Das ist der dritte Teil einer Serie rund um Passwörter. Die Serie richtet sich an alle, die irgendwie spüren, dass es so wie bisher mit dem eigenen Passwort-Gewurschtel nicht mehr weitergeht. Heute beschäftigen wir uns mit der Frage, wie man sichere Passwörter findet und erstellt.
Im ersten Teil habe ich ein paar Begriffe geklärt: „Passwörter“ sind irgendwelche Zeichenketten, und „Online-Konten“ sind alles elektronische Teile, für die man so ein Passwort braucht. Außerdem haben wir erkannt, dass das Thema auf absehbare Zeit zunehmend wichtiger und damit auch leider nerviger wird.
Im zweiten Teil habe ich verschiedene Methoden vorgestellt, die eigenen Passwörter zu organisieren. Es gibt ganz originelle nicht-digitale Ansätze, aber sie haben alle irgendeinen Haken, die Bettdecke ist immer irgendwo zu kurz.
Die Anforderungen sind eben zu komplex und umfassend. Das Thema muss darum „elektrisch“ angegangen werden. Wir werden also wohl oder übel in Kürze bei einer Software-Lösung landen, konkret bei einem Passwort-Safe oder Passwort-Manager.
Die Themen heute: Sichere Passwörter
In diesem Beitrag will ich aber zuvor noch zwei grundsätzlichen Fragen nachgehen:
- Stimmt das überhaupt noch mit den strengen Passwort-Anforderungen? Das klingt doch alles immer sehr wichtigtuerisch!
- Wie kommt man zu einem sicheren Passwort, wenn man doch mal eins braucht? Ich stelle hier einige Methoden vor. Es gibt einfache, komplizierte wie auch recht lustige.
Alles Quatsch mit den schwierigen Passwörtern?
Konnte man nicht in letzter Zeit immer wieder lesen, dass das alles Humbug ist: jedes Passwort anders, jedes jeden Monat neu, nur lange, wirre Zeichenketten und so weiter? Ist das nicht alles nur digitale Hysterie? Und sollte man sich darum nicht einfach sagen: „Bangemachen gilt nicht, ich nehm‘ immer den Kuschelnamen von meinem Schnucki, da kommt nie einer drauf!“
Ja, es stimmt, solche Nachrichten konnte man in letzter Zeit immer wieder in Überschriften lesen. Hier sind einige Beispiele:
- Vergiss die alten Passwort-Regeln
- Das Ende der Passwörter
- Darum soll man nicht regelmäßig das Kennwort wechseln
Aber hinter den reißerischen Überschriften (aka Click-Baiting) verstecken sich oft ganz andere Botschaften, als man zunächst erwartet. In meinen konkreten Beispielen erfährt der, der alles liest, dass man keineswegs alle alten Passwort-Regeln vergessen soll und dass die Passwörter durchaus nicht am Ende sind.
Sie sollten nur alle in einem Passwort-Safe verwaltet werden. Nur das mit dem zwanghaften quartalsweisen Wechsel, da ist in der Tat etwas dran.
Mit Schnuckis Kuschelnamen überall als Passwort ist das Leben zwar sehr bequem. Und wenn man immer nur die Titelzeilen liest, kann man sich sogar zufrieden zurücklehnen: „Hab ich doch gleich gesagt!“.
Doch auch diese kritischen Texte sagen in Wirklichkeit unisono: Lang, sinnleer und alle verschieden ist ein absolutes Muss!
Nicht alle Online-Konten sind gleich
Ein Gutes hat die kritische Sicht auf die strengen Passwort-Anforderungen aber doch. Die Regeln kann man schon ein bisschen lockern. Dazu teilt man seine Online-Konten in zwei Gruppen: sensible und nicht ganz so sensible.
Zu den sensiblen Online-Konten gehören E-Mail, Router, PC-Admin, Blog-Admin, Cloud-Konto, Online Depot, offizielle Portale von Behörden, Ämtern und Versicherungen, Back-up-Programm, Verschlüsselungs-Programm und noch einiges mehr. Und natürlich das für den Passwort-Safe – wenn man denn einen hat.
Das sind alles Konten, die wirklich gut und sicher verschlossen sein sollen. Werden sie gehackt, kann man echt Probleme bekommen.
Und die anderen sind eben nicht ganz so kritisch – Spiele-Konten zum Beispiel oder das vom Fitness-Club. Sollte hier ein Passwort aufgedeckt werden, dann entsteht entweder gar kein unmittelbarer Schaden, oder nur ein recht kleiner.
Und Online-Shops? Die meisten sind auch nicht sooo sensibel. Okay, mal angenommen: Konto gehackt, was dann? Ja, man kann dann auf deine Kosten einkaufen. Aber bei den allermeisten gibt es doch gleich nach der Bestellung eine Dankes-Mail, dann die Nachricht, dass der Versand eingeleitet wurde und meist noch mindestens eine dritte Info.
In aller Regel bemerkt man also den Hack sofort und kommt dann häufig auch noch irgendwie raus aus dem Kaufvertrag, notfalls via Retoure.
Wo du genau die Grenze bei deinen Online-Konten zwischen sensibel und nicht ganz so sensibel ziehst, musst du selber entscheiden. Meine Auflistung der besonders sensiblen Konten oben stellt auf jeden Fall nur ein Minimum dar.
Strenge Anforderungen nur, wo wirklich was anbrennen kann
Für die sensiblen Konten solltest du die bekannten Passwort-Anforderungen sehr ernst nehmen:
- Mindestens 15 Zeichen aus Buchstaben, Zahlen und Sonderzeichen
- Eine völlig sinnleere, rein zufällige Zeichenkette. Wie man die findet, steht etwas weiter unten.
- Keine „Tastatur-Muster“ wie etwa qwertzuiop und so weiter
- Für jedes sensible Konto ein anderes Passwort
- Einmal im Jahr komplett neu ist nicht verkehrt. Viel wichtiger ist aber, dass man es sofort ändert, wenn man irgendeinen Verdacht hat oder (!) wenn es einen äußeren Anlass gibt. Wer sich zum Beispiel gerade vom Partner getrennt hat, sollte besser einmal sein ganzes Passwort-Zimmer neu tapezieren. Anderes Beispiel: Handy verloren. In den Apps sind die Passwörter ja meist gespeichert. Auch die sollte man schnell ändern, wo es geht.
Bei den nicht so ganz sensiblen Konten kannst du etwas entspannen:
- 10 Zeichen tun es hier auch.
- Sinnleer sollen diese Passwörter weiterhin sein.
- Sie sollen auch alle verschieden sein. Sonst kann man von einem aufgedeckten auf die Restlichen schließen. Und 20 gehackte Online-Bestellungen auf deine Kosten brauchst du ja dann doch nicht.
- Ein regelmäßiges Ändern nach Schema ist hier nicht unbedingt erforderlich. Aber das mit den äußeren Anlässen gilt hier genauso wie bei den sensiblen Konten.
Jetzt machen wir mal was ganz Sinnleeres!
Aha, interessanter Plan, aber wie geht das eigentlich? Hier sind vier Methoden, die die Aufgabe so einigermaßen lösen.
1. Methode: Erster Buchstabe
Auf der Suche nach einer völlig zufälligen Zeichenkette kann uns eine wohlbekannte Methode weiterhelfen: der erste Buchstabe der Wörter eines beliebigen Satzes.
Du kannst hier nehmen was du willst: einen Satz aus der Zeitung, aus Pippi Langstrumpf, aus einem Lied von Heino oder aus der Werbung. „ZRuNfSIAoA“ sind zum Beispiel die ersten Buchstaben von „Zu Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker“. Etwas kurz als Passwort, aber das Prinzip ist klar.
Problem: Bei dieser Methode sind Zahlen und Sonderzeichen selten.
Lösung 1: Du mischt noch ein paar Sonderzeichen und Zahlen dazwischen, nach einem Muster, dass du dir ausdenkst und zusammen mit dem Satz merkst.
Lösung 2: Du nimmst einen etwas längeren Satz, vielleicht eine ganze Strophe von einem Lied. „UeRzdWZTuNwwUwibdsfi“ sind die Anfangsbuchstaben des Refrains des aktuellen Schlagers „Regenbogen“. Will man dieses 20-Zeichen-Passwort mit Brute Force knacken, dauert das bei der aktuellen Rechnergeschwindigkeit knapp 160 Milliarden Jahre.
2. Methode: Würfeln
Das US-amerikanische EFF empfiehlt die Würfel-Methode. Sie ist wirklich sehr sicher! Wer in Sachen Passwort etwas paranoid ist, sollte diese Methode wählen. Sie wird in einem englischsprachigen Artikel beschrieben.
Ausgangspunkt sind fünf Würfel. Man würfelt damit einen fünfstelligen Code (zum Beispiel 4-4-3-2-6) und sucht in einer ewig langen Liste des EFF zu dem Code das Zufallswort, das daneben steht (im Beispiel: „petite“). Dann würfelt man noch mal und geht wieder so vor. Nach insgesamt sechs Mal Würfeln hat man sechs Zufallswörter und die hintereinander sind zusammen das Passwort.
Bei mir ist so „petite conjure diving duckbill verbally pending“ entstanden. Okay, etwas vogelwild alles, aber warum nicht? Wenn’s sicher ist!
3. Methode: Dichten
Noch ungewöhnlicher für ein Passwort ist der Reim. Verse haben ja den Vorteil, dass man sie sich gut merken kann. Das gilt gerade für den einfachen Knittelvers. Beispiel: „Der Knittelvers das Passwort stärkt, weil jeder ihn sich so gut merkt.“
Nun macht das ja noch auf sehr kleiner Flamme Sinn. Das Besondere dieser Methode ist, dass nur solche Knittelverse verwendet werden, die sinnfrei sind. Ein schlichtes Beispiel: „Afghanistan, Afghanistan, Afghanistan und Pakistan.“ Hat den Rhythmus, hat den Reim – und keinen Sinn.
Obwohl man die Methode spontan eher für eine Karnevals-Lösung hält, ist sie in Wirklichkeit absolut seriös und mit viel Mathematik im Hintergrund. Ich habe sie mal ausführlicher in meinem Blog vorgestellt.
Wie kommst du nun zu solchen sinnfreien (englischen) Knittelversen? Du lässt dir einen erzeugen über diese englischsprachige Webseite.
4. Methode: Passwort-Safe
Ich greife jetzt dem nächsten Beitrag in einer Woche vor und verrate hier schon das riesengroße Geheimnis: Jeder Passwort-Safe hat natürlich einen Passwort-Generator.
Du musst dich also nicht mit englischen Reimen und Würfeln rumärgern. Der Generator erzeugt beliebig lange sichere Passwörter blitzartig.
Einwände gibt es auch hier, unter anderem, dass Software keinen Zufall erzeugen kann, dass also alle so gefundenen Passwörter in Prozeduren entstehen, die man theoretisch wiederholen kann.
Aber die modernen Passwort-Safes binden in ihre Generatoren so viele ganz individuelle, nicht reproduzierbare Faktoren mit ein (Datum, Uhrzeit, Nutzungsdauer etc.), dass das Klonen eines bereits erzeugten Passworts praktisch ausgeschlossen ist.
Zusammengefasst:
- Sichere Passwörter bleiben wichtig.
- Die wohlbekannten Passwort-Anforderungen soll man auch weiterhin beherzigen.
- Es gibt verschiedene Arten, zu immer neuen sicheren Passworten zu kommen.
- Eine einfache und gute Methode ist es, einen Passwort-Safe zu verwenden.
Und beim nächsten Mal komme ich dann auch endlich zu diesen Passwort-Safes. Ich stelle zunächst vor, wie sie funktionieren und wie man sie nutzt.
