das Computer-magazin c’t hier beantwortet: Zum c’t-Link

Verschiedene Sticks hat Golem.de hier getestet: Zum Golem-Link