Zeit für Veränderung! Anstelle wie jedes Jahr den World Password Day zu feiern, ruft LastPass dieses Jahr den World Password(less) Day aus – ganz in Vorfreude auf eine passwortfreie Zukunft. Ja, wir werden irgendwann Passwörter hinter uns lassen. Ein Grund mehr, ihre Geschichte in Erinnerung zu rufen.
Wie kam es zu Passwörtern? Seit wann nutzen wir sie überhaupt? Und wie schützen uns moderne Passwörter heute? Sehen wir uns die Geschichte des Passworts an.
Die 1960er-Jahre
NASA-Astronauten bereiten sich im Rahmen des Apollo-Programms auf den ersten Flug zum Mond vor. Etwa um die gleiche Zeit erstellte Fernando Corbató am Massachusetts Institute of Technology (MIT) die ersten passwortgeschützten Benutzerkonten im Zusammenhang mit dem von ihm entwickelten Compatible Time-Sharing System (CTSS). Benutzer, die sich dort mit einem eigenen Benutzernamen und Passwort anmeldeten, konnten danach ihre eigenen Dateien auf Konsolen verwalten, die mit dem Mainframe-Computer der Universität verknüpft waren. Dieser erste benutzerbasierte Authentifizierungsmechanismus wies zwar diverse Sicherheitsmängel auf, beeinflusste aber ganz direkt, welche Vorstellung sich die gesamte Welt – vom Computerfreak bis zum Normalnutzer – in den nächsten Dekaden von Passwörtern machen würde.Die 1970er-Jahre
Ein erstes Upgrade erfuhr die Passwortsicherheit im Jahr 1972, als der Kryptografie-Spezialist Robert Morris einen Verschlüsselungsprozess namens Hashing entwickelte, bei dem Passwörter in Zahlen übersetzt wurden. Gegen Ende der Siebzigerjahre entwickelte Morris dann gemeinsam mit seinem Kollegen Ken Thompson eine weitere Technik namens Salting. Dem gespeicherten Passwort wurden dabei zufällige Zeichenketten hinzugefügt, sodass es schwerer zu knacken war. Sowohl Hashing als auch Salting sind heute noch weit verbreitet. Auch LastPass nutzt beides, um das Masterpasswort seiner Benutzer abzusichern.Die 1990er- und 2000er-Jahre
Als das Internet in unser aller Alltag ankam, machte dies Authentifizierungsprotokolle notwendig, die noch sicherer waren. AT&T beansprucht, 1995 die Zweifaktor-Authentifizierung (2FA) erfunden zu haben; ein Patent dafür erhielt das Unternehmen 1998. 2FA war damals eine Nischenlösung, doch heute ist es überall zu finden. Auch Sie nutzen höchstwahrscheinlich bei einigen Ihrer Onlinekonten 2FA. Bei 2FA wird von Ihnen beim Onlinezugriff eine weitere Form der Authentifizierung (auch „Faktor“ genannt) gefordert, etwa ein zeitlich beschränkter Einmalcode, mit dem Sie belegen, dass Sie tatsächlich die Person sind, die sich vorgeblich anmeldet. Diesen Faktor erhalten Sie per SMS, per E-Mail oder über eine Authenticator-App. Sobald Sie den Code erhalten haben, geben Sie ihn in das dafür vorgesehene Feld ein und bekommen dann, wenn alles stimmt, Zugriff auf Ihr Konto. 2FA und der Nachfolger Multifaktor-Authentifizierung (MFA) verbreiteten sich in den Nullerjahren immer stärker, als Unternehmen über BYOD-Konzepte (Bring Your Own Device) begannen, ihren Mitarbeitern die Nutzung privater Mobilgeräte bei der Arbeit zu gestatten.Die 2010er-Jahre
In dieser Dekade setzte die Mobilgerätetechnik zu einem Höhenflug an und damit wurde eine solide Passwortsicherheit immer wichtiger. Aus 2FA wurde MFA: Bei der Kontenanmeldung musste nun ergänzend zu den klassischen Zugangsdaten die Authentifizierung über mehrere Faktoren erbracht werden. Diese können sein:- etwas, das Sie wissen (Ihr Passwort)
- etwas, das Sie besitzen (Ihr Smartphone, ein MFA-Token oder eine Smartcard)
- etwas, das Sie sind (biometrische Daten wie Finger-, Gesichts- oder Stimmabdruck)
