Von Zeit zu Zeit muss ich einmal über nerdige Dinge nachdenken, wie etwa Star Trek oder Privacy in der Post-Snowden-Welt. Heute soll es um das Thema Passwörter gehen, das ja jeden in der modernen Informationsgesellschaft betrifft: Wie kann man heute noch vernünftig seine Passwörter organisieren? Wie kann man erreichen, dass man nicht überall das gleiche Passwort benutzen muss? Auf welche Verhaltensregeln sollte man achten, um möglichst sicher mit seinen Passwörtern umzugehen? Fragen über Fragen. Aber alles halb so wild.

So kam bei heise.de etwa dieser Tage eine Meldung zu einem Programm, das der langen Liste der Passwort-Knacker eine weitere Facette hinzufügte. Gegen Ende findet sich dann das Résumé:

„Die Forscher raten Nutzern die Passphrasen verwenden, mindestens 20 Zeichen zu wählen und dabei wie üblich alle Zeichen zu mixen (Groß-/Kleinschreibung, Ziffern, Sonderzeichen). Sie sind dennoch nicht der Meinung, dass Passwörter generell eine Zukunft haben: Mit fortschreitender Knackgeschwindigkeit würden die Hürden für sichere Kennwörter immer höher, so dass Anwender Schwierigkeiten beim Merken der Zeichenmonster bekämen.“
(Die Nachricht bei heise.de)

Das sehe ich ähnlich. Aber wie kann man noch die Kontrolle über seine Passwörter behalten? Am besten durch einen Passwort-Manager. Mein Masterpasswort für keepass  hat zur Zeit 36 Zeichen und besteht aus Klein- und Großbuchstaben, Ziffern, Sonderzeichen und Umlaute und keiner der Bestandteile ist in einem Lexikon zu finden. Das Passwort wechsele ich zudem regelmäßig, sodass ich immer etwas brauche, bis ich es mir eingeprägt habe.
Damit verwalte ich dann aber auch über 200 Passwörter, die alle einzigartig sind und mehr als 20 Zeichen haben und noch zerwürfelter sind als es mein Masterpasswort sowieso schon ist. Vor ein paar Tagen wurde der Facebookaccount eines Freundes kompromittiert und er hat Spam verteilt, vermutlich weil er ein Pille-Palle-Passwort wie gg123 benutzt hat (was übrigens auch sein Autokennzeichen ist). Es gibt bereits tausend Hinweise für ein sicheres Passwort, eine gute Anregung kann man sich etwa beim Bundesamt für die Sicherheit in der Informationstechnik abholen.

Ich denke, an einem Programm zur Verwaltung der Passwörter kommt man heute nicht mehr vorbei. Schon alleine deshalb, weil man für jeden einzelnen Service im Internet ein einmaliges Passwort verwenden muss, das auch eine andere Struktur hat als alle anderen, denn falls eine Datenbank eines beliebigen Service gehackt wird, sind nicht gleich auch alle anderen Services, die man nutzt, ebenfalls kompromittiert. Heute sind immer noch Passwortlisten aus dem Sony-Hack von vor fünf Jahren im Umlauf (hier gibt es eine interessante Visualisierung und weitere Informationen zu den größten Hacks der vergangenen Jahre). Außerdem soll das Passwort so lang wie möglich sein und allen Krimskrams haben, den es an Zeichen so gibt.

Nutzt man dann ein solches Programm zur Verwaltung seiner Passwörter, dann hat man zuerst einmal das Gefühl, dass man die Kontrolle abgibt. Das war schon ein mulmiges Gefühl, als ich nicht mehr das Passwort meines Emailaccountes wusste. Und wenn man das durchzieht, dann muss man das vorher durchdenken. Es reicht nicht, nur einen Passwort-Manager zu benutzen. Wenn man aber ein paar Verhaltensregeln und Vorsichtsmaßnahmen beachtet, dann ist das kein Problem. Dabei handelt es sich meist um Kleinigkeiten, die sich oftmals ohne größere Probleme umsetzen lassen. Und genau um diese Hinweise geht es mir heute:

  • Ich würde keinen Online-Dienst für das Speichern meiner Passwörter benutzen. Wenn dieser Dienst angegriffen wird, sind alle meine Passwörter kompromittiert. Meine Empfehlung ist keepass, das ja auch das BSI empfiehlt. Keepass ist zudem ein open-source Projekt, bei dem die Karten auf dem Tisch liegen, Hintertüren unwahrscheinlich sind und Schwachstellen regelmäßig ausgebessert werden. Wenn man sich auf diese Art ein wenig einschränkt, erhält man eine ungleich höhere Gewalt über die eigenen Passwörter. Darüberhinaus gibt es komfortable Plugins, mit denen man dann vollautomatisch die Passwörter in die Webseiten einspielen lassen kann, wenn man sich einloggen will. Damit muss man nicht den völlig unsicheren Passwort-Manager des Browsers nutzen. Es gibt hier zudem noch fünf Sicherheitshinweise für die keepass-Datenbank, bei denen ich aber bei zweien sehr vorsichtig wäre und diese nicht empfehlen würde; das Benutzen von key-files und die Kopplung mit  dem Windows-Account sind nicht trivial und sollte man nur vornehmen, wenn man sich ganz sicher ist was man tut.
  • Die Passwörter müssen regelmäßig gewechselt werden. Jedes halbe Jahr ist ein guter Anhaltspunkt, spätestens nach einem Jahr sollte man es tun. Das ist deshalb wichtig, um die mögliche Zeit für einen Angriff auf das Passwort gering zu halten. Keepass kann einen daran erinnern, wenn man wieder ein Passwort ändern muss.
  • Viele Dienste bieten die Two-Factor-Authentication an, zum Beispiel Google, WordPress, Dropbox, Facebook und Amazon (bei Amazon ist dieser Service allerdings nur auf Umwegen in Deutschland möglich). Damit wird gewährleistet, das ein zweiter Kanal unabhängig zu dem Passwort besteht, etwa durch eine komfortable App auf dem Smartphone oder per sms. Die Fallback-Codes, die man generiert, falls das Handy verloren geht, kann man wiederum bequem in dem Passwort-Manager speichern.
  • Liegt die keepass-Datenbank in der Dropbox oder einem anderen Clouddienst, sollte man sich (auch) das mittlerweile nicht mehr zu merkende Passwort zu dem Clouddienst aufschreiben (etwa als ein verstecktes Blatt Papier in einem seiner ca. 3000 Bücher). Falls man das nicht tut, hat man sich womöglich bei einer hastigen Neuinstallation, einer Virusinfektion oder einem Festplattencrash ausgesperrt.
  • Einen USB-Stick mit der Passwort-Datenbank inklusive Installationsdatei kann man sich in den Tresor legen. Noch besser: Man gibt den USB-Stick einem Freund oder einer Freundin mit, damit er oder sie ihn aufgewahrt. Ohne das Masterpasswort kommt ja niemand an die Daten heran. Somit kann einem das ganze Haus abbrennen oder man kann ausgeraubt werden, aber hat dennoch alle seine Passwörter (man muss es nur regelmäßig aktualisieren!). Man kann auch überlegen, eine verschlüsselte Festplatte mit einem „Langzeit-Backup“ bei einem Freund oder Freundin unterzubringen aus genau diesem Grund, und nicht nur die Passwort-Datenbank. Von Zeit zu Zeit lädt man sich dann gegenseitig zum Essen ein und aktualisiert die Daten.
  • Ein regelmäßiges und aktuelles Backup, etwa jede Woche, sollte man sich auf andere Festplatten oder USB-Sticks sichern, die nicht ständig mit dem System verbunden sind. Immer wieder gehen Nachrichten über hinterhältige Verschlüsselungstrojaner durch die Medien (1,2,3,4,5), die die Opfer erpressen und die ein guter Aufhänger sind, sich daran zu erinnern, dass ein gutes, physikalisch getrenntes und regelmäßiges Backup Gold wert ist.

Ich denke, mit diesen Hinweisen klappt es mit dem sicheren Passwort noch ein paar Jahre.

Geschrieben von Wolfgang Schnier

Das Sein verstimmt das Bewusstsein. literatur & kultur| lesen & schreiben| tech & privacy| kritik & gesellschaft|

10 Kommentare

  1. Hab grad leider nicht die Ruhe mich durch den langen Text zu lesen (fühle mich mit meinen Passwörtern gut und hab sie auch alle im Kopf :-)). Wollte Dir aber sagen, dass mir das Zitat oben richtig gut gefällt und mich zum Lachen gebracht hat. 🙂 Liebe Grüße und eine schöne Woche und sichere Passworte Dir! 🙂

    1. Ja, diese Tendenz befürchte ich auch. In Eggers‘ Roman, den ich hier kurz vorgestellt habe, werden die negativen Konsequenzen, die da lauern können, eindrücklich vorgestellt. Und ob ich meine biometrischen Daten so ohne weiteres an große Netzwerke hängen möchte, weiß ich nicht. Da bleibe ich lieber bei meinen Passwörtern. 😉

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s