Symbole eines Neuanfangs

Der Doktor bat uns, auf die "albernen Fake-Leserbriefe" (seine Worte) zu verzichten, die würde "uns eh´ keiner glauben." Lieber Doktor, wo käme die CL hin, wenn die Leser:innenschaft glauben müsste, wir würden hier irgendwelche Fakes verbreiten? Möglicherweise in den Papierkorb … dann wären all die Bäume umsonst gestorben. – Mit einem leicht schiefen Lächeln nahm er den Leserbrief, den wir aus unserem Mailfolder zogen …

Nora aus Niedermoschel:


Lieber Dr. Herbst, du stehst doch voll auf Security. Und das finde ich auch voll in Ordnung. Nur eben diese Passwörter nerven. Alle drei oder so Monate soll ich ein neues machen? Auch noch überall nen anderes? Das nervt voll, man soll sie ja auch nicht aufschreiben oder so. Also hab ich alles, was ging, auf "Fingerabdruck" oder "Gesicht erkennen" umgestellt. Das hab ich immer bei mir und muss mich nicht dran erinnern. Fritz, echt fitter Kumpel, meinte gestern, dass das aber nicht so gut wär, weil man könnte mir ja den Finger abschneiden oder so. Das finde ich aber etwas zu krass gedacht! Deswegen dachte ich, ich frag`mal, was du davon hältst. Lg nora

Dr. Herbst:


tldr

Biometrische Methoden zur Zugangssicherung liefern eine trügerische Sicherheit, denn die Daten können entwendet werden.

Passwörter (im Idealfall »gute«) existieren (im Idealfall) nur im Kopf der Anwenderin, sind daher sicherer. Eine regelmäßige Änderung von Passwörtern ist (bei "guten" PW) Unsinn. Um eine Menge an Zugangsdaten zu verwalten, gibt es ziemlich sichere Passwortmanager.

Liebe Nora, auch wenn ich glaube, dass es dich gar nicht gibt (egal, was mir die CL-Redaktion erzählt): Passwörter sind so elementar für den Schutz unserer Daten und Kommunikation, dass es sich lohnt, deiner Frage mal nachzugehen (tldr) – es gibt viele Missverständnisse, die auch von manchen Medien verbreitet werden.

Zuerst: Passwörter sind immer noch besser für den Zugangsschutz, als biometrische Daten.
In Netfl**-Serien oder ähnlichem Zeug erscheinen biometrische Daten meist als nicht überwindbare Sperren – die Bösewichte müssen dem Opfer den Finger abhacken oder ein Auge rausnehmen, um Zugang zu erlangen. Die Wirklichkeit ist aber weniger makaber – man muss keine Körperteile abschneiden, um "biometrische Sensoren" zu umgehen.

Dass biometrische Daten "privat" seien, ist ein Gerücht. Klar, dein Fingerabdruck, deine Stimme, dein Gesicht gehören dir. Aber du bist nicht die einzige, die darauf Zugriff hat. Du lädst vielleicht Selfies ins Netz, du wirst auf der Straße gefilmt, hunderte Dokumente enthalten deine Unterschrift. Falls du gesellige Medien benutzt, können die meisten biometrischen Daten, Fingerabdrücke, Stimme, Gesicht einfach von dort bezogen werden.

Dass biometrische Daten "nicht gehackt" werden könnten, ist genauso ein Gerücht. Ja, die Daten, die z. B. auf deinem Taschencomputer gespeichert werden, sind nicht einfach Bilder deiner Finger. Aber, bei allem, was uns an Sicherheit vorgegaukelt wird, gilt: Gespeicherte Daten sind hackbare Daten. Und es gibt keinen Zweifel, dass Kriminelle oder Dienste an diesen Daten interessiert sind …

Sind biometrische Daten sicherer als Passwörter? Wohl kaum. 2014 zeigte jemand in einem "Proof of Concept" (Beispiel, dass es funktioniert) wie er aus öffentlichen Fotos von Ursula von der Leyen (heute Präsident der EU-Kommission, zeitweise verleumdet unter dem Spitznamen "Flinten-Uschi") ihre Fingerabdrücke herstellen konnte ... Damit hätte er ihr Telefon entsperren können.

Also zurück zu den Passwörtern, so sehr sie nerven. Aus sich selbst heraus sind Passwörter sicherer als Fingerabdruck, Stimme, Gesicht, weil im Idealfall niemand außer dir Zugriff darauf hat: Sie sind in deinem Kopf. Und selbst wenn man den abschneidet, kommt man nicht an die Passwörter.

Gute Passwörter sollen lang, leicht zu merken und schwer zu erraten sein. Weiß jeder. Wichtig ist, dass es keine echten Worte sind (die in einem Wörterbuch stehen), denn so ein Wörterbuch lässt sich leicht automatisch abspulen. Der Standardtrick, den ihr sicher kennt, ist, sich einen Satz zu merken und die Anfangsbuchstaben zu nehmen. ("Gestern war ich im warmen Wasser der Weser ohne Bekleidung baden" ergibt GwiiwWd-WoBb. Nicht schlecht … und kann ich mir merken. Noch besser: GwiiwWdWmMoBb ... Kann ich mir sogar besser merken :)) Okay, es kann nicht schaden, noch ein paar Ziffern dazwischen zu hauen, aber ehrlich: Muss nicht unbedingt sein.

Soll man sein Passwort alle soundsoviel Tage ändern? Ja, wenn es "12345" heißt, kann man es in "schnuffi" ändern. Ansonsten: Habt ihr ein nicht zu erratendes Passwort, kann es nur durch "brute force", also das Durchprobieren aller Ziffern- und Buchstabenfolgen, geknackt werden – dann bringt ein Austausch mit einem anderen: exakt Nichts. Im Gegenteil: Wenn du dein Passwort laufend änderst, besteht die Gefahr, dass Du es aufschreibst, um es nicht zu vergessen, oder ein einfacheres nimmst ("Lästigkeitsfaktor") ... Ich bleibe einfach dabei, an den Abend an der Weser zu denken. Ein Passwort regelmäßig zu ändern, nervt nicht nur, es macht die Geschichte unsicherer.

Zusatzfrage: Soll man bei allen Diensten/Websites ein eigenes Passwort vergeben?

Eindeutige Antwort: Ja! Ihr lest es selbst alle paar Tage, dass wieder ein Dienstleister "kompromittiert" wurde. Egal wie sicher ihr euch das Passwort ausgedacht habt: Alles war vergeblich, wenn irgendein Websitebetreiber nachlässig ist. Und wenn das euer "Immer dasselbe"-Passwort" war: Herzlichen Glückwunsch zur Aufgabe, überall das Passwort zu ändern.

"Aber man kann sich doch die verschiedenen Passwörter nicht alle merken?"

Ja, das stimmt. Zumindest für Menschen in meinem Alter. Du, Nora, hast vielleicht bessere Chancen. Auch wenn ich mir hier zu widersprechen scheine: Dann muss man eben ein Notizbuch nehmen und die verschiedenen Passwörter aufschreiben. Klar, das Notizbuch kann gestohlen oder von Repressionsorganen beschlagnahmt werden. Im Vergleich zur Schludrigkeit von Website-Betreibern ist das allerdings das geringere Risiko. Besser ist, und damit schließt die heutige Kolumne, ein Passwort- Manager – also ein Programm, das alle deine Passwörter (verschlüsselt) speichert und das ein "Master-Passwort" (einen Hauptschlüssel) hat, um Zugang zu den gespeicherten Schlüsseln zu gewähren. Im Idealfall kann dieser auch zufällige Zeichenfolgen als Passwort erzeugen und steht geräteübergreifend zur Verfügung. So muss ich nur an den geheimen Weser-Abend denken, um zu entsperren ... und der Rest macht sich sicher von alleine.

Es gibt derer viele, meine derzeitige Empfehlung ist, mal nach "keepassxc" [1] im Netz zu suchen.

Falls Nora (oder irgendjemand, der bis hier durchgehalten hat) noch nach "2-Faktor-Autorisierung" fragt, gibt es einen zweiten Teil.

"Ja gut, also die sogenannte Nora", meinte der Doktor. "Aber was hat das nun mit der Kuba-Soli zu tun?" "Alles", war unsere Antwort. Als der Gute daraufhin mit den Augen rollte, versuchten wir ihn noch einmal zu kitzeln: "Also man könnte nun auf den Irrtum ›Sicherheit durch Technik‹ eingehen und die hiesigen Überwachungsdinger und warum in Kuba die Kriminalität auch ohne diese Überwachung niedriger ist, und …" Nach dem geseufzten "Okay, stimmt", hörten wir nur noch das "Plums", als Dr. Herbst umklappte.

CUBA LIBRE -hei
unter Verwendung von https://nordvpn.com/de/blog/what-isbiometrics-and-biometric-data/[1] https://keepassxc.org/

CUBA LIBRE 2-2022