Social Media

Das Passwort-Paradox: Das notwendige Übel

Schlüssel, Schloss, Sicherheit, Passwort, Passwort-Safes
Der Abschluss der Serie rund um Passwort-Safes. (Foto: Pixabay.com / PDPics)
geschrieben von Peter Apel

Der Mensch ist ein soziales und kommunikatives Wesen. Viele Sprachen zu sprechen, ist ein Zeichen von Weltoffenheit. Darum lernen wir es in der Schule, machen Sprachreisen, belegen Kurse, büffeln mit Apps. Jede Menge Schweiß fließt in das Ziel, viel verstehen zu können und von vielen verstanden zu werden. Kein Zweifel: Das muss uns wichtig sein. Trotzdem ist bei Passwort-Safes alles anders.

Passwörter andererseits sind aus einer sehr kleinen Sprache, mit extrem wenigen Gesprächspartnern, meistens nur einem. Zudem sind diese Gesprächspartner praktisch ausnahmslos Maschinen. Selbst wenn sie „soziales Netz“ heißen, kann von 37 Grad keine Rede sein.

In der Passwort-Sprache steht überhaupt fast alles auf dem Kopf. Gute Verständlichkeit für Viele ist gerade nicht das Ziel, ganz im Gegenteil! Und Leute, die hier ihre Dolmetscher-Leistungen anbieten, werden nicht als kluge Dienstleister und Lehrer angesehen, sondern als kriminelle Hacker.

Vielleicht ist diese verkehrte Welt der einsamen Passwort-Sprache und ihr Ziel der zuverlässigen Unverständlichkeit einer der Gründe, warum wir uns mit der Organisation unserer „Vokabeln“ an dieser Stelle so schwer tun. Es passt irgendwie nicht zu unserer Natur.

Denn es ist ja schon eigenartig bis paradox, dass wir einerseits vor Angriffen auf unsere digitale Intimzone sehr große Angst haben, andererseits aber eben doch deutlich zu wenig für ihren Schutz tun.

2016, also vor unvorstellbar langer Zeit, gaben 34 Prozent der Internetnutzer in einer Bitkom-Studie an, Passwort-Safes zu nutzen. In der gleichen Studie gaben gut 60 Prozent an, dass sie besondere Angst hätten vor „illegaler Nutzung meiner persönlichen Daten durch Kriminelle“.

Reine Paranoia oder unbegründete Massenhysterie war das durchaus nicht. Fast die Hälfte der Befragten der Studie gab an, mit Internet-Kriminalität schon selbst Bekanntschaft gemacht zu haben.

Man muss sich das auf der Zunge zergehen lassen: Jeder Zweite hatte persönlichen Kontakt mit Cybercrime, aber nur jeder Dritte verwendete Passwort-Safes.

Mach was dagegen

Wir können resignierend unseren Kopf schütteln oder versuchen, das Ding irgendwie gerade zu biegen. Das zweite war der Ansatz dieser Serie.

Ob Passwörter nun unserer Natur widersprechen oder wir einfach zu faul oder zu blöd sind: Es gibt ganz normale Leute, die das Thema in den Griff gekriegt haben. Wäre doch verrückt, wenn das nicht auch anderen gelänge. Also auf!

Mein Hauptziel war, Angst aus dem Thema zu nehmen. Es ist eben kein Hexenwerk und keine Spezialwissenschaft erforderlich. Es gibt sehr einfache und etwas anspruchsvollere Lösungen, aber sie alle sind von der Komplexität deutlich unter dem, was man heute für ein Standard-PC-Spiel, für die Bedienung von Excel oder zur Steuerung eines sozialen Netzwerks braucht (Stichwort Datenschutz-Einstellungen bei Facebook).

Inhaltsverzeichnis im Rückblick

In den zurückliegenden zehn Wochen ist so eine Serie aus elf Beiträgen entstanden, die von ersten vorsichtigen Rundum-Blicken über abgedrehte Passwort-Generatoren, selbstorganisierte Tests bis hin zu sehr konkreten Installations-Tipps für ein sehr konkretes Produkt führte.

Zu Beginn im Januar hatten wir noch kein Inhaltsverzeichnis, jetzt liefern wir es nach.

Beitrag 1: „Passwort-Pflege: Das Thema musst du jetzt angehen!

Die Serie beginnt mit einer Einführung ins Thema und der Klärung einiger Begriffe. Der Kern des Beitrags ist die Botschaft: Wer sich nicht um sein Passwort-Management kümmert, bettelt um Probleme. Wer dafür Argumente braucht oder einfach noch ein bisschen überzeugt werden will, sollte den Beitrag lesen.

Beitrag 2: „3 Passwort-Management-Methoden für sicherere Passwörter

Wer beschlossen hat, partout kein Freund von Passwort-Safes zu sein, der ist vielleicht froh, dass es zumindest ein paar Notlösungen gibt. Drei davon stelle ich vor. Code-Karten – Lösung No. 3 – ist dabei die beste. Für alle, die weniger als 20 Passwörter haben, sind Code-Karten zumindest eine Prüfung wert.

Special-Beitrag 1: „8 Fakten zu Passwörtern, die du kennen solltest“

Um die nachfolgenden Beiträge nicht zu sehr mit ellenlangen Erklärungen zu belasten, haben wir dieses Special dazwischengeschoben. Ganz ehrlich: Es ist eine ziemlich bunt gemischte Ansammlung von Argumenten und Erklärungen.

Warum müssen Passwörter so lang sein? Was ist 2FA? Sind die alten Passwort-Regeln nicht alle falsch? Und noch einiges mehr. Für die nächsten Beiträge ist dieses Special jedenfalls eine gute Grundlage.

Beitrag 3: „Sichere Passwörter und wie man sie erstellt

Es wird ernst im dritten Beitrag. Ich stelle drei Methoden vor, wie man zu einem sicheren Passwort kommt. Denn welchen Passwort-Safe wir auch später auswählen werden: Ein dickes, fettes Master-Passwort muss diesen Safe wieder schützen.

Um dieses eine kommen wir nun mal nicht rum. Und darum ist es wichtig, Methoden zu kennen, ein solches Master-Passwort zu erstellen. Und so trocken das ganze Thema vielleicht klingt: Zumindest eine der Methoden ist recht lustig.

Beitrag 4: „Passwort-Safes: So einfach wie ein Adressbuch

Vielleicht bist du einer von den Menschen, die sich unter Passwort-Safes nicht wirklich etwas vorstellen können. Und aus Sorge, sich da erst stundenlang hineindenken und einarbeiten zu müssen, lässt du es lieber gleich sein und bleibst bei „Schnucki84“ als Passwort für alle deine Online-Konten. Nein, bitte nicht! Lies den Artikel und mach dein Leben ein bisschen sicherer.

Beitrag 5: „Passwort-Safe: Just A Little Light

Beitrag Nummer fünf ist zweigeteilt. Zuerst führe ich nochmal ein paar Argumente für Passwort-Safes an um auch den letzten zu überzeugen, dass es keine wirkliche Alternative gibt.

Anschließend stelle ich drei recht aktuelle Vergleiche von einigen bekannten Passwort-Safes vor. Manchmal werden solche objektiven Vergleiche von irgendeinem Hersteller finanziell unterstützt. Meine drei Quellen sind recht unverdächtig, was das angeht.

Special-Beitrag 2: „So testest du deinen Passwort-Safe richtig“

Ein Ergebnis der drei Passwort-Safe-Vergleiche aus dem letzten Beitrag war, dass keiner der Testkandidaten wegen Untauglichkeit ausgeschieden ist. Alle waren grosso modo okay. Aber was man auch lesen konnte: Sie funktionieren unterschiedlich und sie sehen (natürlich) unterschiedlich aus.

Darum mein Vorschlag: Dann soll doch jeder selbst zwei oder drei davon ausprobieren. Der am besten gefällt, wird ausgewählt. Doch wie testet man einen Passwort-Safe? Um diese Frage geht es im zweiten Special. Wer gar nicht selbst testen will, der kann dieses Special allerdings überspringen.

Beitrag 6: „Der Weg zum sicheren Passwort: Loslegen mit KeePass

Alle Kandidaten der vorgestellten Vergleiche werden von irgendeiner Firma programmiert und weiterentwickelt. Und diese Firma verdient irgendwie Geld damit. Bis auf einen: KeePass. KeePass ist ein Open-Source-Produkt. Open Source bietet einen entscheidenden Vorteil. Es gibt keine versteckte Hintertür.

Open Source bedeutet aber auch einen wichtigen Nachteil: kein Marketing, keine Werbung. Ich finde das Produkt allerdings sehr gut. Darum stelle ich es in den letzten drei Beiträgen etwas ausführlicher vor. Im sechsten Beitrag richten wir zunächst KeePass auf dem PC ein.

Beitrag 7: „So richtest du deinen KeePass-Account ein“

In diesem Beitrag benutzen wir KeePass für die grundlegenden Funktionen, die ein Passwort-Safe hat: Ein Passwort speichern und es später beim Login wieder aufrufen. Außerdem stelle ich die Oberfläche weiter vor.

Beitrag 8: „Backup und Einstellungen bei deinem neuen Passwort-Safe“

Hier geht es zunächst um ein paar Einstellungen von KeePass. Das Wichtigste ist: Der Normal-Anwender muss eigentlich nichts ändern. Alles kann in den Grundeinstellungen so bleiben.

Das etwas Unerfreuliche an KeePass ist nämlich: Wenn man anfängt, etwas zu ändern, kann man sich schnell im Wald verlaufen. Es gibt Unmengen von Optionen. Aber eben: Man braucht sie fast gar nicht.

Der Abschluss zu KeePass ist eine kleine Anleitung, wie man den Passwort-Safe sichert – Stichwort Backup. Zum einen gegen irgendwelche lokalen Schäden und zum anderen langfristig im Sinne von digitalem Nachlass. Irgendjemand soll ja vielleicht das eine oder andere Passwort erben.

Beitrag 9: Den liest du grade.

Nach einigen philosophischen Vorbemerkungen und einer Art nachträglichem Inhaltsverzeichnis folgen jetzt noch ein paar Worte zu den Kommentaren sowie ein kleiner Ausblick.

Kommentare

Allen Kommentatoren erstmal großer Dank für ihre Zeit und das Engagement. Es waren auch wirklich viele interessante Anregungen und zusätzliche Informationen dabei. Also wirklich: sehr gut.

So, der Reihe nach:

Guter Artikel.

Interessanter Artikel. Ich bin auch schon lange auf der Suche nach einer einfachen Lösung, um Passwörter sicher irgendwo zu hinterlegen und dort per Smartphone oder Notebook zugreifen zu können. Ich hatte vor einigen Wochen mal Avira Password Manager ausprobiert, da ich seit Jahren Avira Antivir nutze und damit sehr zufrieden bin. Also, dachte ich, die können das. War auch soweit zufrieden. Doch nach 2 Wochen wurden die Passwörter einfach nicht mehr herangezogen und auch auf Nachfrage gab es keine Antwort. Also habe ich mein Konto wieder gelöscht. KeePass finde ich zu gefährlich. Das Programm nutzen so viele Nutzer, dass dieses wieder für Hacker interessant ist und ich die Gefahr sehe, dass dieses Programm irgendwann gehackt wird.

  • @Frank: Aviras Verhalten verstehe ich auch nicht. Die Sorge, dass KeePass gerade, weil es so beliebt ist, ein besonderes Hacker Ziel ist, kann man in der Tat nicht völlig von der Hand weisen. Andere kleinere hat es ja schon (in Grenzen) erwischt.

Super Serie! Endlich nimmt sich mal jemand detailliert dieser komplexen Thematik an. Ich bin selbst großer Fan von Keepass (in erster Linie wegen der erwähnten OS Geschichte und weil Drittanbieter immer gehackt werden können, haben wir ja bei Sony & Adobe vor Augen geführt bekommen) – das funktioniert auch perfekt an jedem Terminal, sofern man die jeweilige Handyversion in der Hoschentasche stecken hat.

Ganz ehrlich:

Passwortsafes sind HoneyPots. Egal wie sicher, es wird immer mal wieder eine Möglichkeit geben den Schutz zu umgehen. Ist wie ein Safe in der Wohnung. Sobald einer da ist muss was wichtiges drinn sein.

Daher: Alles was wichtig ist nicht elektronisch abspeichern sondern nen Medienbruch machen. Dann noch mit gutem Menschenverstand an die Sache ran gehen und sich mit dem Thema beschäftigen. Ein Online Account hat nicht nur Vorteile sondern auch Pflichten.

  • @J.K.: Passwort-Safes sind in der Tat „Honeypots“. Das heißt, sie haben große Anziehungskraft für Hacker. J.K. empfiehlt deshalb einen Medienbruch. Die Passwörter sollte man nicht dort speichern, wo sie auch benutzt werden. Das ist ein guter Ansatz. Und diesem Satz kann wohl jeder zustimmen: „Ein Online-Account hat nicht nur Vorteile, sondern auch Pflichten.“

Interessant in dem Kontext sind Hardware-Passwort-Manager, wie The Moolti Pass, Onlykey, Pastilda und Simple Password.

  • @Michael: Ein sehr konstruktiver Kommentar, der in die gleiche Richtung wie J.K. geht, aber dann auch konkret vier weitere Techniken vorstellt, seine Passwörter zu speichern. Folge dem Link und probier dann die Vorschläge von Michael aus. Das sind wirklich interessante Optionen. Danke! Vielleicht machen wir aus deinen Vorschlägen noch einen gesonderten Beitrag – irgendwann in diesem Jahr.

Gerade in Bezug auf die Sicherheit würde ich KeePass nicht allzu hoch hängen. Sobald ein Browser-Plugin bzw. – in heutiger Zeit dürfte das sehr verbreitet sein! – eine App für’s Mobiltelefon hinzugenommen werden, steigt die Gefahr drastisch, dass darin eben doch eine Backdoor schlummert und die vormals verschlüsselten Daten dann im Klartext auslesen kann. Das ist m.E. nicht zu unterschätzen, da ein Nutzer i.d.R. nicht genau prüft, wer die App programmiert hat, und ob sie echtes Open Source ist. Diese Lücke ist sehr viel einfacher auszunutzen als die verschlüsselten, proprietären Apps und Plugins der kommerziellen Anbieter. Und da viele Anwendert aus Bequemlichkeit ihre Datenbank via Dropbox synchronisieren, ist auch die Zugänglichkeit in diesen Fällen nicht unbedingt sicherer als bei Lastpass & Co. In der Breite wird stets der Komfort gewinnen, das allein erklärt den großen Erfolg von Dropbox, wo alles unverschlüsselt auf amerikanischen Servern rumliegt (Alternative: Tresorit).

  • @Mirage: Danke für die kritische Anmerkung. Es stimmt, wenn man KeePass über die eingebauten Optionen hinaus individualisieren oder Zusatzfunktionen einbauen will, dann muss man auf sogenannte Plugins zurückgreifen. Und bei diesen ist nicht immer sicher, ob sie wirklich Open Source sind. Vielleicht schmuggeln sie dann doch heimlich eine Art Backdoor ins Programm. Guter Hinweis.

Hallo Peter, was hältst Du von LastPass? Das ist doch eigentlich ein relativ unkompliziertes Tool, mit dem man sämtliche Passwörter komprimiert verwalten kann, oder?

  • @Enrico: LastPass scheint mir unter den anderen Passwort-Safes eine gute Alternative zu sein. Wem KeePass also etwas zu „studentisch“ ist, der wird vielleicht mit LastPass glücklicher. Aber ich möchte noch hinzufügen: die anderen Produkte, die so durch die verschiedenen Vergleichstest geistern, sind auch alle nicht grob verkehrt. Wer nur einen Test lesen will, sollte den von der Stiftung Warentest nehmen.- Kostet 1,50€, ist aber gut investiert.

Eine letzte Motivation

Wir haben unsere kleine Reise hier unter der Überschrift „Sicherheit“ begonnen. Viele Passwörter, alle kompliziert und verschieden: Wie kann man sie alle sicher speichern? So, dass keiner sie errät? Diese nervige Frage saß uns im Genick.

Aber du kannst das Thema auch aus einer anderen Ecke angucken. Da wäre einmal Erinnerung. Man muss nicht gleich von Alzheimer schwadronieren, um darauf aufmerksam zu machen, dass unser Gedächtnis manchmal eben „lückt“.

Äußere Anlässe können das begünstigen. Gerade solche Konten, die man nur selten anspricht und bei denen man auch das Passwort selten irgendwie vor Augen hat, sind Kandidaten für den großen, grauen Mustopf.

Ein ähnlicher Ansatzpunkt ist der Aspekt Zeit. Ich kann mir nicht vorstellen, dass wir in zehn Jahren keine weltweite elektronische Kommunikation und keine elektronischen Medien mehr haben.

Vieles andere könnte verschwinden, aber das? Auch in zehn Jahren werden wir uns irgendwie elektronisch autorisieren müssen. Biometrie ist gut und schön. Aber für den Fall von Verletzungen oder Amputationen muss es zeichenbasierte Fallback-Lösungen geben. Auch die müssen sicher gespeichert werden.

Für welche konkrete Lösung du dich am Ende entscheidest, ob für Passwort-Safes oder Hardware mit Medienbruch, ob für KeePass oder mit LastPass: Wichtig ist, dass deine Passwörter jetzt strukturiert gespeichert werden. Aus meiner Sicht ist das letztlich eine Frage der digitalen Reife.


Deine Jobbörse in der Digital-Welt

Wir tun jeden Tag, was wir lieben. Das kannst du auch! Über 20.000 Traumjobs in der IT- und Digital-Welt warten nur auf dich in der BASIC thinking-Jobbörse. Gleich reinschauen und entdecken!

Über den Autor

Peter Apel

Peter Apel ist seit über 20 Jahren in Sachen Internet aktiv, ein Experte der ersten Stunde. Als Autor und Sprecher richtet er sich in erster Line an den ganz normalen Nutzer. Mit digitalen Identitäten und Passwortsicherheit beschäftigt er sich schon lange. Besonders ausführlich behandelt er die Themen „sicherer Umgang mit Online Konten“ und „Passworte“ in seinem Buch „Mein Recht im Netz“, das bei der Stiftung Warentest erschienen ist. Dort ist auch sein Einsteiger-Buch "Facebook" erschienen, ebenfalls an normale Internet-Nutzer gerichtet. In seinem Blog stellt er regelmäßig Neuigkeitern zu diesen und weiteren Themen vor.

4 Kommentare

Kommentieren