Es ist eine längst zur Routine gewordene Prozedur. Egal ob am Arbeitsrechner oder Privat-PC, dem E-Mail-Account oder diversen anderen Webseiten und Online-Services: Um uns digital "auszuweisen" setzen wir meistens auf eine Kombination aus Nutzername und Passwort.

Eine Praxis, die Frank Abagnale, missfällt. Er berät den US-Geheimdienst FBI in Sachen Cybersicherheit und Identitätsbetrug. Sein einstiges Leben als Betrüger lieferte auch die Vorlage für den Film "Catch me if you can". Seine Ablehnung des traditionellen Logins macht er gegenüber CRN auch deutlich: "Passwörter sind die Wurzel allen Übels."

Frank Abagnale ist wahrlich kein Fan des Passworts.

Hohe Kosten

Seiner Ansicht nach ist die Kombination aus Loginname und Kennwort eine "Technologie der 1970er-Jahre." Sie würde "stagnieren", Passwörter müssten abgeschafft werden und "jeder will sie loswerden", so der Experte.

Er verweist auch auf den Kostenfaktor. Alleine die größten US-Banken würden jeden Monat Millionen dafür ausgeben, über ihre Callcenter Passwörter zurücksetzen zu lassen. Aber freilich braucht es einen tauglichen Ersatz für sie.

Abagnale für cloudbasierte Lösungen

Dieser würde heute existieren, führt Abagnale aus. Er verweist etwa auf die cloudbasierte Lösung Trusona, die es ermögliche, ganz ohne Kennwort festzustellen, wer sich gerade bei einem System anmelde und gleichzeitig auch Malware-Befall auszuschließen.

"Man geht zu einem Geldautomaten, zückt das Handy, nutzte den Fingerabdruckscanner und richtet es auf den Bildschirm, wo ein QR-Code erscheint", erklärt er eine Implementation für die Behebung von Cash. Der Code werde nur für 28 Sekunden angezeigt, alles laufe verschlüsselt ab. "Keine Karte, kein Passwort, so einfach ist das", meint er. Der Hinweis erfolgt freilich nicht ganz uneigennützig, denn Abagnale ist auch für Trusona als Berater tätig.

Derlei Technologie könnte in ein paar Jahren auch weitere Aufgaben übernehmen, meint er ehemalige "Con Man". Beispielsweise könnte man damit die verbale Durchgabe von heiklen Daten wie Geburtsdaten oder der Sozialversicherungsnummer überflüssig machen. Insbesondere letztgenannte Information wird in den USA häufig für Identitätsdiebstahl missbraucht.

Höherer Komfort, andere Risiken

Cloudbasierte Authentifizierungssysteme bringen freilich eigene Problemfelder mit. Die Abschaffung des Passworts stellt zwar einen Fortschritt in Komfortbelangen dar. Während dem Nutzer hier ein Teil seiner Verantwortung in puncto Gerätesicherheit abgenommen wird, muss dieser sich allerdings darauf verlassen, dass seine Login-Credentials vom Anbieter sicher verwahrt werden – andernfalls droht bei einem erfolgreichen Hack die Kompromittierung des Accounts auf allen Portalen, welche die Lösung benutzten. Zudem könnte die Authentifizierung auf all diesen Seiten auch durch eine DDoS-Attacke temporär verunmöglicht werden. (red, 20.12.2017)