Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

© Getty Images

Warum Google plötzlich doch nichts mehr gegen Passwörter hat

von Max Biederbeck
Google will seinen Usern nerviges Einloggen ersparen und tut sich mit den führenden Herstellern von Passwort-Managern zusammen. Damit stärkt das Unternehmen eine Technologie, die es eigentlich abschaffen wollte. Einer der Beteiligten hat uns erklärt, warum.

Google plant ein Projekt, das nicht so recht passen will. Eigentlich führt das Unternehmen seit Jahren einen regelrechten Krieg gegen Passwörter. Gerade erst hat es angekündigt, seine Nutzer bald über Sensoren im Smartphone identifizieren zu wollen – anhand von Bildern aus der Frontkamera, GPS-Ortsbestimmung und sogar der Art, wie man tippt. Andere Firmen im Silicon Valley sehen es ähnlich. Facebook lässt uns beim Einloggen öfter mal Bilder von Freunden identifizieren, Apple setzt beim iPhone auf den Fingerabdruck.

Die großen Anbieter sind getrieben von zweierlei: der Angst ihrer User und deren Faulheit. Denn Passwörter sind nun einmal unsicher. Hacker knacken sie regelmäßig, etwa in der aktuellen Einbruchswelle bei Plattformen wie LinkedIn, Twitter, Tumblr, Mypsace und Facebook. Das weckt Befürchtungen bei den Nutzern.

Faul sind sie trotzdem. Noch immer scheinen viele Menschen zu glauben, „12345“ sei ein gutes Passwort, um ihren Account schützen. Die meisten nutzen nur einige wenige Zeichenkombinationen (oder nur eine einzige) für all ihre Online-Accounts. Und ausgetauscht wird schon gar nicht: Trotz der massenhaften Datenleaks der vergangenen Zeit, so bestätigen so ziemlich alle Sicherheits-Fachleute, bleibt man langfristig beim alten Zugangscode. Den man dann auch gerne mal für ein freundliches Gespräch und eine Tafel Schokolade herausrückt.


Und genau deshalb scheint es nicht zu passen, was Google da gerade plant: Bis September soll eine Open-Source-Plattform für Entwickler auf dem Mobilbetriebssystem Android entstehen, die einen gemeinsamen Sicherheitsstandard für App-Hersteller Passwort-Manager ermöglicht. Letztere funktionieren so: Einmal mit Masterpasswort auf dem Smartphone einloggen und los geht’s, alle anderen Zugangscodes sind im „Tresor“ des Managers abgespeichert und werden automatisch abgerufen. Statt also das Passwort als solches abzuschaffen und zu ersetzen, soll es nun doch weiter existieren – und lediglich weitgehend aus der Wahrnehmung der User verschwinden.

Aber kann der automatische Passwort-Manager auf dem Smartphone uns wirklich schützen? Einer der leitenden Entwickler des Projekts YOLO (You Only Login Once), der an der Google-Kooperation beteiligt ist, hat sich im Konferenzraum seines Startups in Paris Zeit genommen, um mit WIRED über diese Frage zu diskutieren. Eines klar vorweg: Dashlane-Mitgründer Alexis Fogel glaubt an die Macht des Passworts, aber nicht daran, wie die meisten es benutzen.

WIRED: Alexis, du bist Passwort-Experte und Unternehmer. Verrätst du mir die totsichere Passwortformel?
Alexis Fogel: Ich habe bei mir gerade heute 600 Accounts gezählt, und ich kenne kein einziges ihrer Passwörter. Selbst wenn ich sie aus unserem Passwort-Manager herauskopieren würde, ich könnte sie nicht ohne weiteres einsehen.

WIRED: Du meinst, Übersicht ist nicht so dein Ding?
Alexis Fogel: Ich meine, dass es unmöglich ist, jedes einzelne unserer Passwörter auswendig zu kennen. Jedenfalls wenn es sich um einzigartige Passwörter handelt. Wenn jemand sagt: Ich kenne meine Zugangsdaten nicht, dann meint er eigentlich: Ich brauche sie nicht, weil jemand den Job des Einloggens für mich übernimmt.


Ein gefälschtes Google wird von uns keine Zugangsdaten bekommen

WIRED: Viele Leute haben immer noch Bedenken, dass Passwort-Manager wie der von Dashlane unsicher sind. Ihr habt ganz schön viel Datenmacht über eure Kunden.
Fogel: Haben wir nicht, du entschlüsselst all deine Passwörter mit einem Master-Passwort, dass nur du kennst. Es liegt nicht auf unseren Servern. Deine Daten gehören dir, wir wollen damit überhaupt nichts zu tun haben.

WIRED: Andere vielleicht schon, euer Konkurrent LastPass ist vor Kurzem Opfer eines Hackerangriffs geworden.
Fogel: Durch einen Sicherheitsforscher, ja. Gestohlen hat der aber nichts. Im Grunde hat er das System durch den Angriff sicherer gemacht.

WIRED: Was ist mit Phishing-Attacken durch gefälschte oder kompromittierte Websites?
Fogel: Wir zeigen Passwörter immer nur auf der passenden Domain an. Unser System erkennt das. Ein gefälschtes Google wird von uns keine Zugangsdaten bekommen. Außerdem beobachten wir den Markt, gibt es Nachrichten zu einem Hack, etwa von Evernote, dann senden wir eine direkte Benachrichtigungen an unsere Klienten und sie können per Knopfdruck reagieren und alle ihre Zugangscodes austauschen.

WIRED: Und wenn ein Angreifer schon in den eigenen Computer eingebrochen ist? Oder durch eine der unzähligen Sicherheitslücken in schlampig entwickelten Apps ins Smartphone?
Fogel: Sagen wir, du bist ein reicher Typ und hast deine Bankzugangsdaten in einem Passwort-Manager wie unserem. Was könnte schlimmstenfalls passieren? Selbst wenn ein Hacker im System ist, kannst du deine Daten jederzeit auch online löschen. Dazu kommen viele aufwändige Verschlüsselungs-Mechanismen. Wir haben soviele Sicherheitsmaßnahmen wie möglich.


Das Passwort ist noch immer die am wenigsten schlechte Lösung von allen

WIRED: Aber…?
Fogel: Aber natürlich gibt es keine hundertprozentige Sicherheit. Die gibt es nirgendwo. Das Passwort ist noch immer die am wenigsten schlechte Lösung von allen. Wir optimieren und entwickeln sie.

WIRED: Lieber ein brüchiges System als gar keins?
Fogel: Passwort-Manager sind eindeutig ein riesen Schritt nach vorne. User müssen nicht mehr selbst den Überblick behalten. Sie müssen nicht immer das selbe Passwort benutzen, oder welche, bei denen sie immer nur einzelne Buchstaben ändern. Sie müssen ihre Daten auch nicht mehr in einer Dropbox abspeichern. Dieser Status Quo ist einfach nur unsicher.

WIRED: Deshalb die Kooperation mit Google – um die Masse zentral abzusichern?
Fogel: Mit Google und mit allen anderen Passwort-Managern: 1Password, LastPass, Keeper, KeePass. Zusammen sichern wir erst Android-Geräte und später auch alle anderen.

WIRED: Eine breite Allianz unter Konkurrenten.
Fogel: Wir haben alle das gleiche Ziel. Unser größter Konkurrent ist das eine Passwort, das jeder für alle seine Accounts benutzt. Stattdessen wollen wir: simples und sicheres Browsen. Sobald unsere neue Benutzeroberfläche für Android aus den ersten Tests herauskommt, wird sie deshalb allen Open Source zur Verfügung stehen. Mit den einzelnen Features unserer Dienste können wir uns dann immer noch gegenseitig den Markt streitig machen. Ende September oder Anfang Oktober wird das neue Tool für App-Entwickler zu Verfügung stehen.


WIRED: Dann gibt also einen Open-Source-Werkzeug, mit dem jeder Entwickler seine App für Passwort-Manager auf dem Smartphone zugänglich machen kann?
Fogel: Genau, es ist eigentlich keine Raketenwissenschaft, was wir da machen. Die User können dann den Manager ihrer Wahl herunterladen, und der Rest geht automatisch.

WIRED: Warum unterstützt Google solche Projekte, sonst hört man doch immer, dass sie das Passwort als Prinzip komplett abschaffen wollen?
Fogel: Ich liebe diese Diskussion, du meinst durch Sensoren und Biometrik, oder?

WIRED: Richtig.
Fogel: Persönlich glaube ich, dass solche Technologien vielleicht in zwanzig Jahren mal die Zukunft der Identität bestimmen werden. Aber noch sind sie nicht Primetime. Ich selbst nutze Touch-ID auf meinem Apple-Gerät und die Sensoren meines Nexus. Aber wenn mein Smartphone ausgeht, hoffe ich doch immer noch, dass es mein Passwort abfragt.


Passwörter müssen nicht weg, sie müssen nur einfach organisierbar sein

WIRED: Weil du nicht willst, dass nur deine Finger deinen Apple-Account absichern?
Fogel: Weil Apple meinen Fingerabdruck nicht auf seinen Servern speichern und mir damit Zugang zu verschiedenen Geräten geben kann. Das wäre viel zu unsicher. Fingerabdrücke sind viel zu leicht nachzumachen. Das hat der CCC ja schon vor Jahren mit der deutschen Verteidigungsministerin demonstriert.

WIRED: Und Zugangscodes, die ich mir nie im Leben merken kann und die nur meine Passwort-Manager kennt, sind sicherer?
Fogel: Ein Passwort auf einer Website sagt nichts über dich aus. Du kannst es auf der Arbeit mit anderen teilen und das ist nicht weiter tragisch. Doch deinen Finger kannst du nicht teilen. Der Punkt an Biometrie ist, dass du deine Identität als Signatur benutzt. Die kannst du aber nicht mehr ändern, wenn sie erst einmal gehackt wurde. Du kannst ja deinen Fingerabdruck nicht ändern. Die Technologie ist super spannend, aber nur als Absicherung und nicht als Haupt-Zugang.

WIRED: Das scheint dann ja auch Google verstanden zu haben.
Fogel: Google will, dass seine Nutzer schnell und einfach in ihre Accounts und Apps kommen. Deswegen kooperieren sie auch mit uns, wir kümmern uns um die Sicherheit. Passwörter müssen nicht weg, sie müssen nur so einfach organisierbar sein, damit es keinen Kompromiss zwischen Sicherheit und Bequemlichkeit der User geben muss.


GQ Empfiehlt
Millionen geknackte Android-Phones waren erst der Anfang

Millionen geknackte Android-Phones waren erst der Anfang

von Max Biederbeck
HummingBad: Diese Android-Malware bedroht 85 Millionen Smartphones

HummingBad: Diese Android-Malware bedroht 85 Millionen Smartphones

von WIRED Staff
John McAfee will das „Terroristen-iPhone“ knacken

John McAfee will das „Terroristen-iPhone“ knacken

von WIRED Staff
Googles Android-Chef spricht über Sicherheitsbedenken und die Ermittlungen der EU

Googles Android-Chef spricht über Sicherheitsbedenken und die Ermittlungen der EU

von GQ