Sichere Passwörter leichtgemacht
Jetzt mal ehrlich: Wie viele von Euch kennen alle empfohlenen Regeln der guten Passwortpflege?
- Kein Passwort zweimal einsetzen
- Alle paar Monate alle Passwörter ändern
- Hochkomplexe Zeichenkombinationen verwenden
- Bloß keine Wörter, schon gar keine Namen
- Auf keinen Fall Passwörter mit persönlichem Bezug verwenden.
Vermutlich die meisten. Doch wer von Euch hält sie wirklich alle ein? Vermutlich nicht sehr viele. Diese Tatsache ist eher erschreckend. Ich möchte das ändern. Deshalb werde ich Euch hier Meine Methode vorstellen, mit der ich Passwörter erstelle, die alle oben stehenden Kriterien erfüllen, und trotzdem im Gedächtnis bleiben.
Disclaimer: Ich möchte vorab klarstellen, dass ich kein Experte in dem Bereich bin. Es kann auch gut sein, dass es viel bessere Methoden gibt als meine, und meine Passwörter nicht perfekt sind. Das ist aber auch nicht mein Ziel hier. Vielmehr versuche ich möglichst viele Leute davon zu überzeugen, dass sichere Passwörter mit den rechten Tricks nicht so schwer einzuhalten sind.
Vorschläge, wie „gute“ Passwörter auszusehen haben, kommen üblicherweise in einer Form wie diese Beispiele hier1:
Vlc6WvxZrOrQu|zcxCOk :y03VER3zQ3e62%_0|7b Ey*Kr2!7R7:!5bxPqC9q d4G90=%1-zHAP;*8NA:O yZ-_;my:Vc8Yf_My%kgm =3KnPlX0CIeDNSUKLF5N
Niemand kann sich solche verrückten Konstrukte merken, und schon gar nicht zig verschiedene davon. Die meisten von Euch haben eben nicht mal versucht, diese Beispiele zu lesen. Aber wenn man sich vor Augen führt, wie das menschliche Gehirn funktioniert, ist es nicht weiter verwunderlich. Die Konsequenzen daraus sind, dass viele Menschen wider besseren Wissens all die oben erwähnten Regeln missachten.
xkcd
Meist wird bei einer Passwortdiskussion unausweichlich der unvergessene xkcd-Comic 936 zur Sprache gebracht, in dem dargestellt wird, dass 4 gebräuchliche Wörter ein äußerst passables Passwort ergeben.
Randall Munroe’s2 Ratschlag ist bereits ein sehr guter Ansatz, hat aber 3 Einschränkungen: Der Zeichensatz ist eingeschränkt (nur Buchstaben), funktioniert nur wenn so lange Passwörter akzeptiert werden (siehe Einschränkungen Punkt 3) und es ist auch dann erst ein einzelnes Passwort.
—
Passwortmanager
Vielleicht verwenden manche bereits einen Passwortmanager. Dabei handelt es sich um ein Programm, welches beliebig viele beliebig komplexe Kennwörter und Geheimzahlen speichert, und zwar mit einem „Hauptkennwort“ verschlüsselt. In der Regel können diese Programme auch automatisch neue Passwörter erstellen. 3 4 Dieser Artikel ist jedoch an jene gerichtet, die keinen verwenden. Passwortmanager sind eine sehr gute Lösung, um bequem zahlreiche unterschiedliche Passwörter zentral zu verwalten. Leider haben sie ein paar Nachteile:
- Vergisst man das Hauptkennwort, sind alle Passwörter weg.
- Bei einer lokalen Lösung hat man nur über ein Gerät Zugriff auf seine Passwörter.
- erliert man die Passwortdatei, sind ebenfalls alle Kennwörter weg (Backups sind wichtig!).
- Bei einer Cloudlösung sind die Passwörter nur so sicher, wie die Datenbank des verwendeten Management-Dienstes ist – Bei einem Hack wären somit alle Konten aller Benutzer gefährdet.
- Dann gibt es noch praktische Hürden: Verschiedene Computer, Tablets und Smartphones mit unterschiedlichen Betriebssystemen, die nicht alle den gleichen PW-Manager verwenden können; Firmencomputer, auf die keine fremde Software installiert werden darf; …
Nichtsdestotrotz würde ich trotzdem Jedem die Verwendung eines Passwortmanagers empfehlen. Und gute, von Hand erstellte Passwörter, wie hier vorgestellt, als Plan B.
Meine Methode
Meine Methode besteht aus 3 Teilen: Chunking – Mixing – Encoding. Im ersten Teil erstelle ich eine Handvoll kurzer, möglichst zusammenhangsloser Textfragmente. Im zweiten Teil ordne ich ein paar davon in eine Reihenfolge und erstelle ein „Hauptkennwort“. Im dritten Teil stelle ich sicher, dass kein Passwort dem anderen gleicht.
Das Endergebnis sieht dann zum Beispiel so aus:
cthuO#asR%$Pwonru
Das ist mein – mittlerweile geändertes – Passwort für den Onlinedienst Dropbox. Diese 17 Zeichen (Anm: mittlerweile verwende ich noch längere) erlauben/haben:
- Mix aus Groß- und Kleinschreibung
- Sonderzeichen
- leicht zu merken
- fließt leicht von der Hand beim Tippen und
- wird nirgendwo anders eingesetzt.
Genauso leicht lassen sich mit der gleichen Methode beliebig längere und komplexere Passwörter erstellen. Und jetzt möchte ich Euch zeigen, wie Ihr mit wenig Aufwand das gleiche erreichen könnt.
Schritt 1: Chunking
Anmerkung: Ich verwende den Begriff „Chunking“ hier etwas falsch. Chunking, ein psychologischer Trick, ist aber ein Grund warum meine Passwörter leichter im Gedächtnis bleiben, daher ist der Kontext nur leicht daneben. Wer einen besseren Namen hat, bitte in den Kommentaren um Vorschläge.
Darunter verstehe ich folgendes: Ich erstelle eine Liste mit 10-20 unterschiedlichen Fragmenten; jeweils zwischen 2 und 6 Zeichen lang. Diese Fragmente sollen für sich leicht zu merken sein, und idealerweise auch leicht zu tippen. Ich achte auch darauf, dass ich keine existierenden Wörter verwende, und weniger häufig vorkommende Zeichen und Buchstaben (X, Q, Umlaute) bevorzuge.
Solche Fragmente können zum Beispiel sein:
- Abkürzungen (FBI, MSc, ORF, …) –
Das kann man auch noch zusätzlich variieren, z.B. Groß-Kleinschreibung vermischen, Rückwärts verwenden, eine Position im Alphabet / am Keyboard verschieben. - Wortteile – Idealerweise ein Teil mit den eher selteneren Buchstaben (GLYZ von Glyzerin, XYL von Xylophon, SSKRO von Flusskrokodil, …)
- Kauderwelsch – völlig erfundene Nicht-Worte
- Einsetzungen – Das ersetzen von einzelnen Buchstaben durch Sonderzeichen oder Zahlen (z.B. $ für S, @ für A, …)
- Zahlen – Vermeidet vierstellige Jahreszahlen und konkrete Datumsangaben (Geburtstage etc.). Eine 2 oder 3-stellige Zahl reicht aus, die anderen Fragmente sorgen für die nötige Länge.
- Sonderzeichen – Die leichteste Möglichkeit sich eine Folge an Sonderzeichen für ein Passwort zu merken, ist eine Zahl mit der Shift-Taste einzugeben. Auf einer deutschen Tastatur hieße das, aus 167 wird !&/ Das funktioniert natürlich auch mit Alt-Gr und anderen Zeichentasten.
- Oder andere Varianten, wenn Euch noch welche einfallen.
Versucht es am besten gleich mal selber – öffnet euer liebstes Textprogramm5, und tippt drauf los. Ihr müsst nicht gleich alle Eure Passwörter ändern, wenn Ihr das nicht wollt. Ich möchte nur, dass Ihr ein Gefühl dafür bekommt, wie leicht es ist sich ein paar solcher Fragmente auszudenken. Ich gebe hier bewusst keine Beispiele vor, denn Eure Fragmente sollen für Euch selbst Bedeutung haben – nur so können sie Euch im Gedächtnis bleiben.
Schritt 2: Mixing
In Schritt 2 suche ich mir aus der in Schritt 1 erstellten Fragmenten einige zusammen, die in Kombination ein abwechslungsreiches, ausreichend langes Kennwort ergibt.
Anmerkung: Die Länge eines Passwortes ist weiterhin der größte Einflussfaktor darauf, wie sicher ein Passwort ist. Bedenkt das, wenn Ihr Eure Passwörter erstellt.
Dabei achte ich darauf, dass es möglichst leicht zu tippen ist. Ich stelle mir daher ein paar Kandidaten zusammen und tippe die ein paarmal ab. Am Ende verwende ich dann die Kombination, die am leichtesten zu tippen ist.
Um auf unser Beispiel zurückzukommen: Hier sind die Fragmente, aus denen ich obenstehendes Passwort zusammengestellt habe:
cthu ← Wortteil von „Cthulhu“ (eine fiktive Gottheit aus den Büchern von H.P. Lovecraft)
#as ← Einsetzung. „has“ ist englisch für „hat“
%$ ← Zahl 54 mit Shift eingegeben.
wonru ← Kauderwelsch.
Bisher haben wir nur darüber gesprochen, ein einzelnes Passwort zu erstellen. Das ist bewusst so, da man sich auch mit einem guten System nicht etliche Passwörter merken kann. Aufmerksame Beobachter haben zudem festgestellt, dass das erst 14 Zeichen sind. Das ist richtig. Ich baue nämlich außerdem noch zusätzliche Leerpositionen ein:
cthu █ #as █ %$ █ wonru
Den Grund dafür besprechen wir jetzt in Schritt 3.
Schritt 3: Encoding
„Encoding“ bedeutet per Definition, Information in eine andere Form zu übertragen.
Konkret will ich in jedes Passwort abhängig vom jeweiligen Dienst verändern. Die leichteste Form wäre, den Namen des Dienstes an ein Passwort anzuhängen (z.B. passwortgoogle, passwortevernote, …). Das macht die Kennwörter zwar technisch voneinander unterschiedlich, hat aber keinen faktisch keinen Effekt. Wenn jemand ein derartiges Passwort erlangt, kann er erraten, wie die anderen Passwörter dieser Person lauten.
Stattdessen nehme ich ein paar bestimmte Buchstaben vom Namen des jeweiligen Dienstes, und baue diese in die eben erwähnten Leerpositionen ein. In meinem Fall wären das der zweite, der mittlere (bei gerader Anzahl der links der Mitte) und der vorletzte Buchstabe des Dienstes und bringe sie in Reihenfolge 3,1,2. (Die Reihenfolge kann mit der originalen übereinstimmen oder auch nicht, sie muss nur immer gleich sein.)
Das heißt aus dem Hauptkennwort
cthu █ #as █ %$ █ wonru
wird das für DROPBOX einzigartige Passwort
cthu O #as R %$ P wonru
(Leerzeichen nur zur besseren Darstellung)
Ein paar weitere Beispiele wären:
Google:
cthuL#asO%$Owonru
WordPress:
cthuS#asO%$Pwonru
Twitter:
cthuE#asW%$Twonru
usw.
Durch die per Design zufällig wirkende Anordnung der sonstigen Zeichen, ist es auch kaum ersichtlich, dass das Passwort öfter verwendet wird. (Falls ein Angreifer mehr als eines Eurer Passwörter gleichzeitig erhält, habt Ihr so oder so ein gröberes Problem. Auch mit ein Grund dafür, regelmäßig sein Passwort zu ändern.)
Bekannte Einstänkungen:
- Manche Dienste verbieten gewisse Sonderzeichen in ihren Passwortfeldern (§, *, Umlaute, …).
- Manchmal gibt es Längen- und Zeichenvorgaben (mindestens x Zeichen lang, muss bestimmte Zeichen enthalten [Groß-, Kleinbuchstaben, Zahl, Sonderzeichen)
- Selten, aber doch wird leider auch die maximale Länge eines Passwortes willkürlich eingeschränkt. Zum Zeitpunkt als ich das hier schreibe, weiß ich von zwei: Paypal und Evernote.
Es ist natürlich möglich, mit meinem System auch ein kürzeres Hauptkennwort zu erstellen und für alle Dienste zu verwenden, ich vergebe lieber ein zweites, kürzeres für jene Dienste und das lange für alle anderen.
Aufgrund dieser Einschränkungen lautet meine Empfehlung: Erstellt eine Liste mit allen Seiten und Diensten, für die Ihr ein Passwort vergeben habt (Auch wenn nicht alle gleich sind, oder mit dem gleichen System erstellt wurden/werden.), und ändert immer alle gleichzeitig. Wenn Ihr Einschränkungen antrefft, vermerkt es in dieser Liste und berücksichtigt das bei der Passwortwahl.
Fazit
Zusammengefasst heißt das, ich muss mir immer nur das Hauptkennwort merken. Selbst für Dienste, die ich seltener verwende, besteht keine Gefahr mehr, das Passwort zu vergessen, ohne dass ich ein weniger sicheres, aber leichter zu merkendes verwenden muss. Meine Methode erlaubt in 3 Schritten Passwörter zu konstruieren, die:
- komplex und lang,
- dennoch leicht zu merken und
- überall unterschiedlich sind, obwohl sie
- nur aus einem Hauptkennwort bestehen.
Dennoch: Bitte ändert Eure Passwörter regelmäßig alle paar Monate! Das sicherste Passwort ist wertlos, wenn es nie geändert wird.
Wie bereits erwähnt, ich bin kein Experte. Ich behaupte nicht, meine Methode sei die beste – was ich hier vorgestellt habe, funktioniert für mich. Selbst wenn Ihr eine andere für Euch findet – wenn Ihr von hier zumindest Inspiration oder einen neuen Trick gefunden habt, der Euch geholfen hat, dann freut mich das und ich würde gerne davon hören.
War dieser Artikel für Euch hilfreich? Habt Ihr weitere Fragen, oder einen Fehler in meiner Überlegung entdeckt? Wie erstellt Ihr Eure Passwörter, und wie stellt Ihr sicher, dass sie nicht verloren gehen? Falls Ihr einen Passwortmanager verwendet, welchen, und was würdet Ihr sagen sind die Vor- und Nachteile dieser Lösung?
Ich freue mich auf Euer Feedback in den Kommentaren.
Gute Informationen, es ist ziemlich hilfreich. Danke.