Passwort-Schutz für jeden

Wer den wohl gemeinten Tipps folgt und für jeden Dienst ein eigenes Passwort verwendet, braucht entweder ein fotografisches Gedächtnis oder die richtigen Tricks, um das scheinbare Chaos in den Griff zu bekommen.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht
Von
  • Jürgen Schmidt
Inhaltsverzeichnis

Das Wichtigste zuerst: Verwenden Sie nie das gleiche Passwort für mehrere Dienste! Um trotz der vielen Passwörter nicht den Überblick zu verlieren, benutzen Sie entweder einen Passwort-Safe oder ein persönliches Passwort-System. Und das erforderliche, komplizierte Master-Passwort prägen Sie sich mit einem Trick ein.

Zunächst sei klar gestellt, dass die eigentliche Verantwortung für die Sicherheit von Internet-Passwörtern bei den Betreibern der Dienste liegt. Wenn diese mit den Passwörtern schlampen und diese wie Rockyou im Klartext auf dem Server speichern und dort dann auch noch klauen lassen, hat man als Anwender verloren. Ähnliches gilt auch schon, wenn wie bei LinkedIn oder Last.fm Passwörter als ungesalzene SHA1- oder MD5-Hashes in fremde Hände kommen.

Auf der anderen Seite ist ein geknacktes Passwort für den LinkedIn-Zugang kein Weltuntergang. Denn der Einbrecher hatte auch ganz ohne das Passwort bereits vollen Zugang zu den LinkedIn-Servern und somit Ihren Daten. Wenn Sie also dieses Passwort nirgends anders verwenden, dann kann es Ihnen ziemlich egal sein, ob er es nach seinem Einbruch knacken kann oder nicht. Wenn der Einbrecher damit jedoch Ihr E-Mail-, Ebay-, Amazon- oder Paypal-Konto kapern und dann auf Einkaufstour geht – dann haben Sie ein echtes Problem.

Tools wie PWGen erstellen Passphrases aus zufällig ausgewählten, aber merkbaren Begriffen.

Kommen beim Speichern der Passwörter geeignete Verfahren wie bcrypt oder PBKDF2 zum Einsatz, kann ein Passwort mit einem Minimum aus acht zufälligen Zeichen auch Offline-Angriffen über viele Jahre stand halten. Die Betonung liegt auf zufällig – also nicht G3h31m1! Die diesbezüglichen Artikel in c't haben hinlänglich demonstriert, dass alles, was sich ein Mensch ausdenken und einfach merken kann, viel zu berechenbar ist und somit wenig Sicherheit bietet.

Erzeugen Sie also ein sehr gutes Passwort mit mindestens acht zufälligen alphanumerischen Zeichen und Sonderzeichen; als Generalschüssel für den Passwort-Safe dürfen es ruhig auch zwölf Zeichen sein. Wichtig ist es, dass die Zeichen zufällig sind; nutzen Sie dabei ruhig die Hilfe eines Passwortgenerators wie PWGen, der wirklich keine extrahierbaren Muster erzeugt. Dieses Passwort schreiben Sie sich zunächst auf einen Zettel und setzen es an Ihrem Hauptrechner als Benutzerpasswort. Dann stellen Sie das Timeout der Bildschirmsperre auf einen möglichst kleinen Wert wie eine Minute. So müssen Sie das Passwort nach jeder kleinen Pause erneut eingeben. Das nervt zwar gewaltig, aber es brennt das Passwort sehr schnell im Gedächtnis ein. Nach ein, zwei Tagen können Sie das Passwort auswendig blind tippen und die Bildschirmsperre wieder auf ein erträgliches Timeout zurücksetzen. Behalten Sie den Zettel mit dem Passwort vorsichtshalber noch ein paar Tage im Geldbeutel. Verwahren Sie ihn später im Tresor oder bei anderen Wertsachen.

Damit haben Sie sich ein sehr gutes Passwort eingeprägt, das Sie jedoch keinesfalls für all Ihre Accounts verwenden dürfen. Im Gegenteil: Am besten verwenden Sie es gar nicht für Internet-Dienste sondern entweder als Master-Passwort für den Passwort-Safe oder als Basis für ihr persönliches Passwort-Schema.