1.5.1 Passwort- und Identitätsdiebstahl

Die Authentifizierung beim Zugriff auf Anwendungen wird in den meisten Fällen durch Kombinationen von Nutzerkennung (Login) und Passwort geregelt. Dabei haben viele Nutzer häufig mehrere dutzend solcher Login/Passwort-Kombinationen, um privat und beruflich verschiedenste Dienste nutzen zu können. Hierbei besteht die Schwierigkeit, wie man mit diesen Passwörtern umgeht. Schwer zu erratende Passwörter sind meistens auch schwer zu merken, so dass die Nutzer zwischen dem Verwenden von einfachen Passwörtern (z.B. Name des Familienhundes) oder dem Aufschreiben von Passwörtern wählen müssen. Alternativ werden Password Safes angeboten, die mit einem Master-Passwort geschützt sind und darin die weiteren Passwörter speichern. Sie können auch sichere Passwörter generieren. Der alternative Password Safe Master Password generiert dagegen die anwendungsspezifischen Passwörter bei Bedarf stets neu aus dem Master Password, Nutzernamen und Anwendungsnamen, so dass es keine Passwortdatei gibt, die kompromittiert werden könnte. Man vertraut dabei jedoch auf die Sicherheit der speziellen Hashfunktion PBKDF2. Mit Password Safes sind generell separate Programme und nicht die Passwortspeicherfunktionen in Webbrowsern gemeint, die als unsicher gelten.

Als Alternative zu Login/Passwort-Kombinationen kommen Fingerabdrucksensoren in Frage. Diese lassen jedoch teilweise mit nicht allzu hohem Aufwand überlisten, wie die Fälle des iPhone 5 und iPhone 6 zeigen.

Eng verwandt mit dem Thema Passwortdiebstahl ist das Thema Identitätsdiebstahl. Wenn man die Login/Passwort-Kombination eines anderen Nutzers erlangt hat, kann man mit dessen Identität Handlungen vornehmen. Ein Identitätsdiebstahl liegt aber auch schon vor, wenn Kreditkartendaten zusammen mit Adressdaten erbeutet wurden, ohne dass die Angreifer auch die PIN haben. Der Begriff Identitätsdiebstahl ist also allgemeiner zu sehen.