Jeder kennt das Problem mit den Passwörtern. „123456“ wird von den paranoiden Technik-Nerds immer als unsicheres Passwort eingestuft. Dabei ist es doch so praktisch. Also was gibt es für Anforderungen an ein ordentliches Passwort?
- Sicher soll es sein.
- Nicht zu erraten.
- Mindestens 8 Zeichen.
- Groß- und Kleinschreibung.
- Sonderzeichen.
- Und das Killerattribut: Für jedes System einzigartig.
Es gibt verschiedene Ideen, wie man einigermaßen ordentliche Passwörter bekommt, die man sich auch merken kann:
- Einfach zu merkendes Passwort und dann immer die Taste rechts oberhalb des eigentlichen Buchstabens drücken. „Passwort“ wird dann zu „?wee3056“.
- Einen Schlüsselsatz, von dem man dann nur die Anfangsbuchstaben tippt. „Ich hoffe, dass niemand mein Passwort vor ’21 errät“ wird dann zu „IhdnmPv’21e“.
- Für die Systemeinzigartigkeit kann man das ganze noch mit dem Systemnamen kombinieren. „IhdnmPv’21e_JansBlog“.
Ist aber alles doof, weil der faule Mensch wahrscheinlich nur ein „Masterpasswort“ wie „?wee3056“ oder „IhdnmPv’21e“ im Kopf behalten will. Also hängt alles an diesem seidenen Faden.
- Ich kann mein Masterpasswort vergessen, weil ich es erst gestern angelegt habe und alle meine anderen Passwörter entsprechend geändert habe. Kein Witz.
- Ich kann mein Masterpasswort vergessen, weil ich vier Wochen im Urlaub bin und hinterher vor diesem blinkenden Cursor sitze.
- Ich kann mein Masterpasswort vergessen, weil ich es irgendwann vor Jahren aus Sicherheitsgründen mal geändert habe, mich aber inzwischen nicht mehr an das alte Passwort erinnere.
Alles kein Witz, habe ich alles schon gehabt. Glücklicherweise nur einmal mit einem Masterpasswort, so dass ich mich gleich aus x Systemen ausgeschlossen hatte. Ist dann aber auch gleich ein echter Arbeitsaufwand. Und wenn so ein Masterpasswort mal bekannt wird, ist das auch nicht witzig.
Also generiere ich mir jetzt einmalige Passworte, die ich mir aufschreiben und in der Schreibtischschublade lagern 🙂 OK, nicht ganz. Ich lagere die Passwörter in einem Passwort Manager. Es gibt da verschiedene Programme, die man möglicherweise schon mal gehört haben könnte. KeePass oder 1Password sind da bekanntere Namen. Ich habe mal eine Zeit mit KeePass rumgespielt, bin da aber ziemlich schnell an die Spaßgrenze gestoßen, wenn ich meine supersicheren Passwörter zu Hause, in der Firma und unterwegs auf dem Handy nutzen wollte.
Inzwischen bin ich bei LastPass gelandet. Bei LastPass schreibe ich alle meine Passwörter in eine online verfügbare Datenbank und habe sie so immer und überall dabei. Ich muss mir also nur noch das Passwort für LastPass merken (daher der Name LastPass: „Das letzte zu merkende Password“). LastPass behauptet, dass sie die Daten nur hochverschlüsselt abspeichern und auch nur verschlüsselt übertragen. Ja, ein gewisses Vertrauen muss man dem Anbieter da entgegen bringen, aber bis jetzt sind die Berichte und Tests ziemlich deutlich und es gibt keine Hinweise darauf, dass irgendwer in letzter Zeit schon mal einen Passworttresor aufgemacht hat.
Und weil mir das wegen Cloud und Skripkiddies nicht sicher genug ist, habe ich zusätzlich einen YubiKey als „Zwei-Faktor-Authentifizierung“ gekauft. Ist ähnlich wie eine EC-Karte. Ich komme nur dann an mein Geld (meine Passwörter), wenn ich die EC-Karte (YubiKey) einschiebe und meine PIN (Passwort) eingebe.
Nein, ich glaube nicht daran, dass der (amerikanische) Anbieter so sicher ist, dass nicht mal die NSA da mitlesen kann. Aber wenn ich Daten habe, von denen ich weiß, dass sie relevant für die NSA sind und ich sie verstecken möchte, werde ich mir was anderes ausdenken. Und im Falle eines Datengaus („Alle Passwörter wurden geknackt.“) habe ich so auf jeden Fall eine Liste, welche Passwörter alle unsicher sind und geändert werden müssen. Und ich vergesse dadurch auch nicht irgendeinen uralten Zugang zu irgend einem System.
Weiterführende Links: