Kryptische Passwörter sind Unsinn, weil man sie sich nicht merken kann. Und wenn man den gut gemeinten Ratschlägen für sprachliche Eselsbrücken („Ich gehe immer am zweiten Freitag im Monat einkaufen“ -> Igia2Fime ) folgen will, merkt man ganz schnell wie unpraktikabel das ist, wenn man sich damit mehr als nur eine Handvoll Passwörter merken will und kein ausgewiesener Gedächtsniskünstler ist.
Wer es trotzdem mit langen, kryptischen Passwörtern versucht, endet schnell in der völligen Verzweiflung oder – häufiger – mit einem Passwort-Zettel in der Schreibtisch-Schublade. Immerhin ist Letzteres sicherer als schwache Passwörter wie „Mausi“ oder „passwort“ zu verwenden. Aber vor Einbrechern, neugierigen Raumpflegern oder der eifersüchtigen Freundin schützt das wohl kaum.
Weil mich diese scheinheiligen Ratschläge von Sicherheits-Experten zur Passwortsicherheit immer wieder maßlos ärgern, will ich in diesem Tutorial einfach mal in der Praxis wirklich anwendbare Ideen und Lösungen für sichere Passwörter vorstellen.
UPDATE: Es war ja abzusehen, dass bald mal wieder aus vermeintlich berufenem Munde der Ratschlag kommt, lauter verschiedene, ewig lange Passwörter mit sinnloser Kombination aus Sonderzeichen, Zahlen und Buchstaben zu wählen. Begreift denn nicht einmal Google, dass genau diese realitätsfremden „Tipps“ das Problem noch verschärfen?
1. Lange Passwörter mit System
Eine zumindest mit Brute-Force-Attacken schwer zu knackende Methode, sich auch zahlreiche lange Passwörter gut merken zu können, ist ein Passwort-Schema. Stellen Sie sich zum Beispiel vor, Sie hätten einen Hund mit Namen „Herr Schroeder“ – bitte: nehmen Sie nicht den Namen Ihres echten Hundes, den Namen kennen nämlich viel zu viele Leute. Erfinden Sie einen willkürlichen, neuen Namen. Kombinieren Sie diesen Namen mit für jeden Account unterschiedlichen Zahlenfolgen, beispielsweise „Herr293Schroeder“ oder besser noch „herrSch649roeder“. Variieren Sie dabei von Account zu Account nur die Zahlen, ergeben sich zahlreiche, schwer zu knackende Passwörter. Sie selbst müssen sich aber nur jeweils die drei Zahlen merken.
2. Passwort-Safes benutzen
Haben Sie sehr viele Passwörter zu verwalten, ist die Investition in eine Software zur Passwort-Verwaltung vernünftig. Diese Tools speichern auf sehr bequeme weise alle Passwörter verschlüsselt ab und melden Sie automatisch auf den jeweiligen Websites an. Geschützt sind die Passwörter durch ein Master-Passwort, dass Sie entsprechend kompliziert gestalten können und sollten – schließlich ist es das einzige Passwort, dass Sie sich dann merken müssen.
Ich persönlich habe sehr gute Erfahrungen gemacht mit der USB-Stick-Version von Robo Form. Aber natürlich gibt es auch andere Tool-Anbieter. Und auch Ansätze wie die Login-Zentrale bei Web.de können hier durchaus gute Dienste leisten.
Achten Sie hier nur darauf, dass es sich beim Anbieter um einen ausgewiesenen Sicherheitsexperten handelt, der schon eine Weile im Geschäft ist. Schließlich wollen Sie Ihre Passwörter ja nicht womöglich einem getarnten Hacker-Tool anvertrauen.
3. Keine Standard-Usernamen verwenden
Klingt einfach, ist aber eine gute Möglichkeit, sich gegen automatisierte Angriffe zu schützen: Verwenden Sie individuelle Benutzernamen, beispielsweise für Ihr WordPress-Blog. Der Standard-Username für den Admin-Account ist „admin“. Dass weiß natürlich auch ein Hacker, so dass er sich ganz auf das zugehörige Passwort konzentrieren kann. Ein abweichender Username macht ihm das Leben da schon viel schwerer.
4. Passwort-Recovery-Funktionen nutzen
Bei Accounts, die ich nur selten benutze, wähle ich oft komplizierte Passswörter, bei denen ich mir erst gar nicht die Mühe mache, sie mir zu merken. Besuche ich das nächste Mal die Website, benutze ich einfach die „Passwort vergessen“-Funktion, um mir mein Passwort per E-Mail zuschicken zu lassen. Allerdings sollten Sie sich für diese Methode ein bestimmte E-Mail-Adresse aussuchen, die Sie immer verwenden. Denn nichts ist lästiger, als beim Passwort-Recovery erst 20 verschiedene E-Mail-Addressen eintippen zu müssen, weil man nicht mehr weiß, mit welcher Adresse man sich gerade bei dieser Website angemeldet hat.
5. Nicht-geheime Account-Daten aufschreiben
Alternativ können Sie sich auch pro Account die verwendete E-Mail-Adresse und falls vorhanden die Sicherheitsfrage inklusive Antwort aufschreiben. So läßt sich im Notfall das Passwort neu anfordern, das dann an die E-Mail-Adresse zugestellt wird, auf die ein Hacker ja (hoffentlich) nicht zugreifen kann. Das Passwort selbst sollten Sie dagegen nie aufschreiben.
6. Facebook Connect, Open ID und Co.
Interessante Möglichkeiten bieten in jüngster Zeit auch Dienste wie Facebook Connect, Open ID und ähnliche Technologien. Das interessante dabei ist, dass man sich beispielsweise mit seinem Facebook-Zugang auch bei anderen Websites anmelden kann, die Facebook Connect unterstützen. Dabei gibt man Username und Passwort lediglich auf einer geschützten Facebook-Seite ein, die Website, auf der man sich anmelden will bekommt vom Facebook-Server lediglich mitgeteilt, dass es sich bei Ihnen um einen legitimen User handelt. Ihr Passwort bekommt diese Website aber nie zu sehen. Insofern kann ein solches Passwort dort auch nicht mißbraucht oder gehackt werden.
Umso wichtiger ist es im Umkehrschluß aber auch, dass Sie Passwörter besondere sicher halten, die Sie bei Diensten haben, die solche Techniken unterstützen. Denn würde ein Hacker beispielsweise Ihre Google-Zugangsdaten erbeuten, könnte er sich damit nicht nur bei Google anmelden, sondern auch bei allen anderen Websites, die OpenID-Anmeldung unterstützen. Das perfide dabei: Der Hacker könnte sich auch bei Websites anmelden, die Sie selbst noch nie besucht haben. Sehr peinlich, wenn dann plötzlich bei einer Single-Börse unter Ihrem Namen Angeote auftauchen, obwohl Sie glücklich verheiratet sind.
Zum Abschluß noch 4 wichtige Dinge, die man auf keinen Fall tun sollte – eigentlich selbstverständlich, aber dann offensichtlich doch wieder nicht …
1. Keine trivialen Passwörter verwenden!
Es ist traurig, dass man das überhaupt erwähnen muss. Aber nachdem das belieteste Passwort laut einem Blog-Beitrag von Avira immer noch „123456“ ist, sei das einfach der Vollständigkeit halber erwähnt.
2. Keine Passwörter in Browsern speichern!
Zugangsdaten im Browser speichern ist sehr bequen, aber ziemlich unsicher. Für einen einigermaßen intelligenten Hacker ist es ein Kinderspiel, diese Passwort-Daten auszulesen.
3. Nie das gleiche Passwort für verschiedene Accounts verwenden!
Gelangen Kundendaten einer Website in die falschen Hände, ist das schlimm genug. Funktioniert dasselbe Passwort aber auch nocht bei anderen Websites, ist der Schaden immens. Und dass jemand beispielsweise bei Amazon, eBay und Facebook einen Account hat, ist nicht besonders schwierig zu erraten. Der Hacker freut sich, wenn das erbeutete Passwort überall funktioniert.
UPDATE: Wie viel Arbeit und Probleme es verursachen kann, immer das selbe Passwort zu verwenden, zeigt der aktuelle Fall geknackter Hotmail-Accounts. Ist dass Passwort auf einem solchen Weg erst einmal öffentlich, muss man das Passwort sämtlicher Accounts ändern, für die man das selbe Passwort verwendet hat. Und wenn’s dumm läuft, dann war ein Hacker schneller.
4. Risiko Sicherheitsfrage
Für eine der unsinnigsten Erfindungen seit es Passwörter gibt, halte ich die so genannte Sicherheitsfrage. „Wie heißt Ihre Mutter mit Mädchenname?“, „Wie hieß Ihr erstes Haustier?“ – Als ob ein einigermaßen mit Social-Engineering-Fähigkeiten begabter Hacker die Antworten auf diese Fragen nicht kinderleicht herausfinden könnte – wenn er sie nicht ohnehin direkt in einem Ihrer Blog-Beiträge, Twitter-Tweets oder sonstwo im Internet findet. Wessen Sicherheit soll diese dämliche Frage also dienen?
Verwenden Sie also als Antwort auf diese „Sicherheitsfragen“ nie eine echte Antwort. Erfinden Sie lieber geheime Fantasie-Antworten, die niemand auch mit noch so gründlicher Recherche herausfinden kann. Wenn Ihre Mutter nunmal nicht „Ottilie“ heißt, kann das auch niemand als Antwort erraten.