Gesucht: Das bequemste Passwort der Welt
Ob E-Mail, Online-Banking oder Social Media: Passwörter schützen im Internet – aber nur, wenn sie stark und sicher sind. Vasilii Sukhanov und Todd Davies arbeiten im Google Safety Engineering Center (GSEC) in München daran, dass sich diese Anforderungen kinderleicht erfüllen lassen.
Vasilii Sukhanov kann sich noch gut an sein allererstes Passwort erinnern. »Es war der zweite Name meines Lieblingsfußballspielers«, sagt er. »Und es war aus heutiger Sicht unglaublich unsicher.« Natürlich verwendet Sukhanov, der seit 2012 bei Google in München arbeitet, dieses Kennwort seit vielen Jahren nicht mehr. Streng genommen verwendet er überhaupt kein Wort als Zugangscode, denn sinnvolle Buchstabenfolgen sind viel leichter zu knacken als willkürliche, lange Kombinationen aus Zahlen, Zeichen und Buchstaben. »Für solche komplizierten Passwörter ist das menschliche Gehirn aber nicht gemacht«, sagt Sukhanov und lächelt. Mit seiner Arbeit trägt er dazu bei, dass Menschen sie trotzdem einfach und sicher verwenden können.
Im Wesentlichen sorgen wir dafür, dass Nutzerinnen und Nutzer gar nicht mehr über ihre Passwörter nachdenken müssen
Vasilii Sukhanov Software-Ingenieur
Der gelernte Software-Ingenieur leitet im GSEC ein Team, das für den Passwortmanager in Googles Internet-Browser Chrome zuständig ist. »Im Wesentlichen sorgen wir dafür, dass Nutzerinnen und Nutzer gar nicht mehr über ihre Passwörter nachdenken müssen«, sagt Sukhanov. Tatsächlich übernimmt der Passwortmanager diese Aufgabe: Er speichert Passwörter und trägt sie automatisch auf den betreffenden Seiten und Konten ein. Auf Wunsch generiert der Passwortmanager auch starke Passwörter für neue Accounts – allerdings nur, wenn in Chrome die Synchronisierung aktiviert ist. Sie ermöglicht es, auf unterschiedlichsten Geräten die eigenen Passwörter zu nutzen. »Diese Bedingung ist wichtig, weil wir niemanden von den eigenen Accounts ausschließen wollen«, erklärt Sukhanov. Denn wenn beispielsweise ein neu generiertes Passwort nur auf dem Desktop-Computer gespeichert würde, wäre etwa vom Smartphone aus kein Zugriff auf das damit geschützte Konto möglich.
Die Kernfunktionen des Google-Passwortmanagers wirken den typischen Fehlern im Umgang mit Passwörtern entgegen: Viele Menschen verwenden schwache Passwörter, an die sie sich leicht erinnern. Und sie nutzen die gleichen Passwörter für verschiedene Zwecke, um sich möglichst wenige merken zu müssen. »Das ist, als würde man für alle Schlösser – von der Wohnung übers Büro bis zum Auto – nur einen einzigen Schlüssel benutzen«, sagt Todd Davies. Der Software-Ingenieur arbeitet auch im GSEC – und dort eng mit dem Team von Vasilii Sukhanov zusammen. Davies’ Team hat den Passwortmanager direkt in das Google-Konto integriert. Auf passwords.google.com können Nutzerinnen und Nutzer die Passwörter verwalten, die über Android oder Chrome gespeichert wurden. Wer beispielsweise ein fremdes Gerät nutzt und mit einem anderen Browser als Chrome ins Internet geht, kann darüber jederzeit die eigenen Passwörter abrufen.
Ein Passwort für verschiedene Zwecke? Das ist, als würde man für alle Schlösser nur einen Schlüssel benutzen
Todd Davies Software-Ingenieur
Seit Oktober 2019 können Nutzerinnen und Nutzer noch einen Schritt weiter gehen und ihre gespeicherten Passwörter auf Sicherheitsdefizite überprüfen lassen. Der Passwortcheck findet sich sowohl im Sicherheitscheck des Google-Kontos als auch in den Einstellungen von Chrome. Dort zeigt er an, ob einzelne Passwörter nach Googles Information gehackt wurden. Im Google-Konto können Nutzerinnen und Nutzer damit zusätzlich prüfen, ob sie schwache Passwörter verwenden und ob manche mehrfach benutzt werden.
Die Zweifaktor-Authentifizierung erhöht den Schutz – aber sie ist kein Freibrief für schwache Passwörter
Auch wenn es mittlerweile unterschiedlichste Methoden gibt, digitale Zugänge zu schützen – beispielsweise über Fingerabdrücke oder Gesichtserkennung –, glauben Vasilii Sukhanov und Todd Davies, dass die Ära der Passwörter noch lange nicht vorbei ist. Allerdings empfehlen sie, wann immer möglich eine zweite Schutzschicht einzubauen: Die sogenannte Zweifaktor-Authentifizierung lässt sich für das Google-Konto, aber auch für viele andere Online-Accounts aktivieren. Dabei läuft im Hintergrund eine Risikoabschätzung ab. Sobald sich jemand beispielsweise von einem neuen Gerät oder an einem anderen Ort als üblich einloggt, wird zusätzlich zum Passwort ein Code abgefragt. Diesen erhält die Nutzerin oder der Nutzer beispielsweise per SMS an die persönliche Telefonnummer. »Das ist aber kein Freibrief für schwache Passwörter«, betont Davies.
Ihm ist bewusst, wie groß die Versuchung ist, zu einfache Passwörter zu verwenden – auch weil er regelmäßig mit Nutzerinnen und Nutzern zu tun hat. Mit seinen Kolleginnen und Kollegen befragt er immer wieder Nutzergruppen und untersucht ihr Nutzungsverhalten, um den Passwortmanager so anwenderfreundlich wie möglich zu machen. Durch diese Arbeit weiß Davies: Viele Menschen sind von Passwörtern genervt. »Deshalb übernimmt der Passwortmanager alle lästigen Aufgaben, die dabei helfen, im Internet sicherer zu sein.«
Wenn es dieses Werkzeug damals schon gegeben hätte, könnte sich Vasilii Sukhanov heute wohl nicht mehr an sein erstes Passwort erinnern. Inzwischen weiß er auf die Sekunde genau, wie ungeeignet der Name des Fußballers als Schutz für sein E-Mail-Konto war: In einem Computermuseum in Österreich testete er kürzlich, wie schnell sich das Passwort theoretisch knacken lässt. Der PC brauchte ganze drei Sekunden.
Fotos: Sima Dehgani
Screenshots: Google