Die richtige Passwort-Strategie: So lässt sich die digitale Identität schützen
Die Kombination aus Benutzername und Passwort stellt immer noch das übliche Verfahren dar, um sich gegenüber Online-Banken, Webshops, Sozialen Netzwerken, Foren und anderen Diensten als rechtmäßiger Benutzer auszuweisen. Dabei hat diese Authentifizierungsmethode entscheidende Nachteile: Fallen die Zugangsdaten in die falschen Hände, können Fremde im eigenen Namen einkaufen, Nachrichten absetzen oder gar Überweisungen in Auftrag geben.
Und wenn – wie es viele User aus Bequemlichkeit tun – man bei vielen Diensten ein identisches Kennwort einsetzt, können Gauner all das mit einem Schlag gleichermaßen tun. Auf der anderen Seite sind Log-ins per Passwörtern aber so simpel und günstig zu implementieren, dass sie nach wie vor das absolut vorherrschende System sind – daran wird sich allzu bald nichts ändern.
Der Mensch ist faul
Es liegt also an den Nutzern, das Beste daraus zu machen und mit einer praktischen Passwortstrategie die Sicherheit in die eigene Hand zu nehmen. Dabei muss man ehrlich zu sich sein und die eigene Faulheit berücksichtigen. Denn der gute Vorsatz von gestern kann im Alltagsstress von heute schon wieder vergessen sein.
Vor allem die wichtigste Regel, für jeden Dienst ein anderes Kennwort zu nutzen, wird dann schnell über Bord geworfen. Trotz der übrigen Regeln, möglichst lange Passwörter einzusetzen, die aus einer zufälligen Aneinanderreihung von Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen, entscheidet man sich dann doch wieder für das gleiche alte Passwort.
Masterpasswort als Grundlage
Bei der Wahl sicherer Passwörter geht es am Ende um einen Kompromiss aus Sicherheit und Bequemlichkeit. Für jeden Dienst ein eigenes, wirklich zufällig generiertes, 50-stelliges Passwort einzusetzen, ist sicher – aber absolut unpraktisch und im Alltag kaum umzusetzen. Das andere Extrem: Für Facebook, PayPal, Ebay und den E-Mail-Account das gleiche Kennwort nach dem Schema “polizei110” zu verwenden. Kommt ein Angreifer an eines der Passwörter, kennt er den Zugang für alle.
Eine Möglichkeit, sich elegant aus diesem Dilemma zu befreien, ist die Kombination eines sicheren Master-Passworts mit einem persönlichen Algorithmus, der aus diesem Master-Ppasswort für jeden Dienst ein einmaliges Kennwort generiert. Ein Algorithmus wäre in diesem Fall beispielsweise eine einfache Regel wie diese:
Master-Passwort + Anfangsbuchstabe des Dienstes (kleingeschrieben) + Anzahl der Zeichen in der URL = Passwort für diesen Dienst
Dabei ist das Master-Passwort immer gleich, dafür aber umso komplexer und damit sicherer. Dieses müssen Sie tatsächlich im Kopf behalten, aber es ist bleibt das einzige. Um die Sache etwas einfacher zu machen, können Sie sich stattdessen einen Satz merken und dabei die Anfangsbuchstaben der einzelnen Wörter verwenden: Aus dem Satz “Ganze 99 Passwörter kann ich mir in 1 Leben ganz bestimmt nicht merken!” wird das sichere Masterkennwort “G99Pkimi1Lgbnm!” (jeweils ohne Anführungszeichen).
Zusammen mit dem oben genannten Algorithmus wird daraus zum Beispiel folgendes Facebook-Passwort:
G99Pkimi1Lgbnm + f (für facebook) + 12 (für die 12 Zeichen in facebook.com) = G99Pkimi1LgbnmF12
Für Ebay wird daraus G99Pkimi1Lgbnme7, für Papal stattdessen G99Pkimi1Lgbnmp9.
Algorithmus nicht zu einfach wählen
Zugegeben: Dieser Algorithmus ist sehr einfach gestrickt und für Angreifer zu erraten, wenn sie mehrere Ihrer Passwörter ergaunern und daraus das Schema ableiten – vor allem das Master-Ppasswort wäre in diesem Fall leichte Beute. Daher sollten Sie Ihren persönlichen Algorithmus verfeinern, ihn aber so simpel halten, dass Sie ihn sich problemlos merken können.
Eine Variante ist beispielsweise, jeden zweiten Buchstaben aus den Namen des Dienstes zu nehmen und nach einem bestimmten Muster im Master-Passwort zu verteilen sowie die Zahl am Ende noch einmal durch zwei zu teilen, bevor Sie sie anhängen. Ihrem Einfallsreichtum sind hier keine Grenzen gesetzt. Ziel ist es ganz einfach, für jeden Dienst ein individuelles Passwort mit ausreichender Länge und Komplexität zu erschaffen, das Sie aber dennoch jedes Mal herleiten können. Damit haben Sie schon mehr getan, als der überwiegende Großteil aller anderen Nutzer.
App als Rechenhilfe
Das Konzept, ein sicheres Master-Passwort mit einem Algorithmus so zu kombinieren, dass für jedes Log-in ein eigenes Passwort entsteht, wurde inzwischen auch als Software umgesetzt. Der Vorteil: Sie müssen sich den Algorithmus nicht merken, sondern nur das Master-Passwort. Empfehlenswert in dieser Hinsicht ist das Programm “Master Password” von Maarten Billemont, das es sowohl als App für iOS und Android als auch für Mac OS X und als Java-Anwendung für Windows gibt.
Die Software nutzt einen sehr komplexen Algorithmus, um aus dem Master-Passwort, dem Namen sowie dem Namen des Dienstes (etwa facebook.com oder ebay.de) ein sicheres Passwort zu generieren. Da der Algorithmus nicht umkehrbar ist können Hacker, die doch einmal an eines der erzeugten Passwörter gelangen, daraus nicht auf das Master-Passwort zurückschließen. Das Programm speichert die Passwörter nicht, sondern erzeugt sie jedes Mal aufs Neue – Sie müssen lediglich Master-Passwort, Namen und Name des Dienstes eingeben, bei dem Sie sich anmelden möchten.
Beachten Sie daebi aber, dass alle Angaben immer identisch geschrieben werden müssen. Entscheiden Sie sich also vorab für eine Schreibeweise etwa für den Namen des Dienstes. Tippen Sie einmal facebook.com und beim nächsten Mal facebook ein, erzeugt die App zwei verschiedene Passwörter – das ist nicht Sinn der Sache.
Gerät beispielsweise das Ebay-Passwort doch einmal in die falschen Hände, müssen Sie nicht gleich das Master-Passwort ändern, um einen neuen Ebay-Log-in zu generieren. Damit würden sich nämlich auch alle anderen Passwörter ändern. Stattdessen setzen Sie den Zähler um einen Schritt nach oben, schon erschafft “Master Password” aus den bekannten Eingaben ein völlig neues, sicheres Passwort für diesen einen Dienst.
Passwort-Safe als zweite Wahl
Neben der genannten Master-Passwort-Methode (ob mit oder ohne Software-Unterstützung), erfreuen sich auch Passwort-Manager wie Last Pass, KePass, oder Password Gorilla großer Beliebtheit. Sie speichern die unterschiedlichen Kennwörter für verschiedene Dienste in einer verschlüsselten Datenbank. Der Vorteil: Sie können für jedes Log-in ein anderes Passwort auswählen, ohne es sich merken zu müssen – dafür bietet ein integrierter Passwort-Generator oft seine brauchbare Hilfe an. Einzige das Master-Passwort müssen Sie sich merken, um die Datenbank aufzusperren. Viele Passwort-Manager bieten zudem eine Ausfüllhilfe und übernehmen die Zugangsdaten (halb-)automatisch in die Anmeldemasken.
So halten behalten Sie auch bei hunderten von unterschiedlichen Zugangsdaten bei unterschiedlichen Anbietern die Übersicht und müssen nicht überall das gleiche, einfache Passwort nutzen. Der Nachteil ist allerdings, dass Sie Zugriff auf die verschlüsselte Datenbankdatei haben müssen, um an die Passwörter zu gelangen. Sie können die Datei freilich manuell mit all Ihren Rechnern und tragbaren Geräten – für viele Passwort-Manager gibt es kompatible Apps – synchronisieren.
Doch das kann gerade dann mühsam sein, wenn Sie oft neue Zugangsdaten eintragen. Und am PC eines Freundes nützt das Vorgehen nicht viel. Eine Alternative ist die Synchronisation mit der Cloud. Doch wer besonders auf Sicherheit achtet, wird einwerfen, dass man damit gerade das Allerheiligste aus den Händen gibt. Auch wenn die Datenbank verschlüsselt ist, sollte man sich genau überlegen, ob man sie ins Internet hochladen möchte.
Passwort-Manager haben ohne Frage Ihre Daseinsberechtigung und würden bei vielen Nutzern den Sicherheitslevel schon um ein Vielfaches erhöhen. Doch die Nachteile sollte man kennen, selbst und gerade wenn man sich letztendlich dafür entscheidet.
Fazit
Für jeden Dienst ein anderes Passwort zu nutzen, ist der wohl wichtigste Hinweis für die Wahl sicherer Zugangsdaten. Doch aus Bequemlichkeit und weil man sich einfach nicht Dutzende verschiedene Kennwörter merken kann, verzichten viele User darauf. Sie nutzen sowohl für PayPal als auch das kleine, privat geführte Forum ein identisches Passwort. Wird letzteres gehackt und fallen die Zugangsdaten Angreifen in die Hand, hat man ein echtes Problem. Mit den hier genannten Tipps entlasten Sie Ihr Gedächtnis und haben trotzdem für jedes Login ein einzigartiges und vor allem sicheres Passwort parat. Die häufigen Schreckensmeldungen über gestohlene User-Datenbanken können Sie künftig etwas gelassener lesen.
Downloads zu diesem Beitrag: