Nicht nur fürs Onlineshopping, für den Zugang zum Onlinebanking oder den Zutritt zum Bürogebäude per Ziffernkombination muss man sich Login-Codes merken. Auch die PIN für die EC- und Kreditkarte oder fürs Handy sollte man stets im Kopf haben. In immer mehr Lebensbereichen läuft nichts mehr ohne Passwort. Im Durchschnitt verwaltet eine Person zehn verschiedene Benutzerkonten und gibt achtmal täglich ein Passwort ein, hat die Kreditkartenfirma Mastercard herausgefunden. Die große Mehrheit der Befragten hat schon Passwörter vergessen - jedem Zweiten passiert das mehrmals pro Woche.
Viele machen es sich gefährlich leicht, indem sie für verschiedenste Anwendungen denselben Login-Code verwenden: International ist zum Beispiel "123456" sehr beliebt, in Deutschland sollen auch "hallo" oder "schalke04" zu den favorisiertesten Passwörtern zählen. Doch das ist sehr riskant, wenn der Code in falsche Hände gerät. Gut jeder zweite Verbraucher hofft laut Mastercard-Studie daher, dass es eine Alternative zu Passwörtern geben müsste, um sich zweifelsfrei ausweisen zu können.
Eine Möglichkeit, an der Banken, Kreditkartenunternehmen und IT-Firmen intensiv arbeiten, besteht in der vermehrten Nutzung biometrischer Daten - also unverwechselbarer Körpermerkmale der Verbraucher. Klingt nach schöner, neuer Welt, ist aber seit Einführung des Fingerabdrucksensors in Apples iPhone 5s im Herbst 2013 bereits Realität. Bei mehreren deutschen Banken kann man sich damit inzwischen in die Mobile-Banking-App einloggen, zum Teil sogar Überweisungen freigeben. Acht von zehn Deutschen wollen in Zukunft den Fingerabdruck nutzen, um bargeldlose Zahlungen abzusichern, wie eine aktuelle Umfrage des Digitalverbands Bitkom ergeben hat. "Der Fingerabdruck macht jeden Menschen einzigartig und ist damit ein ideales, weil hochsicheres Autorisierungsverfahren - und zudem schneller und bequemer einsetzbar als jedes Passwort", sagt Bitkom-Hauptgeschäftsführer Bernhard Rohleder.
Doch der Fingerabdruck dürfte erst der Anfang sein. Mastercard hat vor Kurzem mit "Identity Check Mobile" auch das Bezahlen per Selfie, ein per Handy geknipstes Selbstporträt, eingeführt - fürs Erste im Online-Shopping: Der Käufer bekommt auf seinem Handy oder Tablet eine Push-Benachrichtigung, die eine App öffnet. Dort gibt er die Transaktion entweder über den Fingersensor frei oder hält sich das Gerät wie beim Selfie-Knipsen vors Gesicht, zwinkert kurz mit den Augen - und schon hat er bezahlt. Das Blinzeln ist deshalb nötig, damit das Sicherheitssystem überprüfen kann, dass es sich um eine lebendige Person und nicht bloß um ein Foto von ihr handelt. Die Technologie sei "sehr robust und sicher. Es werden keine Videos und Bilder anerkannt", verspricht Ajay Bhalla von Mastercard. Zwar hat bislang noch kein deutsches Kreditinstitut das Verfahren im Markt eingeführt, aber schon 2017 könnte sich das ändern.
Fluch oder Segen?
Und es dürfte noch weitergehen. Denn nicht nur der Fingerabdruck oder das Gesicht können als biometrischer Zugangscode dienen. Auch die Iris, die Stimme, das Venenmuster im Handrücken oder der eigene Herzschlag sind einzigartig und damit prinzipiell passwortfähig. Welche Verfahren sich auf Dauer durchsetzen, dürfte von der Art der Anwendung, und von der Bequemlichkeit für die Nutzer abhängen.
Doch es gibt auch warnende Stimmen: Der große Vorteil von biometrischen Merkmalen - lebenslange Gültigkeit und Einmaligkeit - birgt zugleich ein großes Risiko. Eine herkömmliche PIN kann leicht geändert werden, der Fingerabdruck oder die Iris nicht. Wird ein biometrischer PIN etwa von Onlinekriminellen ergaunert, taugt er lebenslang nicht mehr als Passwort. Und beim Chaos Computer Club (CCC) in Berlin hat man noch grundsätzlichere Bedenken: "Biometrie ist geeignet, um Menschen zu überwachen und zu kontrollieren, nicht um alltägliche Geräte vor dem Zugriff zu sichern." Verbraucher sind daher gut beraten abzuwägen, wie sie mit ihren eigenen biometrischen Daten umgehen.