Eines für alle

Ein neues Konzept für den Umgang mit Passwörtern

Praxis & Tipps | Praxis

Passwörter sind Mist – das weiß eigentlich jeder, egal ob Anwender oder Sicherheitsspezialist. Wenn sie sicher sein sollen, sind sie zu kompliziert, um sie sich zu merken. Aufschreiben soll man sie auch nicht und vor allem: Man braucht so viiiiele davon. Doch das muss nicht sein.

Die meisten Anwender haben längst resigniert – nicht zuletzt wegen der superkomplizierten Regeln, die sich weltfremde Security-Experten ausgedacht haben, um die Verantwortung abzuschieben: Mindestens 14 Zeichen, ein zufälliger Mix aus Groß- und Kleinbuchstaben, Sonderzeichen, Zahlen – aber die nicht am Ende. Und davon soll man sich dann fünfzig oder mehr merken? Wer nicht schon als Kind Telefonbücher auswendig gelernt hat, ist damit schlicht überfordert.

So gut wie alle der von mir befragten Bekannten verwenden ein, zwei Passwörter bestenfalls in leichten Variationen – und zwar für fast alle Dienste, die sie nutzen. Ein einziges, aber dafür richtig gutes Passwort – das ist das, was man einem normalen Menschen sinnvoll zumuten kann. Und das kann auch genügen.

Geheimnisverrat

Derzeit ist es so, dass ich mich gegenüber eBay authentisiere, indem ich dem eBay-Server mein geheimes eBay-Passwort schicke. Das checkt der dann gegen den hinterlegten Passwort-Hash und wenn sie gleich sind, glaubt er, dass ich wirklich Jürgen Schmidt bin. Bei Facebook zeige ich mein geheimes Facebook-Passwort vor und im Racing4fun-Forum meines für Racing4fun – da kommen ruckzuck 50 und mehr Passwörter zusammen. Sind mehrere dieser Passwörter gleich, dann kann ein Cracker, der bei Racing4fun eingebrochen ist, unter Umständen auch bei eBay in meinem Namen shoppen gehen.

Wenn man mal genauer darüber nachdenkt, sieht man es eigentlich schon: Mein persönliches Geheimnis an andere zu schicken, um meine Identität zu beweisen, ist eigentlich von vornherein absurd. Denn in dem Moment, in dem ich auf „Anmelden“ drücke, ist es kein Geheimnis mehr, sondern ich vertraue anderen mein identitätsstiftendes Passwort an – in der Hoffnung, dass die schon gut drauf aufpassen werden. Wie gut das funktioniert, haben wir in den letzten Jahren gesehen, in denen immer wieder Datenbanken mit Tausenden oder gar Millionen von Passwörtern in Umlauf kamen. Viele davon waren unzureichend geschützt, manche gar nicht. Und immer noch gibt es Anmeldeseiten, die nicht verschlüsselt sind, oder auf den Seiten der Betreiber finden sich Cross-Site-Scripting-Lücken, die sich zum Passwortklau nutzen ließen.

Meister der Passwörter

Es ist also höchste Zeit umzudenken: Man merkt sich ein einziges, richtig gutes Passwort – und das behält man für sich. Dieses Master-Passwort verlässt nie den eigenen Einflussbereich – auf gar keinen Fall schickt man es an einen fremden Server. Stattdessen nutzt man eine Software, die zusammen mit einem Dienstnamen wie „eBay“ daraus ein eBay-Passwort ausrechnet. Konkret benutzt sie für diese Berechnungen kryptografische Hash-Funktionen wie die genau dafür standardisierte Password Based Key Derivation Function 2 (PBKDF2), die sich nicht umkehren lassen.

Das gewährleistet zwei ganz wichtige Dinge: Es ist nicht möglich, aus meinem Racing4fun-Passwort mein Master-Passwort zu berechnen und auch mein eBay-Passwort und die ganzen anderen lassen sich nicht daraus rekonstruieren. Wenn also etwa ein Online-Dienst schlampt und nicht nur das Passwort im Klartext speichert, sondern sich die Passwort-Datenbank auch noch klauen lässt (hallo Yahoo, wir vergessen so was nicht), braucht man sich deshalb keine weiteren Sorgen zu machen.

Gegenüber dem herkömmlichen Passwort-Konzept habe ich damit eine ganze Menge gewonnen. Zunächst mal muss ich mir nur noch ein einziges Passwort merken – und da kann man dann schon mal großzügig sein und zehn bis zwölf zufällige Zeichen verwenden. Nach kurzer Zeit hat man die sicher drauf und für den Fall einer plötzlichen Amnesie schreibt man sie auf einen Zettel, der im Tresor bei all den anderen Wertsachen landet (siehe auch „Passwort aus Papier“ auf Seite 92). Dieses Passwort schickt man nicht mehr an Hinz und Kunz ins Internet, sondern behält es für sich – also in seinem eigenen Einflussbereich – und muss nicht mehr befürchten, dass einer der Dienstbetreiber es verschlampt.

Außerdem sind die Passwörter so gut wie unknackbar. Denn aus der Kombination von Master-Passwort und Dienstnamen erzeugt die Mach-mir-ein-Passwort-Funktion für jeden Dienst ein einmaliges Passwort aus quasi zufälligen Zeichenfolgen, das kein Cracker dieser Welt in seinem Wörterbuch hat. Je nach Bedarf kann das dann ein zwölfstelliges Passwort aus Sonderzeichen, Groß- und Kleinbuchstaben oder auch eine vierstellige PIN sein. Und das Schöne daran: Sie macht das nicht nur auf dem PC, sondern bei Bedarf auch auf dem Tablet oder dem Smartphone; ganz ohne dass ich irgendwas synchronisiere oder sogar Passwörter in die Cloud auslagern würde. ...

Sie möchten wissen, wie es weitergeht?

Eines für alle

1,49 €*

c't 18/2014, Seite 82 (ca. 4 redaktionelle Seiten)
Direkt nach dem Kauf steht Ihnen der Artikel als PDF zum Download zur Verfügung.

Artikel-Vorschau
  1. Geheimnisverrat
  2. Meister der Passwörter
  3. Master-Passwörterin der Praxis
  4. Vollautomatisiert
  5. Kommentar: Passwörter – bei Strafe verboten!
  6. Master-Passwort bei Firefox und Boxcryptor
  7. Passwörter sicher und bequem

Lesen Sie hier die Verbraucherinformationen

* Alle Preise verstehen sich inklusive der gesetzlichen MwSt.

Als c't-Plus-Abonnent gratis lesen

weiterführende Links

Kommentare

Kommentare lesen (46 Beiträge)

Infos zum Artikel

Artikelstrecke
Kapitel
  1. Geheimnisverrat
  2. Meister der Passwörter
  3. Master-Passwörterin der Praxis
  4. Vollautomatisiert
  5. Kommentar: Passwörter – bei Strafe verboten!
  6. Master-Passwort bei Firefox und Boxcryptor
  7. Passwörter sicher und bequem
46Kommentare
Kommentare lesen (46 Beiträge)
  1. Avatar
  2. Avatar
  3. Avatar
Anzeige

Anzeige

weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (4)

Artikel zum Thema
Anzeige