3 Passwort-Management-Methoden für sicherere Passwörter

Das ist der zweite Teil einer Serie rund um Passwörter. Die Serie richtet sich an alle, die im neuen Jahr endlich etwas Ordnung in ihre Passwort-Welt bringen wollen. Heute beschäftigen wir uns mit Methoden, um das Passwort möglichst einfach und trotzdem sicher zu verschlüsseln.

Im ersten Teil habe ich ein paar Begriffe geklärt: „Passwörter“ sind einfach irgendwelche Zeichenketten und „Online-Konten“ sind alle elektronischen Teile, für die man ein Passwort braucht.

Außerdem haben wir uns angeschaut, warum ein ordentliches Passwort-Management immer wichtiger wird und dabei auch erkannt – Überraschung –, dass das Thema echt lästig ist und auf absehbare Zeit auch bleibt.

Eine einfache Methode muss her!

Im letzten Beitrag habe ich von einem einfachen Weg zu einer ebenso einfachen Lösung gesprochen, den ich hier aufzeigen will. Wohin der Weg führt, ist schon ziemlich klar: zu Passwort-Safes und noch genauer dann in späteren Beiträgen zu einer konkreten Empfehlung „KeePass“.

Doch zuvor möchte ich schauen, ob es nicht gute Alternativen zu Passwort-Safes gibt. Wir hatten schon gesehen: Einfach alles „chaotisch“ im Kopf behalten ist angesichts der vielen Online-Konten und der immer strenger werdenden Anforderungen an Passwörter nicht mehr zu schaffen. Irgendwie methodisch muss man schon vorgehen.

Hier sind ein paar Methoden, die nicht auf Apps und Datenbanken beruhen.

Die Adressbuch-Methode

Du fügst für jedes Online-Konto in dein Adressbuch eine Person ein und versteckst irgendwo in den Adressangaben das Passwort. Für Karten-PINs geht das besonders gut, aber mit etwas Kreativität auch für Anderes:

• Konrad Krumpholz hat dann etwa die Telefonnummer 06179 355 6040, die letzten vier Stellen sind die PIN der Kreditkarte. Darum Konrad Krumpholz. Erika Carst ist der Deckname für die EC-Karte nach dem gleichen Prinzip.
• Otto Vergien wohnt im Anemonenweg 17. Straße inklusive Leerzeichen und Hausnummer sind das Passwort für das Online-Konto beim Otto Versand.
• Im Adressbuch kann man noch viele weitere Angaben machen, etwa zur Firma und Abteilung, in der eine Person arbeitet. „3L, Kaski & Psst“ heißt das junge Start-up, in dem Olivia Dahmke arbeitet (O D = Online Depot). In Wirklichkeit ist das natürlich das Passwort, in dem nun jede Menge Sonderzeichen, Zahlen und große wie kleine Buchstaben untergebracht sind.

Offensichtlich: Das geht irgendwie.

Ein großer Vorteil der Methode ist: Man hat alle Passwörter ohne Eingabe eines weiteren Master-Passwortes fast immer zur Hand. Aber es gibt auch Nachteile:

• Man muss sich für jedes Online-Konto den Decknamen merken. Bei vielen Konten kann das auch eine Herausforderung sein.
• Wenn Dritte sehen, was du machst, um dich an ein Passwort zu erinnern, wird schnell klar: Die stecken alle irgendwo unverschlüsselt im Adressbuch.
• Sie können kaum weitere Infos erfassen. Für viele Konten muss ja auch der Benutzername, die Kennung, bekannt sein. Manchmal ist das die E-Mail-Adresse, manchmal etwas Anderes. Wo steht die dann? Und die Web-Adresse, auf der das Login erfolgt? Die findet hier auch keinen Platz, will man nicht gleich das ganze Geheimnis des Adressbuchs lüften.

Kleines Fazit 1: Das ist allemal besser als gar nichts oder etwa die PIN mit Bleistift auf die Kreditkarte geschrieben. Aber es ist auch nicht wirklich gut.

Zahlen verschlüsseln

Du suchst dir ein Wort mit zehn verschiedenen Buchstaben am Anfang. Ab Nummer 11 ist egal, was da steht. „softwarebude“ wäre so ein Wort. Es ist bewusst klein geschrieben, denn den ersten Buchstaben willst du ja nicht durch Großschreibung verraten. Nun nummerierst du von vorne durch, 1, 2, 3 bis 0. Der PIN 0815 wird dann zu „uesw“.

Die verschlüsselten Codes wie „uesw“ oben kannst du dann auf einem Zettel mit dir führen. Den Übersetzungsschlüssel hast du ja im Kopf.

Du kannst mit dieser Methode alles verschlüsseln, was Ziffern hat. Wenn dein Online-Konto nicht besonders zickig ist und keine expliziten Vorgaben macht, erreichst du so leidliche Sicherheit. Du machst das Passwort schön lang, 15 Zeichen wären gut.

Da wären wir dann aber auch gleich bei den Nachteilen:

• Manche Konten sind eben „zickig“ und wollen mehr als nur Ziffern.
• So richtig sicher gegen einen sogenannten „Brute Force“-Angriff ist das nicht. Wer deinen Zettel mit allen Codes sieht, merkt vermutlich, dass es nur zehn Buchstaben gibt und erkennt so die Methode. Ein aus zehn verschiedenen Zeichen erzeugter Code der Länge zehn ist von einem sehr schnellen PC in weniger als fünf Sekunden geknackt. Stehen 26 verschiedene Zeichen zur Verfügung, dauert es knapp einen Tag und bei 52 Zeichen (Groß- und Kleinbuchstaben) rund zwei Jahre. Heiko Schröder hat das alles hier sehr schön vorgerechnet.
• Sollte eines deiner Passwörter „123456“ sein (das beliebteste Passwort der Welt!), dann ist der Code dafür nur „softwa“. Gut verschlüsselt sieht anders aus.

Kleines Fazit 2: Auch keine wirklich befriedigende Methode.

Passwort-Karte

Eine auf den ersten Blick altmodische Methode sind sogenannte Code-Karten. Aber für Menschen mit wenigen Online-Konten können sie durchaus interessant sein. Code-Karten werden von verschiedenen Stellen angeboten.

Die der Firma INES IT erschien mir besonders vollständig und klar beschrieben. Die Lösung ist übrigens absolut kostenlos und ohne Registrierung oder sonst eine Hintertür. Alles erfolgt anonym.

Geh ruhig einmal auf die Seite, es ist wirklich völlig unverbindlich. Drucke dir deine eigene Code-Karte aus und lese die einfache Anleitung. Das macht irgendwie sogar Spaß.

Die Vorteile der Code-Karte sind:

• Sehr großer Zeichensatz, große und kleine Buchstaben, Ziffern und Sonderzeichen
• Eine reine Pappkarte ist nachhaltig, erfordert keinen Strom.
• Die Code-Karten können reproduziert werden, zum Beispiel bei Verlust. So vogelwild sie auf den ersten (und auch zweiten) Blick aussehen: Mit der selbstgewählten ID erstellt man immer wieder die gleiche.

Pferdefüße? Na klar:

• Alle Passwörter einer Code-Karte sind genauso lang, wie das eine Schlüsselwort, das man sich merken muss. Nach den Empfehlungen der EFF sollen zumindest wichtige Passwörter deutlich länger sein. In diesem interessanten Beitrag der EFF zur Erzeugung eines guten Passworts hatte das Ergebnis 40 Zeichen. Um es mit einer Code-Karte zu verwenden, müsste also auch das Schlüsselwort 40 Zeichen haben.
• Der Zeichensatz ist sehr groß. Wenn eines deiner Konten nur Buchstaben und Ziffern erlaubt, passt es hier nicht rein. Um die Sonderzeichen der Code-Karte kommt man nun mal nicht rum.
• Jede Code-Karte hat nur Platz für acht Passwörter . Wer mehr Online-Konten hat, druckt sich noch eine Karte mit einer anderen ID aus und macht dann weiter.

Kleines Fazit 3: Gut für manche Online-Konten, aber nicht für alle und insbesondere: nicht für die wirklich wichtigen. Außerdem nicht für den, der mehr als 25 Online-Konten hat. Wer mag schon mit vier oder mehr Code-Karten jonglieren?

Großes Fazit

Es gibt ein paar Methoden, die Flut der komplexen Passwörter zu bändigen, aber wirklich befriedigend ist das, was wir hier gesehen haben, nicht. Irgendwo ist die Bettdecke immer zu kurz: zu wenige Konten, zu kurze Passwörter oder zu kleiner Zeichensatz.

Im nächsten Beitrag höre ich endlich mit der Meckerei auf und stelle Anforderungen an Passwörter vor. Nicht alle sind unumstritten. Muss man wirklich jedes Quartal die Passwörter wechseln?

Außerdem kommen wir zu einigen Methoden, ein gutes Passwort zu erzeugen. Da gibt es zum Teil recht abgedrehte Ansätze. Bleibt also dran, nächste Woche, am 5. Februar, erscheint der dritte Beitrag.

⇐ Zu Teil 1 | Zu Teil 3 ⇒

Auch interessant:

• Passwort-Pflege: Das Thema musst du jetzt angehen!
• So katastrophal ist die Passwort-Sicherheit bei Netflix und Co.
• Diese Karte zeigt dir Wlan-Passwörter in Flughäfen auf der ganzen Welt
• In Zeiten von WhatsApp und Co.: Wie relevant ist Social Media Monitoring noch?