Werden Passwörter und PINs bald überflüssig sein?

Passwörter und PINs sind ja ganz nett. Aber seien wir doch mal ehrlich. Für jeden halbwegs talentierten Hacker ist es ein leichtes sie auszulesen und zu nutzen. Etwas sicherer wird es da schon mit biometrischen Daten. Der Fingerabdruck-Scan beispielsweise ist inzwischen in weiten Teilen der Informationstechnologie gang und gäbe. Es gibt ihn bekanntlich auch bereits als Hardware-Komponente an vielen PCs und Laptops für den privaten Gebrauch. Weitere Möglichkeiten, wie z.B. die Iris-Erkennung sind ebenfalls schon lange erforscht und entwickelt, aber haben es bisher eher auf Systeme im unternehmerischen Umfeld geschafft. Diese Möglichkeiten, so einzigartig sie auch sind, haben allerdings einen Makel: die Informationen werden sich nie ändern, da sich sowohl der Fingerabdruck sowie auch die Iris von der Geburt an nicht weiterentwickeln.

Eine neue Technologie ergänzt jetzt die Möglichkeiten, wie man mit biometrischen Daten die gespeicherten Informationen auf seinem Medium sichern kann. Vor einigen Tagen hat der „New Scientist“, von einer Gruppe Studenten der National Chung Hsing University in Taichung in Taiwan berichtet, die eine Möglichkeit entwickelt haben, wie man den Herzschlag eines Menschen extrahieren und anhand der individuellen Impulse, eine ziemlich eindeutige, sich nie wiederholende Identifizierung des Nutzers, gewährleisten kann. Das könnte dazu führen, dass die herkömmlichen Identifizierungsabfragen, die wir heute kennen, tatsächlich bald obsolet sein werden.

Wie das geht? Mithilfe eines Elektrokardiogramms (EKG) ermitteln die Forscher über die Handfläche oder den Daumen den Herzschlag und transferieren die gewonnenen Daten dann in einen Codierungsschlüssel, der eine völlig individuelle Signatur erstellt. Die Signatur, auf Grundlage des Herzschlages, wird dann als Teil eines größeren Verschlüsselungsschemas, zusätzlich in die Sicherheitsabfrage eines Fingerabdrucks mit einbezogen und gilt im Zusammenspiel dann, als ziemlich schwer zu knacken.

Die Zukunft könnte also bald so aussehen, dass wir den Zugang zu unseren Daten mittels Fingerscan öffnen und die Sicherheitsabfrage dann im Anschluss gleichzeitig per Herzschlag verifizieren.

Klingt im Grunde recht einfach. Das Phänomen hinter der Einzigartigkeit ist allerdings eher weniger als leicht zu entschlüsseln. Dass ein Herzschlag niemals gleich dem vorherigen ist, basiert ferner auf den mathematischen Verhältnissen der Chaos-Theorie. Die besagt, dass eine kleine Veränderung der Anfangsbedingungen, zu einem völlig anderen Ergebnis führen kann. Und das hat zufolge, dass tatsächlich jeder „Verifizierungsschlüssel“ von Mensch zu Mensch und von Situation zu Situation niemals identisch sein wird. Somit wird auch der Fundus an Möglichkeiten quasi unerschöpflich sein und unter diesen Aspekten, kann man sich nun zu Recht fragen, ob dieses System vielleicht der nächste Schritt ist, um personalisierte Daten sicherer zu machen.

Wie auch immer. Auf jeden Fall bringt die Forschung der Gruppe viele interessante neue Möglichkeiten zutage. Alphanummerische Passwörter würden bei Erfolg der Vergangenheit angehörigen, user-generierte Passwörter würden nicht mehr so schnell durch Programme ausgelesen werden können, Login-Felder würden wegfallen und gängige Verifizierungen wie z.B. mittels Telefonnummern, die sich im besten Fall alle paar Jahre mal ändern, wären dann auch veraltet und ausrangiert.

Weiterhin könnten ähnliche Bemühungen auch beim Entsperren von Geräten Anwendung finden. So hat zuletzt auch Apple ein Patent zur Gesichtserkennung für iPhones und iPads nach dem Vorbild von Googles „Face Unlock“ im Dezember 2011 eingereicht. Apples Name dafür lautet „Low Threshold Face Recognition“ und soll über die Frontkamera die Gadgets per Gesichtserkennung aus dem Stand-by-Modus befreien, sobald der Nutzer sein Gerät bedienen will.

Ob die Technologie uns vielleicht schon im iPad 3 oder dem nächsten Update von iOS zur Verfügung steht oder nur als weiteres Druckmittel im Patentestreit benötigt wird, zeigt die Zeit. Aber im Sinne der Bemühungen Daten und Zugänge sicherer zu machen, ist die Methode mindestens genauso interessant wie der Finger-Scan und die Herzschlag-Verifizierung.

Dass wir uns derzeit an einem Punkt befinden, an dem alphanumerische Passwörter auf dem Prüfstand stehen, ist eine durchaus nachvollziehbare Entwicklung. Man muss sich nämlich vor Auge halten, dass sich immer mehr Menschen im Web bewegen. Sei es um Online-Banking zu betreiben, seinen E-Mail-Verkehr zu bewerkstelligen, seine Kontakte in einem der unzähligen sozialen Netzwerke zu führen oder um neuerdings Cloud-Speicher für Daten welcher Art auch immer zu nutzen.

Alle diese Dienste bedürfen, einer persönlichen Identifikation. Problematisch dabei ist, dass umso mehr Dienste wir nutzen, umso mehr Passwörter wir uns eigentlich merken müssten. Denn klar ist wer für jeden Dienst, das gleiche Passwort oder auch nur zwei bis drei verschiedene Passwörter für viele Dienste nutzt, der geht ein Sicherheitsrisiko ein. Wer sich allerdings zehn oder mehr Passwörter merken muss, der wird mit der Zeit an seine Grenzen stoßen. Von einer einfachen Usability fehlt dann jede Spur.

Andreas Weck

schreibt seit 2011 für die Netzpiloten und war von 2012 bis 2013 Projektleiter des Online-Magazins. Zur Zeit ist er Redakteur beim t3n-Magazin und war zuletzt als Silicon-Valley-Korrespondent in den USA tätig.


Artikel per E-Mail verschicken
Schlagwörter: , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.