Wollt ihr wirklich Passwörter abschaffen, Dominik Schürmann?

robotspaceship: Ernsthaft, ihr wollt Passwörter abschaffen? Die gibt es doch überall!

Ja, die gibt es überall. Und die gibt es auch schon seit Ewigkeiten. Passwörter sind sogar älter als das Internet.

Wirklich?

Ja, aber man muss sagen: Erst seit dem Internet nutzen wir sie alle und nutzen sie auch immer mehr.

Klar! Was stört dich daran?

Dass das ein Problem ist, haben ITler schon früh erkannt. Und wer genau hinsieht, kann das auch als Laie erkennen: Man vergisst Passwörter nämlich ständig. Und das versuchen wir mit einer ganz besonderen Software-Kategorie zu lösen: der des Passwort-Managers.

Gibt es die schon so lange?

Ja, seit über 15 Jahren. Für eine Software-Kategorie ist das relativ alt.

Ok, nochmals: Was stört sich jetzt daran?

Na ja, wir nutzen immer mehr Passwörter. Und irgendwann haben wir so viele, dass wir gar nicht mehr hinterherkommen und uns unsere Passwörter nicht merken können. Also haben wir einen Ort geschaffen, an dem wir sie ablegen können. Darauf haben wir dann ein Master-Passwort gepackt, das dann wiederum alles sichert.

Und?

Ich finde, das klingt abstrus! Es ist aber auch – zugegeben – die naheliegende Lösung!

Aber naheliegende Lösungen sind ja bekanntlich nicht immer die besten.

Ja. Dieses Master-Passwort muss lang sein und das muss komplex sein, weil es ja alles andere schützt. Es ist aber auch der single point of failure. Wenn ich das vergesse, habe ich ein Problem. Wenn es gehackt wird, auch.

Und das macht ihr anders?

Ja. Aber: heylogin ist auch ein Passwort-Manager. Wir gehen aber weg von der Master-Passwort-Lösung und bauen den ersten Manager, der als Sicherungsebene, das Smartphone der Nutzer:innen verwendet. Das heißt, wenn ich mich irgendwo einloggen möchte, bestätige ich das kurz mit meinem Smartphone.

Das ist also ein bisschen vergleichbar mit einer Zwei-Faktor-Authentifizierung. So ist es mir jedenfalls vorgekommen?

Genau.

Die sind ja oft nicht sonderlich beliebt … wie ist denn das Feedback von den Nutzer:innen?

Es liegt ein bisschen daran, wen man fragt. Wer vorher schon Passwort-Manager gewöhnt ist, sagt meist, dass diese Zwei-Faktor-Authentifizierung nervig ist. Die denken nämlich, dass sie neben ihrem Master-Passwort noch etwas haben, dass sie jetzt bedienen müssen. So wie bei Banken. Und ich verstehe es ja auch. Das klappt ja auch oft nicht. Für die ist das dann komisch, ein neues Konzept zu akzeptieren. Sie sind aber an Bord, sobald sie es ausprobiert haben.

Und es gibt auch noch die, die bisher keine Passwort-Manager verwendet haben?

Und das ist die große Mehrheit der Leute und die sind leichter zu überzeugen. Die sagen dann: „Ach ja, puh, ich habe hier 20 Passwörter, wäre ja mal cool, dass ich die nicht immer eintippen muss.“ Die sind dann sofort dabei.

Irgendwie hört sich das alles trotzdem so an, als sei das, was ihr gerade macht, nur ein erster Schritt.

Mein kürzester Pitch ist:  Wir schaffen Passwörter ab. Das ist natürlich auch eine Provokation und es ist auch technisch nicht ganz korrekt. Wir schaffen die Passwörter ja nicht ab. Was wir tun, ist, dass wir die Passwörter speichern und eine andere Nutzungsebene einfügen. Für jemanden, der nur wenig mit Technologie zu tun hat, haben wir sie dann aber abgeschafft. Aber nur, weil sie nicht mehr sichtbar sind. Aber das ist ja schon mal was.

Also wirklich ein erster Schritt?

Bis zur Weltherrschaft ist es noch ein weiter Weg.

Seid ihr eigentlich die Einzigen, die daran arbeiten, Passwörter abzuschaffen?

Nein, die ganz großen sind da auch dran. Microsoft, Google, Apple, Facebook, Mastercard und so weiter haben sich zur sogenannten FIDO-Alliance zusammengeschlossen. Die haben das Ziel, Passwörter abzuschaffen. Die User-Experience, die die sich vorstellen, ist dieselbe wie bei uns. Die arbeiten auch schon seit über fünf Jahren daran. Apple hat jetzt langsam einige Funktionen ausgerollt. Aber es gibt ein großes Problem an der Sache.

Welches?

Wenn man das wirklich so lösen will, wie die das machen, müssen die Website-Betreiber:innen dieses neue Verfahren einbauen. Das amerikanische eBay hat das jetzt eingebaut, aber es gibt noch gar nicht viele Websites, die das können.

Ich verstehe das Problem noch nicht.

Bis wirklich viele Websites diesen Standard umgesetzt haben, bin ich in Rente. Dazukommt, dass der Standard nicht gut geräteübergreifend funktioniert. Ich bin mir auch sicher, dass das noch gute 20 Jahre dauern wird, bis das funktioniert.

Gut für euch, oder?

Ja, wir bringen dieselbe Experience schon jetzt zu den Endnutzer:innen.

Ihr betreibt da gerade Innovation in der User-Experience, aber eigentlich verfolgt ihr doch ein philosophisches Konzept, dass das Passwort an sich ausgedient hat, oder?

Genau. Aber es gibt Dinge, von denen kommen wir als Gesellschaft nur schwer weg, weil die halt schon immer so waren. Wir werden die großen Konzerne kaum verändern. Und deshalb haben wir gesagt, wir müssen etwas on top bauen, dass die Passwörter im Hintergrund verschwinden. Die Frage ist jetzt nur, wie man die Nutzer:innen dazu bringt, den Wandel auch mitzugehen.

Und?

Ich komme aus der Forschung, wir sprechen hier über Usable Security. Es gibt die Haltung, dass moderne Software den Nutzer:innen so viele Entscheidungen wie möglich abnehmen sollte. Jede Einstellung, die man machen kann, ist eine Einstellung zu viel. Wir versuchen einem ähnlichen Ansatz zu folgen, indem wir zum Beispiel gar nicht mehr fragen, ob wir Passwörter speichern sollen. Die meisten Passwort-Manager zeigen erst ein Popup zur Bestätigung an  und dann passiert es, dass viele Leute das ablehnen und davon genervt sind – obwohl sie sich doch eigentlich für den Manager entschieden haben. Das wollen wir vermeiden. Es ist also wirklich noch viel Arbeit, bis wir wirklich keine Passwörter mehr haben.

Wann ist es denn so weit?

Ich glaube, 20 bis 40 Jahre. Ich war da mal optimistischer, aber ich denke da jetzt doch recht konservativ. Man muss ja auch immer fragen: Wann schaffen es so viele ab, dass wir als Endnutzer:innen es auch wirklich merken? Und das heißt dann auch nicht, dass das Passwort nicht immer noch eine Alternativ-Login-Möglichkeit sein wird. Es gibt da aber noch mehr Ideen, wie wir uns in Zukunft gegenüber Geräten anmelden können. Forscher:innen arbeiten daran, die Bewegung eines Menschen dafür zu nutzen. Die ist nämlich wie ein Fingerabdruck. Also da wird in den nächsten Jahren einiges passieren.