Vor einiger Zeit wollte ich mir eine kleine Auszeit nehmen. Ich wollte eine Woche in der Sonne liegen und die Wärme geniessen. Hier in Mitteleuropa vergisst man nur allzu gerne, dass genau das etwas weiter südlich problemlos möglich ist. Also suchte ich bei easyJet nach Flügen von Zürich in Richtung Süden. Mein Reiseziel sollte dabei mindestens so weit südlich wie Rom liegen.
Ich bekam genau ein Ergebnis: Porto. Das klang gut. Der Ort war perfekt, und auch der Preis stimmte. Also direkt zur Buchung!
Der erste Schritt: der Login bei easyJet. Aber kennen Sie Ihr easyJet-Passwort auswendig? Oder Ihr Passwort bei anderen Fluggesellschaften und Reisevermittlern? Ich jedenfalls nicht. Ich habe es aber in meinem Schlüsselbund auf meinem PC gespeichert. Allerdings war ich in diesem Fall gerade bei der Arbeit, es war Mittagspause und ich hantierte an meinem Handy mit der easyJet-App.
Nach drei gescheiterten Versuchen (falsches Passwort) wurde ich schliesslich aufgefordert, mein Passwort zurückzusetzen. Das hatte mir gerade noch gefehlt. Denn so musste ich auch noch daran denken, es später zu Hause am PC in meinem Schlüsselbund abzulegen. Ich mache trotzdem weiter, weil ich mir das Angebot einfach nicht entgehen lassen wollte.
Nachdem ich den Flug gebucht hatte und mir ein weiteres äusserst kompliziertes Passwort ausgedacht hatte, suchte ich nach einer Unterkunft an meinem Reiseziel. Sie können sich vermutlich schon denken, wohin die sprichwörtliche Reise in dieser Geschichte gehen wird. Aus irgendeinem Grund konnte ich mich am Smartphone nicht bei booking.com anmelden. Das Passwort dafür hatte ich zwar im Schlüsselbund auf meinem iPhone gespeichert. Mir wurde aber ständig derselbe Anmeldefehler angezeigt. Unangemeldet hätte ich aber nicht dieselben Sonderangebote angezeigt bekommen. Und auch eine Buchung wäre so nicht möglich gewesen. Sofern ich mein Passwort nicht auch noch für dieses Benutzerkonto zurücksetzen wollte. Nein danke! Frustriert gab ich auf.
Das Passwortproblem aus Kundensicht
Überlegen Sie einmal, wie viele digitale Dienste und App-Konten Sie tagtäglich nutzen. Die Zahl dürfte recht hoch sein. Schliesslich geht es um Social Media, Onlinebanking, Softwarekonten und dienstliche Konten. Die Liste liesse sich beliebig fortsetzen. Da wir Beruf und Freizeit, Shopping und Buchungen mittlerweile zu einem Grossteil ins Internet verlagert haben, muss sich jeder von uns durchschnittlich um die 100 Passwörter merken. Und die sollten eigentlich alle einzigartig sein, Gross- und Kleinbuchstaben sowie Symbole und Ziffern enthalten und im Idealfall auch noch in unserem Gedächtnis bleiben.
Beim Thema Passwörter bin ich eigentlich recht verantwortungsvoll. Ich befolge die Vorgaben der meist gut durchdachten Passwortrichtlinien, um sicherzustellen, dass mein Benutzerkonto möglichst gut geschützt ist. So gut geschützt wenigstens, wie es mit einem Passwort nun einmal sein kann. Dennoch frage ich mich oft, warum die Unternehmen überhaupt so viel Zeit in ihre Passwortrichtlinien stecken, wo es doch viel einfachere Möglichkeiten gäbe. Doch dazu kommen wir später.
Hinzu kommt noch, dass Passwörter nicht einmal dann nicht völlig sorgenfrei sind, wenn man sich an alle erinnern kann. Schaut man sich die FAQ eines beliebigen Onlinedienstes an, findet man mit hoher Wahrscheinlichkeit eine umfassende Erläuterung zu all den Ursachen, aus denen man möglicherweise nicht mehr auf sein Konto zugreifen kann – selbst wenn man das richtige Passwort eingegeben oder sein Passwort zurückgesetzt hat. Wenn ein Passwort nicht funktioniert, muss man möglicherweise den Browserverlauf löschen (womit dann aber auch alle anderen laufenden Anmeldungen beendet werden – ein grosser Aufwand, sofern man keinen Schlüsselbund hat). Möglicherweise hat man in seinem Schlüsselbund noch ein veraltetes Passwort gespeichert (wie es bei meinem easyJet-Konto auf dem PC der Fall war). Möglicherweise verwendet man auch einen inkompatiblen Browser oder muss schlichtweg die Browserversion aktualisieren.
Ich gratuliere Ihnen jedenfalls vielmals, wenn Sie all diese möglichen Problemlösungen durchgehen und anschliessend wieder auf Ihr Konto zugreifen können. Offenbar kommt es immer wieder vor, dass man aus seinen Benutzerkonten ausgesperrt wird. Das gilt umso mehr, wenn man sich vor Augen führt, dass grosse Unternehmen jedes Jahr über 3,6 Mio. EUR für das Zurücksetzen von Passwörtern ausgeben.
Aber ist das nicht völlig normal? Ist das nicht der Preis, den die Kunden für den Schutz ihrer Daten zahlen müssen? Nicht wirklich. Denn Passwörter sind gar nicht so sicher, wie man denken könnte.
Das Passwortproblem aus Unternehmenssicht
Kommen wir noch mal auf die bereits erwähnten Passwortrichtlinien zurück. Unternehmen investieren viel Zeit, Überlegung und Energie in ihre Passwortrichtlinien für Angestellte und Anwender. Darin wird festgelegt, welche Anforderungen sichere Passwörter erfüllen müssen, um nicht ohne Weiteres geknackt werden zu können. Theoretisch sind dabei Passwörter, die so komplex sind, dass nicht einmal die Benutzer selbst sie sich merken können, die beste Waffe gegen Cyberkriminelle. Das Hauptproblem besteht nun allerdings darin, dass die Richtlinien von den Benutzern nicht befolgt werden. Laut einer Studie von Nordpass sind die häufigsten Passwörter noch immer Abwandlungen von 12345, Passwort, 111111 oder QWERTZ. Bei britischen Männern belegt das Passwort «Liverpool» Platz drei, unter US-Amerikanerinnen rangiert dagegen «iloveyou» auf Platz acht. Sehr romantisch! Und definitiv unsicher.
Doch warum sind die Benutzer in Sachen Passwortsicherheit eigentlich so nachlässig? Vermutlich, weil sie an die 100 Passwörter im Kopf behalten müssen. Zwar bieten Schlüsselbunde eine gute Alternative. Doch an meinem Beispiel ist bereits deutlich geworden, dass auch dieses Verfahren nicht absolut narrensicher ist. Denn dafür muss man seine Geräte entweder verknüpfen oder immer dasselbe Gerät verwenden.
Für Unternehmen stellt sich jedoch noch ein Problem, das über Sicherheitsfragen hinausgeht. Ich habe meine Urlaubsbuchung ja abgebrochen, weil ich mich nicht bei booking.com anmelden konnte. Und so reagieren viele Benutzer, wenn sie sich nicht in ihrem Konto anmelden können. Das zeigt sich vor allem im Einzelhandel. Dort ergab eine Studie von Shopify, dass «dem Onlinehandel jedes Jahr 18 Mrd. USD Umsatz entgehen, weil Kaufvorgänge vorzeitig abgebrochen werden». Das ist angesichts der eigentlich einfachen Lösungsmöglichkeiten eine enorme Summe.
Die Lösung für das Passwortproblem
Gibt es also eine Möglichkeit, das Problem passwortgeschützter Portale und Dienste zu lösen? Die gibt es durchaus! Doch dazu muss man Passwörter überflüssig machen. Das mag auf den ersten Blick widersinnig erscheinen, ergibt aber durchaus Sinn. Denn man muss sich schon sehr anstrengen, sein Passwort zu vergessen, zu verlieren oder ein zu einfaches zu verwenden, wenn das «Passwort» der eigene Fingerabdruck oder das eigene Gesicht ist. Und genau das macht Nevis mit der passwortfreien, biometrischen Authentifizierungstechnologie möglich.
Wie funktioniert sie? Nehmen wir einmal an, booking.com würde Nevis Authentication integrieren. Dann könnte ich die Seite einfach aufrufen, zur Anmeldemaske gehen und mich mit meiner Face ID anmelden (sofern ich ein iPhone benutze). Und schon wäre ich drin. Das ist alles. Ich riskiere also nicht mehr, mehrmals das falsche Passwort einzugeben, nur um dann vorübergehend (oder dauerhaft!) abgemeldet zu werden. Ich muss mich nicht mehr mithilfe von Einmal-PINs ausweisen und auch keine Passwörter mehr zurücksetzen (weil ich mein Gesicht schlichtweg nicht zurücksetzen kann).
Mit der Nevis Lösung kann auch eine Zwei- und Multi-Faktor-Authentifizierung eingerichtet werden. Diese lässt sich flexibel an die Vertraulichkeit der jeweiligen Daten anpassen. Denn sensible Daten erfordern eine aufwändigere Verifizierung als per Einmal-PIN oder Geolokalisierung. So wird sichergestellt, dass der Zugriff so bequem wie möglich ist und zugleich die erforderliche Sicherheit gewährleistet ist.
Viele Internetportale und Apps nutzen diese Technologie bereits, darunter viele Banken und Zahlungsapps (wie PayPal). Denn das Verfahren kann praktisch nicht geknackt werden und bietet den Kunden ein hohes Mass an Sicherheit, das bei vertraulichen Daten unabdingbar ist. Zugleich ist die Lösung sehr benutzerfreundlich und einfach, was wiederum der Kundentreue förderlich ist. Und schliesslich lässt sie sich auch ganz einfach in die Apps von Versicherungen, Einzelhändlern und sozialen Medien einbinden. Die Vorteile für Kunden und Unternehmen sind also gleichermassen enorm. Wenn auch Sie Ihr Anmeldeverfahren vereinfachen, Ihre Kunden zufriedenstellen, Kosten im Kundenservice einsparen und Ihren Umsatz steigern wollen, sollten Sie das Thema Passwörter also einmal ganz grundsätzlich hinterfragen.