 |
# taz.de -- Sichere und merkbare Passwörter: x!FdD´Px3+UWG8.a |
|
|
|
> Geknackte SSL-Verbindungen erinnern uns daran: Ein Passwort muss sicher |
|
> sein. Und man sollte es sich merken können. Wie geht das zusammen? |
|
|
 |
Bild: Und was ist das jetzt wieder für ein umständliches Passwort? |
|
|
|
Chefredaktion taugt nicht. Auch nicht in den Varianten ChEfRedàKt10n oder |
|
3hEFréD1kt9oN. Chefredaktion taugt nicht, weil ein gutes Passwort |
|
mindestens 15, besser noch 16 Zeichen haben soll, die sich zufällig aus |
|
groß und klein geschriebenen Buchstaben, Ziffern und Sonderzeichen mischen. |
|
|
|
Ein gutes (im Sinne von sicheres) Passwort ist x!FdD´Px3+UWG8.a oder |
|
o´FnXE.;h2XJ0P8U bzw. keins von beiden, weil sie hier schon publiziert |
|
wurden und damit verbrannt sind. [1][Jeder Passwort-Generator, der auf 16 |
|
Stellen ausgerichtet ist], kann passende Antworten geben. |
|
|
|
Das Problem an x!FdD´Px3+UWG8.a und o´FnXE.;h2XJ0P8U ist: Das können wir |
|
uns nicht merken. Zumindest dann nicht, wenn wir dem Rat von Fachleuten |
|
folgen, die sagen, dass alle wichtigen Accounts wie E-Mail, Online-Banking, |
|
digitales Shopping etc. mit je einem eigenen Passwort gesichert sein |
|
sollten. |
|
|
|
Mit Mühe ließe sich x!FdD´Px3+UWG8.a als generelles Passwort lernen, nicht |
|
aber auch noch o´FnXE.;h2XJ0P8U und WzIRE"GpyGWubN?h. Was heißt schon |
|
wichtige Accounts? Der eine steckt viel Liebe und Fleiß in den eigenen |
|
Facebook-Auftritt, die andere kann ohne drei Stunden „Everquest“ am Tag |
|
nicht leben. |
|
|
|
## 12345678 und qwertzu |
|
|
|
Und nun? Alles im Passwort-Manager des Rechners speichern? Eher nicht. Das |
|
ist, als legte man einem Taschendieb im Portemonnaie auch gleich noch eine |
|
Tan-Liste, den Fahrzeugbrief und einen Zweitschlüssel für die Wohnung als |
|
Service bereit. Kehren wir in den Blütezeiten der Digitalisierung zur |
|
Zettelwirtschaft zurück? Das kann machen, wer niemals Zettel verliert oder |
|
verlegt und sie stets so aufbewahrt, dass sie tatsächlich immer parat sind. |
|
Sicherheit kommt dort an ihre Grenzen, wo das Gedächtnis dem Menschen sagt: |
|
Was mir nicht dient, bringt nichts. |
|
|
|
Jedes Jahr veröffentlichen Sicherheitsdienstleister Listen [2][mit den |
|
größten Passwortdämlichkeiten]. In der englischsprachigen Welt heißt ein |
|
häufig verwendetes Passwort dann „Password“, in Deutschland „Passwort“. |
|
Auch naheliegende Tastaturkombinationen wie qwertzu und 12345678 sind |
|
beliebt, ebenso die Namen von Popstars und Fußballvereinen. |
|
|
|
Digital Viertelgebildete lachen über solche Listen und jene User, die |
|
solche Passwörter verwenden. Sie selbst fühlen sich sicher, weil sie |
|
glauben, auf ihr uztrewq und 87654321 komme niemand. Darüber wiederum |
|
schütten digital Halbgebildete viel Häme aus. Ihre Kombination aus |
|
Merkbarkeit und Sicherheit besteht in Worten aus dem persönlichen oder |
|
beruflichen Kontext, die mit Ziffern und Sonderzeichen aufgepimpt werden: |
|
aus Chefredaktion wird ChEfRedàKt10n. |
|
|
|
## Aus lukpssulzm wird ?lUkpSsUlZm14% |
|
|
|
Digital Dreiviertelgebildete schmunzeln auch darüber. Sie wissen: Das eine |
|
Passwort gibt es nicht. Es gibt nur viele Passwörter, die in einem |
|
unregelmäßigen Abstand auch noch gewechselt werden. Als Basis kann |
|
beispielsweise dieser Satz dienen: „Lange und komplizierte Passwörter sind |
|
sicherer und leichter zu merken“. Aus den einzelnen Wortanfängen wird erst |
|
„lukpssulzm“, dann folgt die eingearbeitete Groß-/Kleinschreibung mit |
|
„lUkpSsUlZm“, weiterhin werden Ziffern eingefügt, die für einen selbst Si… |
|
ergeben (Geburtsjahr der Mutter; Alter, in dem ich den ersten Joint |
|
rauchte; das Jahr, in dem mein Fußballverein sein letztes Spiel gewann) wie |
|
in „lUkpSsUlZm04“, schließlich folgen Sonderzeichen, so dass am Ende |
|
„?lUkpSsUlZm14%“ steht. |
|
|
|
Für unterschiedliche Passwörter muss jede und jeder sein eigenes System |
|
finden. Anders geht es nicht. Um beim Beispielsatz „Lange und komplizierte |
|
Passwörter sind sicherer und leichter zu merken“ und seiner Abkürzung |
|
„lukpssulzm“ zu bleiben: Beim Online-Banking-Passwort wird dann nur die |
|
Groß-/Kleinschreibung alle ein/zwei/drei Monate variiert, zuerst werden die |
|
ersten beiden Buchstaben in Versalien geschrieben, dann die nächsten beiden |
|
usw. Ziffern und Sonderzeichen bleiben gleich. |
|
|
|
Bei weiteren Passwörtern bleibt die Groß-/Kleinschreibung gleich, und nur |
|
die Ziffern werden verändert. Bei Facebook beispielsweise rücken alle drei |
|
Monate die Zahlen um je zwei Positionen von hinten auf oder aber die |
|
Ziffern werden nach einem bestimmten System ausgetauscht – von 50 aufwärts |
|
um je 3 Ziffern, von 500 abwärts um je vier Ziffern usw. Weitere Accounts |
|
werden allein von einer sinnvollen, für den Nutzer und die Nutzerin einfach |
|
nachvollziehbaren Änderung der Sonderzeichen geschützt, |
|
Groß-/Kleinschreibung und Ziffern bleiben gleich. Da sind Fantasie und |
|
Logik gleichermaßen gefragt, statische Systeme verbieten sich auf dieser |
|
Ebene von selbst. |
|
|
|
## 16stellige Zufallskombinationen samt Mehrfaktorautorisierung |
|
|
|
Digital Ganzgebildete runzeln über die Mühen der digital |
|
Dreiviertelgebildeten die Stirn. Sie wissen: Sicherheit gibt auch dieses |
|
Verfahren nicht. Ein Algorithmus, der darauf angesetzt wird, ein Passwort |
|
zu knacken, dessen Kern etwas anderes als reiner Zufall ist – und der Satz |
|
„Lange und komplizierte Passwörter sind sicherer und leichter zu merken“ |
|
samt seiner Abkürzungen und Verfremdungen ist ja eben kein Zufall –, wird |
|
es auch knacken. Die Frage dabei ist nicht ob, sondern wann. Dem |
|
entgegengesetzt werden 16stellige Zufallskombinationen, am besten versehen |
|
mit einer sogenannten Mehrfaktorautorisierung. |
|
|
|
Das bedeutet, das lange Zufallspasswörter noch einmal anders bestätigt bzw. |
|
ergänzt werden müssen. Bei der Passwortabfrage wird eine verschlüsselte |
|
E-Mail mit einem Code an ein anderes Gerät verschickt, dieser Code wiederum |
|
kann nur per SMS bestätigt werden. Den meisten Nutzern ist [3][das |
|
mTan-Verfahren bei elektronischen Banküberweisungen] bekannt, auch hier |
|
dient ein anderes Gerät der Authentifizierung. |
|
|
|
Ebenso können biometrische Merkmale wie Fingerabdruck- oder Irisscan zur |
|
Anwendung kommen. Denkbar für die Mehrfaktorautorisierung sind zudem |
|
komplexe körperliche Merkmale wie DNS-Informationen. Und ebenso denkbar |
|
ist, dass damit aus mittelgroßen Problemen des Datenschutzes riesige |
|
Probleme werden. |
|
|
|
## Der Unterschied von Wahrscheinlichkeit und Sicherheit |
|
|
|
Absolute Sicherheit von Passwörtern geht auf Kosten der Merkbarkeit und |
|
umgekehrt. Eine Lösung, die beiden Aspekten gerecht wird, ist nicht in |
|
Sicht. Man mag sich in der Sicherheit wiegen, die Wahrscheinlichkeit, dass |
|
jemand einen Algorithmus ausgerechnet auf mein Passwort(-System) ansetzt, |
|
sei im Vergleich zu Angriffen auf die IT-Systeme der Deutschen Bank, des |
|
Europäischen Parlaments oder einer Rüstungsfirma gering. Wahrscheinlichkeit |
|
ist gut, endgültige Sicherheit sieht anders aus. |
|
|
|
Ein großer Vorteil der digitalen Welt bestand bislang darin, das Leben der |
|
Menschen einfacher zu machen. Die nicht einfache Antwort auf die einfache |
|
Frage, wie ein Passwort zugleich sicher und merkbar sein kann, zeigt: Der |
|
Vorteil schwindet. NSA, GCHQ und Verfassungsschutz, die nach eigenem |
|
Bekunden angetreten sind, das Leben der Menschen sicherer zu machen, machen |
|
es im Alltag unsicherer. Und schwieriger. |
|
|
|
27 Apr 2014 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.cryptool-online.org/index.php?Itemid=136 |
|
[2] /index.php |
|
[3] http://de.wikipedia.org/wiki/Transaktionsnummer |
|
|
|
## AUTOREN |
|
|
|
Maik Söhler |
|
|
|
## TAGS |
|
|
|
Passwort |
|
Passwörter |
|
Sicherheit |
|
Schwerpunkt Überwachung |
|
Apple |
|
Passwort |
|
Heartbleed |
|
Heartbleed |
|
|
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Apple kooperiert mit Kreditkartenfirmen: Zahlen per Fingerabdruck |
|
|
|
Kunden sollen die neue Generation des iPhone als digitale Brieftasche |
|
benutzen. Das berge aber auch neue Risiken, warnen Verbraucherschützer. |
|
|
|
Sicher im Netz einloggen: Der Trend geht zum Zweitpasswort |
|
|
|
Wer häufig von fremden Computern auf seine Nachrichten zugreift, muss um |
|
sein Passwort bangen. Eine neue Entwicklung soll das ändern. |
|
|
|
„Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden |
|
|
|
Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein |
|
unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der |
|
Technik. |
|
|
|
Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler |
|
|
|
Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das |
|
Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert |
|
wird. |
|
|
|
BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken |
|
|
|
„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland |
|
könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle |
|
anderen. |
