Dipl.-Inform. Carsten Eilers

Im Allgemeinen ist Recycling eine sehr gute Sache. Aber nicht bei Passwörtern - da sollten Sie jedes nur für genau einen Zweck verwenden. Für jede Website, für jeden Dienst, für jeden Rechner, immer wenn Sie irgendwo ein Passwort brauchen, sollten Sie ein individuelles Passwort nur für diesen Zweck wählen und keines, was zuvor schon irgend wo anders verwendet wurde, erneut verwenden. Und das aus zwei Gründen:

1. Werden irgendwo Benutzernamen und Passwörter ausgespäht, wie es in der Vergangenheit immer wieder vorgekommen ist, probieren die Cyberkriminellen diese Zugangsdaten meist auch bei weiteren Angeboten aus - zu oft mit Erfolg.
2. Auch Phisher wissen, das viele Benutzer aus Bequemlichkeit für viele Dienste das gleiche Passwort und oft auch den gleichen Benutzernamen verwenden. Und wenn sie irgendwo eine Kombination aus Benutzername und Passwort ausgespäht haben, können sie sich damit sehr wahrscheinlich auch anderswo als der entsprechende Benutzer authentifizieren. Zum Beispiel versuchten Phisher schon 2008 über Facebook ganz allgemein Namen, E-Mail-Adressen und Passwörter zu sammeln. Die Opfer wurden auf eine dubiose Webseite gelockt, auf der sie Name und E-Mail-Adresse angeben und später ein Passwort wählen mussten, um weiter zu kommen. Die Wahrscheinlichkeit, das dabei ein öfter verwendetes Passwort verwendet wird, ist gross. Evtl. sogar das, das für den E-Mail-Account verwendet wird...

Vereinfachung für Sie - und die Cyberkriminellen!

Das gleiche Passwort und der gleiche Benutzername für alle Zwecke erleichtern das Einloggen - für Sie ebenso wie für einen Cyberkriminellen. Die Devise muss also lauten "Für jeden Zweck ein eigenes Passwort". Die eigentlich ebenso berechtigte Forderung "Für jeden Zweck auch ein eigener Benutzername" lässt sich oft nicht realisieren. Zum einen, weil immer noch viele Dienste darauf bestehen, die E-Mail-Adresse als Benutzernamen zu verwenden (dann ist es gut, wenn man einen eigenen Mailserver verwendet und damit einen unerschöpflichen Vorrat am E-Mail-Adressen hat), zum anderen, weil man ja oft auch anhand seines Benutzernamens von Freunden erkannt werden möchte. Außerdem: Wer will und kann sich schon so viele Passwörter und Benutzernamen merken?

Gesucht: Ein gutes Passwort!

Es gibt viele Möglichkeiten, ein gutes Passwort zu bilden. Die üblichen Regeln kennen Sie ja bestimmt: Möglichst lang, bestehend aus Groß- und Kleinbuchstaben, Zahlen und möglichst Sonderzeichen, und natürlich sollte es in keinem Wörterbuch stehen. Wobei "Wörterbuch" nicht nur Duden, Langenscheidt und Co. umfasst, sondern auch Passwortlisten wie die, die zum Beispiel beim aktuellen Angriff auf WordPress-Installationen verwendet wird. Im folgenden werde ich meine Methode zum Bilden und Merken sicherer Passwörter beschreiben.

Gut merkbare Passwörter

Am sichersten sind natürlich völlig zufällige Passwörter, aber die kann man sich meist schlecht merken. Passwörter, die ich häufig brauche, bilde ich daher alle nach dem folgenden Verfahren, denn sie müssen leicht zu merken sein. Dazu denke ich mir einen Satz aus, den ich mir gut merken kann. Am besten etwas, das irgendwie im Zusammenhang mit der jeweiligen Webseite etc. steht. Nehmen wir als Beispiel mal Youtube. Dann könnte der Satz zum Beispiel lauten

Bei Youtube gibt es viele gute Videos und auch mein Passwort ist gut

Jetzt nehme ich von jedem Wort den Anfangsbuchstaben:

BYgevgVuamPig

Das sieht doch schon mal ganz gut aus, sowas dürfte wohl in keinem Wörterbuch stehen. Ein paar Zahlen drin können nicht schaden. Entweder kann man die gleich mit im Satz unterbringen, oder man tauscht einige Buchstaben durch Zahlen aus. Also mal gucken: Das "g" sieht aus wie eine 9, das "i" wie eine 1. Und das "u" vom "und" könnte man auch durch ein "+" ersetzen:

BY9evgV+amP1g

Prima, das lässt sich relativ gut merken, wenn man den zugrunde liegenden Satz

Bei Youtube 9ibt es viele gute Videos + auch mein Passwort 1st gut

zur Hilfe nimmt, aber mit Sicherheit weder erraten noch über einen Wörterbuchangriff ermitteln. Ich weiß nicht, ob so ein Passwort von Youtube akzeptiert wird, da ich da keinen Account habe, aber ggf. kann man ja einen kürzeren Satz wählen und/oder das Passwort in Klein- oder Grossbuchstaben umwandeln.

Auch wenn das nach Leetspeak aussieht sollten Sie keine Leetspeak-Wörter als Passwort verwenden. So schlau, ihre Wörterbücher für die Wörterbuch-Angriffe an Leetspeak anzupassen, waren die Cyberkriminellen schon vor etlichen Jahren. p455w0rt ist also alles andere als ein sicheres Passwort, auch wenn es auf den ersten Blick so aussieht.

Wichtige Passwörter liefert der Zufallsgenerator

Für wirklich wichtige Passwörter, zum Beispiel den Zugang für meine Webserver etc., verwende ich vom Zufallsgenerator erzeugte Passwörter. Die kann ich mir meist nicht merken, auch weil ich sie nur sehr selten brauche. Da ich die aber immer nur im Büro brauche, kann ich sie problemlos aufschreiben und wegschließen.

Ab in den (Password)Safe?

Ein (Hardware-)Safe ist, sofern vorhanden, ein guter Aufbewahrungsort für die notierten Passwörter. Ob man einen Passwordsafe wie zum Beispiel den Schlüsselring vom Mac OS X verwendet, ist Geschmacks- und Abwägungssache. Was passiert, wenn der Rechner, auf dem der Passwordsafe läuft, kompromittiert wird? Wie sicher sind die darin gespeicherten Passwörter dann?

Einige Passwörter speichere ich darin völlig bedenkenlos, zum Beispiel die für FTP- oder manche Mail-Zugänge - die werden sowieso unverschlüsselt übertragen, und sollte mein Rechner kompromittiert werden ist es egal, ob das Passwort aus dem Schlüsselring oder bei der Übertragung ausgespäht wird. Andere, zum Beispiel die für GPG, haben auf dem Rechner nichts zu suchen.

Und ein Passwortmanager ist zwar eine nützliche Hilfe, aber nur, wenn man Zugriff darauf hat. Für alles, was man auch mal schnell nebenbei im Büro oder sogar im Urlaub aus einen Internet-Café (was nebenbei bemerkt generell keine gute Idee ist, dazu mehr in der nächsten Folge) aufrufen möchte, ist ein Passwortmanager auf dem Rechner daheim keine Hilfe. Natürlich könnte man dafür einen Passwortmanager auf dem Smartphone verwenden, aber das ist mir persönlich zu unsicher. Ein Smartphone wird schneller gestohlen oder verloren als ein Desktop-Rechner, und ob der Passwortmanager Angriffen wirklich stand hält ist oft zweifelhaft.

In der nächsten Folge widme ich mich den üblichen Passwortregeln.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Authentifizierung: Sichere Passwörter

Authentifizierung: Passwortregeln, Teil 1

Authentifizierung: Passwortregeln, Teil 2

Authentifizierung: Ein Faktor reicht nicht (mehr)

Zwei-Faktor-Authentifizierung per SMS

Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1

Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 2

Zwei-Faktor-Authentifizierung mit der Smartphone-App