Sichere Passwörter sind der erste Schritt zum sicheren Klick im „Neuland“. Selbst wenn dies als Mantra bekannt sein dürfte und das Thema langweilig scheinen mag – unsichere Passwörter sind auch unter netz-affinen Personen verbreitet. Wir wollen uns den heutigen „change your password day“ zum Anlass nehmen, um unsere lieb gewordenen Passwörter zu ändern. Außerdem ist das Thema gar nicht so trocken, wie diese Visualisierung von Andreas Lehmann zeigt.
Der Tag, den wir jedes Jahr am 1. Februar mit einem „Och nö, mein schönes, einfaches Passwort?“ begrüßen, wurde angesichts des Zappos-Hacks 2012 ins Leben gerufen. Denn selbst wenn nur noch wenige zur Ein-Passwort-für-alles-Schule gehören dürften – nicht nur das Geburtsdatum, „asdfgh“ oder „1234567890“ werden schnell zum Einfallstor für Angreifer*innen.
Dabei ist das Prinzip einfach: Für jeden Dienst sollte ein eigenes Passwort gewählt werden. Handelt es sich dabei um ein Wort aus dem Wörterbuch, selbst mit leichten Veränderungen oder „Schreibfehlern“, ist dieses von Computern leicht zu erraten. Persönliche Daten wie das Geburtsdatum sind womöglich nicht nur Nahestehenden in der analogen Welt bekannt. Verändern wir hingegen ein Wort bis zur uNcENn7l1cHk3iT, erschwert das zwar das Erraten, aber auch die Erinnerung – welche Buchstaben waren noch groß geschrieben?
Da grundsätzlich gilt, dass die Sicherheit (Entropie) mit zunehmender Länge des Passwortes zunimmt, raten wir zu einem Passsatz (Passphrase), wie ihn Edward Snowden erklärt:
Ganze Sätze wie „Dies=me1nPasssatz@Bank“ sind leichter zu merken und wegen ihrer Länge (und leichter Modifikationen) nur schwer zu knacken. Wer sich für die technischen Hintergründe von Passwörtern interessiert, dem sein diese Chaosradio-Folge zum Thema empfohlen.
Wer gerne komplexe Passwörter einsetzen möchte, aber Probleme hat, sich diese auch zu merken, dem legen wir einen Passwort-Manager wie den freien KeePass oder (für Linux) KeePassX ans Herz. Pass hingegen läuft im Terminal und verschlüsselt jedes Passwort mit GnuPG. Solche Passwort-Manager können auch selbst Passwörter generieren. Wer unbedingt den im Browser integrierten Passwort-Manager nutzen möchte, sollte unbedingt ein „Master-Passwort“ vergeben. Auf keinen Fall sollte mensch die Passwörter auf einen Zettel schreiben und etwa auf den Monitor kleben – oder gar an die Wand.
Ich verwende Lastpass im Browser. Bei Registrierungen lasse ich den Passwortgenerator ein maximal komplexes, mindestens 15 Zeichen langes Passwort erzeugen. Lastpass selbst ist mit einer 2-Faktor-Authentifizierung über die Google Authenticator-App abgesichert.
Das mag zwar durch Ablage der Passwörter auf einem Server und die Google-Verwendung für absolute Sicherheitsexperten noch immer grenzwertig sein, ist für mich aber praktikabel, um meine Nutzerkonten bei diversen Diensten abzusichern.
Ein Passwort für alles kommt aber schon lange nicht mehr in Frage, seitdem mit die erste „Passwort vergessen“-Funktion mein Originalpasswort im Klartext über Email mitteilte.
Nicht vergessen: Morgen ist „I forgot my password day“ ;-)
„Passsatz“ oder „Passphrase“ klingen nicht so gut, finde ich.
Wie wäre es mit „Parole“ oder „Losung“?
Also ich bin auch immer ein Fan von smilys in Passwörtern, wie zb. H@llo:-)Netzpolitik^^
Was bitteschön spricht gegen eine private Passwortverwaltung per Zettel, der an meinem Schreibtisch aufbewahrt ist, den nur ich nutze und der in der eigenen Wohnung steht? Die Sorge davor, dass Familienmitglieder diesen heimlich abschreiben und „in der Welt“ verteilen? Oder bezog sich die Warnung vor einem Zettel nur auf den Aufbewahrungsort?
Mit einem cleveren System zur Passworterzeugung kann man die meisten Passwörte sogar auswendig, wenn sie oft genug abgetippt worden sind. Und im Gedächtnis aufbewahrt sind sie dann am sichersten ;-)
Das bezieht sich natürlich erstmal vor allem auf Büroumgebungen.
>Was bitteschön spricht gegen eine private Passwortverwaltung per Zettel, der an meinem Schreibtisch aufbewahrt ist, den nur ich nutze und der in der eigenen Wohnung steht? Die Sorge davor, dass Familienmitglieder diesen heimlich abschreiben und „in der Welt“ verteilen?
Der Logik folgend lässt du also deine Konto PIN auch im Portemonnaie, weil ja nur du da reinguckst?
Auch wenn Strafverfolgungsbehörden (oder analoge Diebe) den Rechner in deiner eigenen Wohnung abholen sollten, macht so ein Passwort am Monitor schon was her.
Die Antwort hätte an Stefan gehen sollen, nicht an mich.
Ich habe ihn in den ersten 3 Zeilen lediglich zitiert.
Alle drei Kommentare – Markus‘, ra1d und der von mir – beziehen sich auf die Frage von Stefan. Sie sind dementsprechend gleichermaßen eingerückt.
„grundsätzlich gilt, … Sicherheit (Entropie) mit zunehmender Länge des Passwortes zunimmt, raten wir zu einem Passsatz (Passphrase)“
Lach, endlich ein vernünftiger nachvollziehbarer Ratschlag zum Thema Passwort, bzw. Passphrase.
Ich habe die Diskussionen über mehrere jahre, auch schon vor 2013, mitverfolgt und kam aus dem ……Staunen nicht mehr heraus. Ein sinnloser unpraktischer Tip nach dem anderen.
Wurde dabei ‚Entropie‘ überhaupt berücksichtigt, dann häufig nur mit zuverlässig kaum merkbaren wie „hECloT2SfVi0DwavJKhpiF“.
Naheliegendes, viele Zufallswörter(5-7+,Diceware) oder eben eine möglichst sehr lange Passphrase(mit verschiedenen Ansätzen), war eher ein Underground-Tip.
Ein guter Passwort-Manager KeePass/KeePassX löst zumindest das Entropie-Problem elegant, wenn auch nicht perfekt, da die Software natürlich kompromitierbar ist und man immer noch ein merkbares Passwort braucht, was wiederum abgreifbar ist. Mit LiveOS und transportierbaren Datenträgern lässt sich ein Teil der Probleme vermeiden, macht den Umgang damt aber auch nicht einfacher.
Ich warte ja eher auf den „warum muss ich mir für diese Kleinigkeit jetzt schon wieder einen Account anlegen“ Tag.
Selbst wenn man sich nur die Testversion einer Demosoftware runterladen will, verlangen viele Seiten bereits eine Registrierung -.-
Also, ich mache das ganz einfach: Ich werde immer gefragt, ob ich das Passwort speichern will.
Dann klicke ich JA und es geht alles automatisch. Wo ist jetzt das Problem?
Eine anonyme Userin