So klappt’s auch …

. . .  mit dem Passwort

VON MAIK SÖHLER
(TEXT) UND ELÉONORE ROEDEL (ILLUstration)

Chefredaktion taugt nicht. Auch nicht in den Varianten ChEfRedàKt10n oder 3hEFréD1kt9oN. Chefredaktion taugt nicht, weil ein gutes Passwort mindestens fünfzehn Zeichen haben soll, die sich aus groß und klein geschriebenen Buchstaben, Ziffern und Sonderzeichen mischen. Ein gutes, also sicheres Passwort ist x!FdD?Px3+UWG8.a oder etwa b$0,Aw9e0v<Wr, – aber nicht gut zu merken. Zumindest nicht, wenn wir dem Rat von Fachleuten folgen, die sagen, alle wichtigen Accounts wie E-Mail oder Onlinebanking müssten mit je einem eigenen Passwort gesichert sein. Mit Mühe ließe sich x!FdD?Px3+UWG8.a als generelles Passwort lernen. Aber mehr von der Sorte?

Und nun? Alles im Passwort-Manager des Rechners speichern? Eher nicht. Das ist, als legte man einem Taschendieb im Portemonnaie noch die Tan-Liste und den Fahrzeugschein bereit. Kehren wir in den Blütezeiten der Digitalisierung zur Zettelwirtschaft zurück? Das kann machen, wer nie Zettel verliert.

Jedes Jahr veröffentlichen Sicherheitsdienstleister Passwortdämlichkeiten: In Deutschland heißt ein oft verwendetes Passwort „Passwort“. Auch naheliegende Tastaturkombinationen wie qwertzu und 12345678 sind beliebt, oder die Namen von Popstars und Fußballvereinen.

Digital Viertelgebildete lachen über User, die solche Passwörter verwenden. Sie fühlen sich sicher, weil sie glauben, auf ihr uztrewq und 87654321 komme niemand. Darüber wiederum schütten digital Halbgebildete viel Häme aus. Ihre Kombination aus Merkbarkeit und Sicherheit besteht aus Worten des persönlichen oder beruflichen Kontexts, die Ziffern und Sonderzeichen aufpimpen: Chefredaktion wird ChEfRedàKt10n.

Digital Dreiviertelgebildete wissen: Das eine Passwort gibt es nicht. Es gibt nur viele Passwörter, die in unregelmäßigem Abstand gewechselt werden. Als Basis kann etwa dieser Satz dienen: „Lange und komplizierte Passwörter sind sicherer und leichter zu merken“. Aus den Wortanfängen wird erst „lukpssulzm“, es folgt die Groß- und Kleinschreibung mit „lUkpSsUlZm“, dann werden Ziffern eingefügt, die für einen selbst Sinn ergeben (Geburtsjahr der Mutter; Alter, in dem ich den ersten Joint rauchte) wie in „lUkpSsUlZm14“, schließlich folgen Sonderzeichen, so dass am Ende „?lUkpSs- UlZm14%“ steht. Beim Online-Banking-Passwort wird dann nur die Groß-/Kleinschreibung alle ein bis drei Monate variiert, die ersten beiden Buchstaben werden in Versalien geschrieben, dann die nächsten beiden usw. – Ziffern und Sonderzeichen bleiben gleich. Bei weiteren Passwörtern bleibt die Groß- und Kleinschreibung gleich, nur die Ziffern werden verändert. Bei Facebook beispielsweise rücken alle drei Monate die Zahlen um je zwei Positionen von hinten auf oder die Ziffern werden mit System ausgetauscht – von 50 aufwärts um je drei Ziffern etwa.

Digital Ganzgebildete runzeln über die Mühen der digital Dreiviertelgebildeten die Stirn. Sie wissen: Sicherheit gibt auch dieses Verfahren nicht. Ein Algorithmus, der darauf angesetzt wird, ein Passwort zu knacken, dessen Kern etwas anderes als reiner Zufall ist – und der Satz „Lange und komplizierte Passwörter sind sicherer und leichter zu merken“ samt Verfremdungen ist eben kein Zufall –, wird es knacken. Die Frage ist nicht ob, sondern wann. Dem entgegengesetzt werden 16-stellige Zufallskombinationen, am besten versehen mit einer sogenannten Mehrfaktorautorisierung. Das bedeutet, dass lange Zufallspasswörter noch einmal anders bestätigt oder ergänzt werden müssen. Bei der Passwortabfrage wird eine verschlüsselte E-Mail mit einem Code an ein anderes Gerät verschickt, dieser Code wiederum kann nur per SMS bestätigt werden. Den meisten Nutzern ist das mTan-Verfahren bei elektronischen Banküberweisungen bekannt, auch hier dient ein anderes Gerät der Authentifizierung. Ebenso können biometrische Merkmale wie Fingerabdruck- oder Irisscan zur Anwendung kommen, denkbar sind zudem körperliche Merkmale wie DNS-Informationen.

Ein großer Vorteil der digitalen Welt bestand bislang darin, das Leben der Menschen einfacher zu machen. Die nicht einfache Antwort auf die einfache Frage, wie ein Passwort zugleich sicher und merkbar sein kann, zeigt: Der Vorteil schwindet. NSA, GCHQ und Verfassungsschutz, die nach eigenem Bekunden angetreten sind, das Leben der Menschen sicherer zu machen, machen es im Alltag unsicherer. Und schwieriger.