piwik no script img

Sichere und merkbare Passwörterx!FdD´Px3+UWG8.a

Geknackte SSL-Verbindungen erinnern uns daran: Ein Passwort muss sicher sein. Und man sollte es sich merken können. Wie geht das zusammen?

Und was ist das jetzt wieder für ein umständliches Passwort? Tabelle: taz

Chefredaktion taugt nicht. Auch nicht in den Varianten ChEfRedàKt10n oder 3hEFréD1kt9oN. Chefredaktion taugt nicht, weil ein gutes Passwort mindestens 15, besser noch 16 Zeichen haben soll, die sich zufällig aus groß und klein geschriebenen Buchstaben, Ziffern und Sonderzeichen mischen.

Ein gutes (im Sinne von sicheres) Passwort ist x!FdD´Px3+UWG8.a oder o´FnXE.;h2XJ0P8U bzw. keins von beiden, weil sie hier schon publiziert wurden und damit verbrannt sind. Jeder Passwort-Generator, der auf 16 Stellen ausgerichtet ist, kann passende Antworten geben.

Das Problem an x!FdD´Px3+UWG8.a und o´FnXE.;h2XJ0P8U ist: Das können wir uns nicht merken. Zumindest dann nicht, wenn wir dem Rat von Fachleuten folgen, die sagen, dass alle wichtigen Accounts wie E-Mail, Online-Banking, digitales Shopping etc. mit je einem eigenen Passwort gesichert sein sollten.

Mit Mühe ließe sich x!FdD´Px3+UWG8.a als generelles Passwort lernen, nicht aber auch noch o´FnXE.;h2XJ0P8U und WzIRE"GpyGWubN?h. Was heißt schon wichtige Accounts? Der eine steckt viel Liebe und Fleiß in den eigenen Facebook-Auftritt, die andere kann ohne drei Stunden „Everquest“ am Tag nicht leben.

12345678 und qwertzu

Und nun? Alles im Passwort-Manager des Rechners speichern? Eher nicht. Das ist, als legte man einem Taschendieb im Portemonnaie auch gleich noch eine Tan-Liste, den Fahrzeugbrief und einen Zweitschlüssel für die Wohnung als Service bereit. Kehren wir in den Blütezeiten der Digitalisierung zur Zettelwirtschaft zurück? Das kann machen, wer niemals Zettel verliert oder verlegt und sie stets so aufbewahrt, dass sie tatsächlich immer parat sind. Sicherheit kommt dort an ihre Grenzen, wo das Gedächtnis dem Menschen sagt: Was mir nicht dient, bringt nichts.

Jedes Jahr veröffentlichen Sicherheitsdienstleister Listen mit den größten Passwortdämlichkeiten. In der englischsprachigen Welt heißt ein häufig verwendetes Passwort dann „Password“, in Deutschland „Passwort“. Auch naheliegende Tastaturkombinationen wie qwertzu und 12345678 sind beliebt, ebenso die Namen von Popstars und Fußballvereinen.

Digital Viertelgebildete lachen über solche Listen und jene User, die solche Passwörter verwenden. Sie selbst fühlen sich sicher, weil sie glauben, auf ihr uztrewq und 87654321 komme niemand. Darüber wiederum schütten digital Halbgebildete viel Häme aus. Ihre Kombination aus Merkbarkeit und Sicherheit besteht in Worten aus dem persönlichen oder beruflichen Kontext, die mit Ziffern und Sonderzeichen aufgepimpt werden: aus Chefredaktion wird ChEfRedàKt10n.

Aus lukpssulzm wird ?lUkpSsUlZm14%

Digital Dreiviertelgebildete schmunzeln auch darüber. Sie wissen: Das eine Passwort gibt es nicht. Es gibt nur viele Passwörter, die in einem unregelmäßigen Abstand auch noch gewechselt werden. Als Basis kann beispielsweise dieser Satz dienen: „Lange und komplizierte Passwörter sind sicherer und leichter zu merken“. Aus den einzelnen Wortanfängen wird erst „lukpssulzm“, dann folgt die eingearbeitete Groß-/Kleinschreibung mit „lUkpSsUlZm“, weiterhin werden Ziffern eingefügt, die für einen selbst Sinn ergeben (Geburtsjahr der Mutter; Alter, in dem ich den ersten Joint rauchte; das Jahr, in dem mein Fußballverein sein letztes Spiel gewann) wie in „lUkpSsUlZm04“, schließlich folgen Sonderzeichen, so dass am Ende „?lUkpSsUlZm14%“ steht.

Für unterschiedliche Passwörter muss jede und jeder sein eigenes System finden. Anders geht es nicht. Um beim Beispielsatz „Lange und komplizierte Passwörter sind sicherer und leichter zu merken“ und seiner Abkürzung „lukpssulzm“ zu bleiben: Beim Online-Banking-Passwort wird dann nur die Groß-/Kleinschreibung alle ein/zwei/drei Monate variiert, zuerst werden die ersten beiden Buchstaben in Versalien geschrieben, dann die nächsten beiden usw. Ziffern und Sonderzeichen bleiben gleich.

Bei weiteren Passwörtern bleibt die Groß-/Kleinschreibung gleich, und nur die Ziffern werden verändert. Bei Facebook beispielsweise rücken alle drei Monate die Zahlen um je zwei Positionen von hinten auf oder aber die Ziffern werden nach einem bestimmten System ausgetauscht – von 50 aufwärts um je 3 Ziffern, von 500 abwärts um je vier Ziffern usw. Weitere Accounts werden allein von einer sinnvollen, für den Nutzer und die Nutzerin einfach nachvollziehbaren Änderung der Sonderzeichen geschützt, Groß-/Kleinschreibung und Ziffern bleiben gleich. Da sind Fantasie und Logik gleichermaßen gefragt, statische Systeme verbieten sich auf dieser Ebene von selbst.

16stellige Zufallskombinationen samt Mehrfaktorautorisierung

Digital Ganzgebildete runzeln über die Mühen der digital Dreiviertelgebildeten die Stirn. Sie wissen: Sicherheit gibt auch dieses Verfahren nicht. Ein Algorithmus, der darauf angesetzt wird, ein Passwort zu knacken, dessen Kern etwas anderes als reiner Zufall ist – und der Satz „Lange und komplizierte Passwörter sind sicherer und leichter zu merken“ samt seiner Abkürzungen und Verfremdungen ist ja eben kein Zufall –, wird es auch knacken. Die Frage dabei ist nicht ob, sondern wann. Dem entgegengesetzt werden 16stellige Zufallskombinationen, am besten versehen mit einer sogenannten Mehrfaktorautorisierung.

Das bedeutet, das lange Zufallspasswörter noch einmal anders bestätigt bzw. ergänzt werden müssen. Bei der Passwortabfrage wird eine verschlüsselte E-Mail mit einem Code an ein anderes Gerät verschickt, dieser Code wiederum kann nur per SMS bestätigt werden. Den meisten Nutzern ist das mTan-Verfahren bei elektronischen Banküberweisungen bekannt, auch hier dient ein anderes Gerät der Authentifizierung.

Ebenso können biometrische Merkmale wie Fingerabdruck- oder Irisscan zur Anwendung kommen. Denkbar für die Mehrfaktorautorisierung sind zudem komplexe körperliche Merkmale wie DNS-Informationen. Und ebenso denkbar ist, dass damit aus mittelgroßen Problemen des Datenschutzes riesige Probleme werden.

Der Unterschied von Wahrscheinlichkeit und Sicherheit

Absolute Sicherheit von Passwörtern geht auf Kosten der Merkbarkeit und umgekehrt. Eine Lösung, die beiden Aspekten gerecht wird, ist nicht in Sicht. Man mag sich in der Sicherheit wiegen, die Wahrscheinlichkeit, dass jemand einen Algorithmus ausgerechnet auf mein Passwort(-System) ansetzt, sei im Vergleich zu Angriffen auf die IT-Systeme der Deutschen Bank, des Europäischen Parlaments oder einer Rüstungsfirma gering. Wahrscheinlichkeit ist gut, endgültige Sicherheit sieht anders aus.

Ein großer Vorteil der digitalen Welt bestand bislang darin, das Leben der Menschen einfacher zu machen. Die nicht einfache Antwort auf die einfache Frage, wie ein Passwort zugleich sicher und merkbar sein kann, zeigt: Der Vorteil schwindet. NSA, GCHQ und Verfassungsschutz, die nach eigenem Bekunden angetreten sind, das Leben der Menschen sicherer zu machen, machen es im Alltag unsicherer. Und schwieriger.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

6 Kommentare

 / 
  • Ein merkwürdiger Artikel. Was an Passwortmanagern schlecht sein soll, habe ich nicht verstanden. Geht es darum, dass der Computer kompromittiert werden könnte und dann gleich alles bekannt ist? Wie sieht denn die Alternative aus? Wie viele Passwörter muss der Trojaner mitlesen, um das System zu verstehen? Zwei? Wie lange ist er kompromittiert?

     

    Kein Mensch braucht Sonderzeichen oder Umlaute. Das gibt nur Stress, wenn die Tastaturbelegung mal nicht stimmt. Passwortlänge wird kaum eingespart, merken kann man sich das Ergebnis auch nicht.

     

    "Die Frage dabei ist nicht ob, sondern wann." Ja. Und wenn das Wann 50 Jahre in die Zukunft zeigt, oder wenigstens 5? Auch bei Nicht-Zufälligkeit kann der Schlüsselraum riesig sein. Onlineangriffe sind schon bei achtstelligen Zufallspasswörtern aussichtslos: Da müssten für jedes Passwort Daten in der Größenordnung von 50 Petabyte zwischen Angreifer und Server bewegt werden. Wie unauffällig.

     

    Falls jemand – und das ist der übliche Fall – die Liste der "verschlüsselten" Passwörter klaut, dann knackt er 25% davon mit minimalem Aufwand. Und dann? Warum sollte man sich für die letzten 5% der Passwörter den millionenfachen Aufwand machen wie für die ersten 95%? Computerkriminelle denken ökonomisch. Außerdem ist der Angriff bis dahin bekannt geworden: Genug Zeit, das Passwort zu ändern.

     

    Und warum soll man regelmäßig – also ohne konkreten Anlass – seine Passwörter ändern? Welchen Sinn hat das denn?

     

    Die Lösung der Probleme liegt in einem sicheren Zweitsystem:

     

    http://www.alt-aber-sicher.de/

     

    Darauf kann auch der Passwortmanager laufen. Außerdem alles, was wirklich heikel ist (z.B. Onlinebanking).

     

    Die Lösung dieser Probleme ist auch nicht Mehrfaktorautorisierung. Die Lösung ist ganz offensichtlich Kryptografie. Keine Passwörter mehr, nur noch öffentliche Schlüssel. Die dürfen ruhig geklaut werden.

  • Leider alles falsch. Ich hab's hier mal versucht zu erklären:

     

    http://blog.fdik.org/2014-04/s1396628609

     

    Das einzige Passwort, dass man sich merken muss, sieht ganz anders aus.

    • @Volker Birk:

      Siehe auch: http://xkcd.com/936/

      (Ich weiß, dass Sie sich darauf beziehen, aber als ein schnelles Beispiel für die anderen Leser)

  • "....Alles im Passwort-Manager des Rechners speichern? Eher nicht. Das ist, als legte man einem Taschendieb im Portemonnaie....""

    mal bitte eine Frage an einen Kundigen hier>>

    wäre denn ein Passwortmanager

    (z.B. avast!easyPass) mit einem einzigen--meinetwegen 18-stelligem Master-Zugang-- dann nicht das Sicherste+! Bequemste.

    danke.

  • Das ganze Passwort-Getöse ist Angstmacherei der IT-Industrie, genau wie damals der sagenumwobene Year-2000-bug. Wenns ums Geld geht, wie bei Bankzugängen oder Benutzung der Kreditkarte auf Internet, da muss Sicherheit sein. Aber da kümmern sich schon die Banken und Geldinstitute um sichere Zugänge und Passwörter. Auf der Arbeit garantiert der Arbeitgeber mit entsprechenden Zugangsrechten die Sicherheit der Daten, mit denen man arbeitet. Alles sonstige, was den privaten Bereich betrifft, wird 1. durch bestehende Passwortsysteme hinreichend geschützt, und 2. selbst wenn jemand den Code knacken sollte, hat das keinerlei weitreichenden Konsequenzen.

    Mein Hotmail-Account ist seit Jahrzehnten mit derselben vierstelligen Zahl sicher verriegelt und selbst diese Information hilft niemandem, weil er nicht meine dazugehörige ID kennt. Ich habe dutzende von Accounts und Passwörter (die ich regelmässig vergesse und per Email zurücksetzen lasse) und halte diese so einfach wie es geht, bis mich das jeweilige System dazu zwingt, das Passwort zu ändern. Nie ein Problem damit gehabt und wenn der Tag kommt, eröffne ich umgehend einen anderen Account. Reine Angstmacherei, wie immer und überall!

    • @bouleazero:

      @bouleazero:

       

      Dem kann man nur zustimmen - denn was nützen all die sicheren Passwörter, wenn diese dann bei den meisten Mailprovidern offensichtlich im Klartext gespeichert und mit einfachen Mittel millionenfach geklaut werden können...