Mindestenssechszeichen...keine Panik!

Es ist gar nicht lange her, dass neuronale Netzwerke noch Mühe damit hatten, Hunde von Katzen zu unterscheiden (davor hatten sie Mühe, Hunde von Blumenvasen zu unterscheiden, aber das wurde nicht an die grosse Glocke gehängt). Heute antworten sie, dank Sprachsynthese mit angenehmer Stimme, auf komplexe Fragen (die man dank Spracherkennung auch gleich mündlich eingeben kann), fassen lange Texte aufs Wesentliche zusammen und erzeugen aus einer kurzen Beschreibung die unglaublichsten Bilder. So geschehen im Herbst 2022, als Jason Allen mit seinem Bild "Théâtre D'opéra Spatial" einen Kunstwettbewerb gewann:


Was zunächst keiner wusste: Das Werk war grösstenteils von einem Onlinedienst erzeugt worden. Davon gibt es mittlerweile einige, wie zum Beispiel Dall-E, Stable Diffusion und das von Allen genutzte Midjourney (welches auf derartige Gemälde spezialisiert ist). Während man bisher KI-Bilder also noch gut belächeln (und als solche erkennen) konnte, ändert sich die Lage mit drastischer Geschwindigkeit. Gefüttert durch abermillionen von Bildern und die Rückmeldungen der eigenen Nutzer lernen die Algorithmen immer besser, konsistente Bilder zu erzeugen und zu erkennen, was der Nutzer sehen möchte. Bei Google ist man übrigens schon einen Schritt weiter und erzeugt bereits einfache 3D-Modelle auf diese Weise, aber das soll jetzt nicht Thema sein.



Ich habe selbst ein wenig mit der künstlichen Bilderzeugung experimentiert und komme zum Schluss, dass es (noch) nicht ganz einfach ist, dieses Werkzeug zu bedienen. Grundsätzlich muss zwar nur ein "Prompt" (textliche Beschreibung des Bildes) eingegeben und auf das Ergebnis gewartet werden, doch genau da liegt auch der Hund begraben. Am andere Ende sitzt eben kein Mensch, der den Text verstehen würde, sondern ein digitales Netzwerk, welches die Wörter analysiert und gewichtet. Dieses fehlende Verständnis äussert sich in skurril verschmolzenen Gegenständen, überzähligen Gliedmassen und unsinnigen Details bis hin zur völligen Fehlinterpretationen der Beschreibung. Mit anderen Worten: Man weiss nie so genau, was beim Klick auf "Erzeugen" gleich herauskommen wird. Dem tragen auch die Dienste Rechnung und erzeugen z.B. gleich 4 Bilder, aus denen man das Beste aussucht und als Basis für eine weitere Runde verwendet. So hangelt man sich Schritt für Schritt immer weiter, bis das Ergebnis passt – auch wenn es am Ende nicht das ist, was man ursprünglich haben wollte. Entweder man ist also flexibel, geht nur mit einer groben Idee an die Sache heran und lässt sich auf das ein, was das Netzwerk ausspuckt, oder man bringt viel Zeit und Geduld mit, um dem Generator genau das zu erzeugen, was man im Kopf hat.



Manchmal kommt man gut voran, indem man das Bild zwischendurch speichert, von Hand bearbeitet und als neue Basis wieder hochlädt. Oder es macht Sinn, Bildteile zu maskieren, diese Bereiche neu zu erzeugen und die fertige Collage als Ausgangsbild bei einem anderen Dienst hochzuladen, um daraus wieder ein einheitliches Bild zu machen. Oder man verfeinert das Prompt immer weiter und erzeugt Bild um Bild, bis es den Ansprüchen genügt. Mit der Zeit lernt man auch, Dinge so auszudrücken, um die gewünschte Wirkung zu erzielen. Kurze, prägnante Feststellungen führen eher zum Ziel als ausschweifend beschriebene Details. Ja, ganz ähnlich wie Suchanfragen an Google.



Damit sollte klar sein, dass es eben nicht damit getan ist, ein paar Worte einzugeben und auf ein Kunstwerk zu hoffen. Es mag sogar anfangs enttäuschend sein, wenn die erzeugten Bilder so gar nicht dem entsprechen, was man sich im Kopf vorgestellt hatte. Anders ausgedrückt: Die künstliche Bilderzeugung ist kein präzises Werkzeug sondern vielmehr eine kreative Zufallsmaschine, die einerseits viel Ausschuss generiert, andererseits aber auch erstaunliche Resultate erzeugt, an die man selbst nie gedacht hätte. Nicht umsonst wird in diesem Zusammenhang auch gerne von "Dreams" gesprochen; chaotische Gedankenfeuer von Bildeindrücken, die sich irgendwie zu einem Gesamtwerk vermischen.

Allerdings machen die Netzwerke auch rasante Fortschritte und sowas wie überschüssige Gliedmassen und mit der Wand verschmolzene Waschmaschinen dürften bald passé sein. Zweifelsohne wird die Bilderzeugung einen festen Platz in der Kunstwelt einnehmen, auch wenn sie bereits jetzt von einigen Kreisen als "low effort art" (Kunst mit geringem Aufwand) verpöhnt wird. Einige der grossen Plattformen haben sich sogar für ein generelles Verbot entschieden und die künstlichen Werke von ihren Servern verbannt.



Ich persönlich betrachte aber immer noch lieber ein imposantes, vom Computer erzeugtes Bild, als ein von menschenhand gekritzeltes Strichmännchen. Letzteres stellt nun wirklich kaum Aufwand dar, während Jason Allen rund 80 Stunden an seinem oben gezeigten Werk sass. Der Unterschied zur "klassischen" Malerei besteht also hauptsächlich darin, dass er sein Werk nicht mit Pinsel und Leinwand sondern mit Maus und Tatatur erzeugte – und mit der Unterstützung zahlloser Cloud-Computer, die im übrigen auch nicht kostenlos liefen (zum Kennenlernen erhältet man bei den Diensten immer wieder kleine Gratiskontingente, mit denen man aber nicht allzu weit kommt). Rechnet man nun 80 Stunden mal dem Mindestlohn, plus die Rechenzeit bei Midjourney, erreicht man gut 1000 Euro, die das Bild in der Herstellung gekostet hat.

Ich selbst habe kürzlich 160 neue, alternative Bilder für die Spirits hergestellt (bzw. aus 1'200 erzeugten Bildern ausgesucht), und das hat rund 16 Arbeitsstunden gedauert. Manche waren auf Anhieb tauglich, andere liessen sich partout nicht passend erzeugen. Es ist ein wenig, als hätte man ein dutzend fremdländische Künstler an der Hand, mit denen sich nur über Google Translate halbwegs kommunizieren lässt. Sie verstehen nur die Hälfte und interpretieren den Rest immer wieder anders, malen dafür aber extrem schnell und am Ende muss man sich für das beste Bild entscheiden – oder noch eine Runde anstossen. Manchmal hilft es auch, ihnen mehr Geld zuzuwerfen (mehr Rechenzyklen), was die Ergebnisse erheblich verbessern kann (aber nicht muss).



Die Situation ist womöglich gut vergleichbar mit der Fotografie, wo eines Tages die digitalen Kameras aufkamen. Anfangs wurden sie -zurecht- wegen ihrer miserablen Auflösung, winzigen Bildsensoren und dem arg begrenzten Speicherplatz belächelt, doch in nur wenigen Jahren überholten sie die analogen Modelle in Sachen Bildqualität, Geschwindigkeit, Funktionsvielfalt und schliesslich sogar Grösse und Gewicht. Heutzutage wird immer noch analog fotografiert, aber das ist dann "retro" und hat seinen eigenen Charme, während teure Profikameras jede Hautpore in HD zeigen. Und obwohl heute jeder ständig eine 12 Megapixel-Kamera im Smartphone mit sich herumführt, wissen die wenigsten, wann es sich abzudrücken lohnt – gerade weil man ja auch erstmal hundert Aufnahmen machen und später aussortieren kann (ja klar...). Insgesamt wurde die Fotografie durch den Wandel einfach deutlich zugänglicher, was aber letztendlich nur im Sinne der Kunst sein kann.



Unterm Strich zeigt sich hier eine neuartige Kunstrichtung, die so langsam in der breiten Bevölkerung ankommt. Jeder kann sich mittlerweile kostenlos registrieren, dank Gratiskontingent einige Experimente machen und sich von der Technik verzaubern lassen. Zudem entwickelt sich alles rasend schnell weiter, was die Qualität der Ergebnisse verbessert und die Preise drückt. Die erzeugten Bilder reichen von beeindruckend bis verstörend, wobei Letzteres dank immer ausgefeilterer Methoden bald der Vergangenheit angehören dürfte. Durch immer grössere Sprachmodelle sollten auch die Eingaben immer besser verstanden werden, was wiederum die Akzeptanz und Nützlichkeit der Technologie fördert. Vielleicht ist es in ein paar Jahren völlig normal, dass man beim Rollenspiel oder Geschichtenerzählen alles live mit passenden Bildern untermalt – darauf würde ich mich durchaus freuen.

Bis dahin ist es aber noch ein weiter Weg.

Wie denkt ihr darüber?

Yhoko

Im ersten Teil dieses Beitrag wurde aufgezeigt, in welchen Situationen Passwörter keine gute Figur machen. Aber wie schafft es FIDO2, all diese Probleme zu umschiffen? Und was ist das nun überhaupt? Zuerst ein Überblick.

FIDO2 ist eine Technologie, die schon in vielen Geräten drinsteckt, aber auch dazugekauft werden kann (z.B. in Form eines USB-Sticks). Zusätzlich muss die Software mitspielen, genauer gesagt Browser und Betriebssystem. Naturgemäss verbessert sich die Softwaresituation mit der Zeit; einige alte Geräte sind hiermit aber schlichtweg raus (beispielsweise WindowsXP). Ob FIDO2 bei dir schon klappt, lässt sich hier ganz einfach und ungefährlich testen (ein paar Zeichen als Benutzernamen eingeben und auf Register klicken):

• [https] Webauthn.io Tester

Je nach Gerät, Software oder USB-Stick läuft das etwas anders ab, denn FIDO2 ist keine starre Vorgabe für die Art des Logins. Besitzer eines günstigen Yubikeys oder Google Titans müssen etwa nur kurz den USB-Stick berühren, bei der integrierten Anmeldung von Windows (Hello) oder Apple (Passport) ist vielleicht ein Fingerabdruck oder eine Gesichtserkennung erforderlich. Abgesicherte FIDO2-Sticks können ihrerseits selbst einen Fingerabdruck, einen PIN-Code oder ein Passwort verlangen, um sicherzustellen, dass der Besitzer sie bedient. Und der Betreiber des Onlinedienstes kann im Gegenzug festlegen, welche dieser Geräte und Methoden er akzeptiert. Für einfache Websites und Spiele reicht es in aller Regel, wenn irgend jemand den richtigen Stick kurz antippt.

Wie steht FIDO2 nun im Vergleich zum Passwort da? Vergleichen wir konkret die vier Kritikpunkte aus dem ersten Teil, in umgekehrter Reihenfolge:

4) Kopieren: Fällt faktisch weg. Die kryptografischen Daten liegen in einem sicheren Bereich auf einem Chip (also direkt im USB-Stick, auf dem Mainboard oder im Smartphone), da kommt man nicht ran. Ein Passwort lässt sich leicht abschauen/kopieren, ein Chip hingegen nicht.

4a) Die Möglichkeiten zum Keyloggen und Passwort-Eingabe-beobachten fallen prinzipbedingt weg. Der Nutzer berührt nur einen Stick oder aktiviert den Chip biometrisch.

4b) Diebstahl: Ein physischer Angreifer kann den USB-Stick oder das Gerät natürlich stehlen. Während das Passwort dem hilflos ausgeliefert ist, kann man ein Smartphone oder einen FIDO2-Stick mit PIN-Code oder Fingerabdruck-Scanner nicht einfach nutzen.

4c) Dasselbe FIDO2-Gerät kann bei beliebig vielen Websites registriert werden. Wird eine davon gehackt oder die Datenbank geleakt, hat das keinen Einfluss auf die anderen und ein Hacker kann auch nichts mit den Logindaten anfangen. Damit fällt auch Phishing komplett flach.

4d) Ein Virus auf dem Computer kann die Daten zwar mitschneiden, das bringt dem Angreifer aber nichts. Weder kann man dieselben Logindaten noch einmal senden, noch helfen sie, wie eben erklärt, bei Logins auf anderen Seiten.

4e) Social Engineering wird schwierig bis unmöglich. Da man die FIDO2-Daten nicht abgreifen kann (bzw. es nichts bringt), müsste man schon auf die Rücksetzungs-Funktion zielen ("Ihr Konto wurde gesperrt, ich helfe Ihnen nun bei der Freischaltung. Bitte nennen Sie mir Ihre E-Mail Zugangsdaten..."). Spätestens wenn diese ebenfalls mittels FIDO2 abläuft (z.B. ein Notfall-Stick der bei einem Freund oder Notar liegt), haben die Angreifer jede digitale Möglichkeit verloren. Es bleibt dann nur noch die physische Entwendung des FIDO2-Geräts (in der Hoffnung, dass es nicht biometrisch geschützt ist; siehe 4b) Diebstahl).

3) Erraten: Faktisch unmöglich. Man müsste schon zufällig genau den richtigen Schlüssel aus 10^38 Stück erwischen, um sich einmalig damit einloggen zu können. Auch ältere Daten zu sammeln bringt nichts, da der Schlüssel bei jedem Login ein völlig anderer ist. Anders als beim Passwort sind auch keine lesbaren Wörter wie "Microsoft" mehr integriert; bei den Schlüsseln handelt es sich quasi um zufällig aneinandergereihte Buchstaben – jedes Mal aufs Neue.

2) Vergessen: Fällt grösstenteils weg. Weder kann man den Chip im Gerät vergessen, noch den eigenen Fingerabdruck oder die Gesichtsbiometrie. Höchstens eine allfällige PIN, die den FIDO2-Stick schützt. Hier hat man als Nutzer jedoch die Wahl, ob und welche Absicherungsart man wünscht (bei den Sticks ist es tatsächlich auch eine Preisfrage; die günstigen Modelle unterstützen schlichtweg keine PIN-Absicherung).

2b) Verlust: Anders als mit einem vergessenen Passwort, das einem vielleicht irgendwann doch wieder einfällt (also eines, das ohnehin nicht die komplizierten Anforderungen moderner Websites erfüllt), ist man mit einem verlorenen oder defekten USB-Stick oder Smartphone erstmal aufgeschmissen. Hier ist also weiterhin eine Rücksetzungs-Funktion notwendig – idealerweise hat man aber mehrere FIDO2-Geräte mit dem Konto verknüpft und kann einfach das Nächste verwenden, um sich einzuloggen.

1) Vertippen: Fällt ebenfalls weg, ausser bei der eventuellen PIN-Eingabe.

Ich würde sagen, Sieg auf der ganzen Linie für FIDO2. Und etwas kommt sogar noch dazu, wenngleich vorerst nur spärlich: Der Login ohne Benutzernamen.

FIDO2-Geräte unterstützen sogenannte "Resident-Keys", damit wird grob gesagt intern eine ID erzeugt und auf dem Gerät selbst gespeichert. Diese ist an die Domain gekoppelt und wird beim Login automatisch an den Server geschickt. Im Idealfall läuft das also folgendermassen ab:

• Website aufrufen
• Login-Button anklicken
• FIDO2-Stick berühren – fertig!

Während PCs und Smartphones allerdings Speicherplatz im Überfluss besitzen, ist die Zahl der Resident-Keys auf den kleinen USB-Sticks stark begrenzt (derzeit sind 25 Plätze üblich). Von daher wird man wohl auch weiterhin überall einen Benutzernamen eingeben müssen, auch wenn das nun theoretisch nicht mehr notwendig wäre. Immerhin helfen die Browser hier mit und füllen das Namensfeld automatisch aus (Cookies bzw. Sessions sei Dank). Womöglich ist es ja auch ganz nützlich, dass man zuerst den Benutzernamen (den man als Nutzer kennen muss) eingibt, und erst im zweiten Schritt (wenn klar ist, dass der Name korrekt war) die Authentifizierung erfolgt – und das kann dann ja auch ein Passwortfeld sein, wenn kein FIDO2 mit dem Konto verknüpft wurde.

Zum Schluss noch kurz ein Hinweis bezüglich der FIDO2-Sticks. Diese werden "portabel" genannt, da man sie am Schlüsselbund tragen und bei jeden beliebigen Gerät einstecken kann – beziehungsweise muss. Aber keine Sorge, es gibt auch FIDO2-Sticks mit Funkverbindung (NFC oder Bluetooth), so dass das Einstecken entfällt.
Demgegenüber ist die Authentifizierung beim PC/Smartphone an einen TPM-Chip auf dem Mainboard gekoppelt; lässt sich also nicht einfach "mitnehmen" oder an einem anderen Gerät einstecken, um sich dort einzuloggen. Letzteres ist aber auch gar nicht notwendig, da man (wenn der Dienst seinen Job richtig gemacht hat) beliebig viele Geräte demselben Benutzerkonto hinzufügen kann. Man hat also ohnehin die freie Wahl, mit welchem FIDO2-Gerät man sich gerade einloggen möchte.

Ebenfalls vom Dienst abhängig ist die Situation, wenn man sich irgendwo für einen Freund einloggen soll, um etwas zu prüfen oder ihn bei etwas zu unterstützen. Das Passwort kann man eben mal telefonisch oder schriftlich durchgeben, bei FIDO2 müsste dafür wohl der Postweg herhalten – es sei denn, man kann im Dienst selbst das Konto für Drittpersonen freischalten; idealerweise eingeschränkt und zeitbegrenzt. Sind hier die Anbieter in der Pflicht, entsprechende Möglichkeiten zu schaffen? Ja, und zwar genau wie bisher auch schon. In allen AGBs wird nämlich bereits jetzt verboten, dass man seine Logindaten weitergibt (was natürlich nichts daran ändert, wie sowas in der Praxis abläuft).




Ich hoffe, damit ein gutes Bild von FIDO2 vermittelt und etwas Aufklärungsarbeit geleistet zu haben. Zwar wird uns das Passwort noch lange erhalten bleiben und beschäftigen, aber in nächster Zeit dürften immer mehr Dienste FIDO2 zumindest als Alternative anbieten – Yhoko.com etwa unterstützt das Verfahren bereits jetzt (ausser im Chat).

Yhoko

Sicherheit im Internet hat so ihre Tücken und kann mitunter ziemlich lästig sein. Wurzel allen Übels ist das Passwort, welches viel Angriffsfläche für Hacker und eifersüchtige Ex-Partner bietet. Aber warum eigentlich? Ein kurzer Abriss des Problems.

Egal ob in Chats, Foren oder Online-Games, um teilzunehmen muss man sich einen Benutzernamen aussuchen bzw. registrieren. Dass der Name allein keine Sicherheit bietet, dürfte jedem einleuchten – selbst wenn er sich nicht erraten lässt (sowas wie "H1drXph0n77f"), ist er ganz leicht öffentlich einsehbar, denn er steht neben jedem Kommentar, in der Highscore, vielleicht sogar im öffentlichen Benutzerverzeichnis... Der Login muss also irgendwie abgesichert werden: Auftritt Passwort.




Das Passwort wird dem Dienst beim Registrieren mitgeteilt, so dass es später wieder abgefragt werden kann. Sozusagen die digitale Version von "mach die Tür nur auf, wenn ich folgendermassen klopfe – dadurch weisst du, dass ich es bin", nur eben mit mindestens 6 Zeichen. Das Beispiel zeigt: Wer dieses Gespräch mitbekommt (abgreifen bei Registrierung), später das Klopfzeichen belauscht (Keylogger oder Man-in-the-Middle-Attacke) oder zufällig dasselbe Klopfzeichen verwendet (einfach nur Pech), kommt ebenfalls durch die Tür. Oder jemand hängt einen Zettel dran "Sind umgezogen, bitte ab jetzt gegenüber klopfen" und wartet dort, bis der Nutzer sein Klopfzeichen an der falschen Tür verwendet (Phishing). Vielleicht ist das auch gar nicht nötig, weil man den Torwächter irgendwie weglocken und hinter der echten Tür die Klopfzeichen entgegennehmen kann (gehackte Website), oder das Gebäude einfach aufkauft (abgelaufene Domain wird von Hackern neu registriert). Weiterhin kann man davon ausgehen, dass der Torwächter die Klopfzeichen irgendwo notiert (Datenbank) – optimalerweise in einer Geheimschrift, die nur er selbst entziffern kann (Salted Hash), doch auch heute noch gibt es genug Dienste, die nicht so weit sind. Sollte nun jemand die Liste heimlich abfotografieren (Database Leak), kann er sich für jede beliebige Person darauf ausgeben.

Keine guten Voraussetzungen für weltweite Sicherheit, und bei realen Passwörtern kommt sogar noch mehr dazu.

1) Vertippen: Wird das Passwort von Hand eingegeben, kann man sich leicht vertippen. Das kostet Zeit und ist lästig, schlimmstenfalls wird das Konto sogar nach ein paar Versuchen gesperrt.

2) Vergessen: Dasselbe wie beim Vertippen, nur dauerhaft. Wer sein Passwort verliert, ist auf eine Rücksetzungs-Funktion angewiesen, die wiederum an einen zweiten Faktor geknüpft ist (E-Mail Adresse, SMS-Nummer, anderes Konto, etc.). Das ist ebenfalls lästig und umständlich.

3) Erraten: Dass heutzutage viele Regeln für Passwörter gelten (Mindestanzahl an Klein- und Grossbuchstaben, Zahlen und Sonderzeichen) bedeutet nicht, dass diese Passwörter auch sicher sind ("Ferrari123%" ist ein schlechtes Passwort). Hackerprogramme können bekannte Begriffe und häufige Zahlen in zufälliger Reihenfolge kombinieren und so in grosser Zahl durchprobieren, bis sie das Passwort gefunden haben (betrifft vor allem Datenbank-Leaks).

4) Kopieren: Wer auch immer das Passwort kennt, kann sich damit einloggen. Das klingt erstmal logisch, ist aber effektiv das Gegenteil der ursprünglichen Anforderung: Nur der Eigentümer soll sich mit seinem Namen einloggen können.

4b) Diebstahl: Wer sich jetzt denkt "mein Passwort ist so sicher, da kommt keiner drauf!", der hat damit nur einen von vielen Angriffswegen ausgeschlossen (siehe Torwächter weiter oben). Hier ein paar weitere, die mir gerade einfallen:

• Der Angreifer ist physisch anwesend und beobachtet die Passwort-Eingabe. Das ist besonders einfach bei Smartphones (dafür gibt's ne App ;-).
• Das Passwort steht auf einem Zettel (weil es wegen der ganzen Sonderzeichen zu komplex ist, um es sich zu merken) und dieser wird abfotografiert.
• Ein Virus auf dem Computer schneidet alle Tastendrücke mit (aka. Keylogger).
• Dasselbe Passwort wird bei mehreren Diensten verwendet.

...moment mal, was soll denn das jetzt heissen? Darf man ein Passwort nicht mehrfach verwenden? Die kurze Antwort lautet: nein! Die Gründe dafür sind ebenfalls zahlreich, daher nur ein paar Beispiele:

a) Ein Nutzer verwendet dasselbe Passwort sowohl bei Microsoft als auch beim lokalen Rasenmäherverein, wobei letzterer nicht gerade auf dem neusten Stand der Technik ist und gehackt wird. Die Hacker erhalten eine Datenbank mit Namen und Passwörtern (Database Leak) und müssen jetzt nur noch wissen, dass der Nutzer auch ein Microsoft-Konto hat – praktischerweise steht die E-Mail Adresse ja auch in der Datenbank (oder sie probieren auf gut Glück die grössten Anbieter durch).

b) Dasselbe Spielchen mit dem Bienenzüchterverein; auch der hat eine eigene Website und wurde gehackt. Immerhin war die etwas moderner und die Passwörter liegen nur verschlüsselt ("gehasht") vor, so dass die Hacker sie nicht einfach auslesen können. Da sie aber die Website manipulieren können, warten sie einfach auf die Anmeldungen der Nutzer und speichern fröhlich die frisch eingegebenen Passwörter.

c) Zur Abwechslung noch etwas "Phishing": Der Nutzer hat eine höchst offiziell wirkende E-Mail von Amazon erhalten, in der steht, dass sein Konto gesperrt wurde. Für die Freischaltung muss er nur einen Link anklicken und sich einloggen... und gibt damit seine Daten freiwillig an die Hacker weiter. Klingt lustig (wer macht denn bitte sowas..?), aber diese E-Mails werden immer raffinierter und ich kann sagen: Phishing ist heute immer noch weltweit ein Problem.

d) Social Engineering funktioniert wie Phishing, nur auf persönlicher Ebene. Weniger versierte, leider oftmals ältere Nutzer sind besonders anfällig dafür, wenn der Anruf eines Microsoft-Supportmitarbeiter (mit indischem Akzent) oder ein Skype-Gespräch des Firmen-Admins ihnen ein Problem präsentiert und dafür ihre Mitwirkung benötigt – nur zu schnell geben Leute ihre Logindaten preis, wenn es "offiziell" wird.

Hier schleicht sich noch ein weiteres Problem ein: Selbst wenn eher unwichtige Seiten oder veraltete Datenbanken gehackt bzw. geleakt werden, kann dies an anderer Stelle schaden. Viele Nutzer sind faul und verwenden immer ähnliche (Grund-)Passwörter, die sie nur bei Bedarf verändern (wie schnell wird an das gewohnte Passwort eine "1" angehängt, weil neuerdings Zahlen erforderlich sind, oder ein "+", damit ein Sonderzeichen drin ist?). Sieht der Hacker ausserdem "Bienenzüchter123" in der Vereinsdatebank, versucht er sich mit "Google123" bei Google (und auf dieselbe Weise automatisiert bei zahllosen anderen Diensten) einzuloggen.




Fassen wir also zusammen: Die Einrichtung ist lästig, die Handhabung mühsam und die Sicherheit löchrig. Ich möchte zudem betonen, dass hier nur ausgesuchte Beispiele gezeigt wurden; die Möglichkeiten besonders für den Passwortklau sind wirklich zahlreich und wir reden hier ja nicht nur von Privatanwendern, die sich bei Yhoko.com anmelden – offiziellere Ziele rufen auch teurere Hackermassnahmen und komplexere Szenarien mit auf den Plan, die speziell auf Einzelpersonen zugeschnitten sind. Und ja, man kann die Sicherheit deutlich erhöhen, indem man z.B. den Zugriff nach 10 Minuten Inaktivität sperrt oder bei Logins von einem anderen Gerät / Land aus erst nach einer Bestätigungs-E-Mail akzeptiert. Anders ausgedrückt: Je lästiger und umständlicher, desto sicherer.



Unterm Strich würde man sich einen besseren Weg wünschen, um mit der ganzen Login-Problematik umzugehen. Auftritt FIDO2 und weiter geht's im zweiten Teil dieses Beitrags.