Profis (und ich) benutzen einfache Passwörter – Anmerkungen zur Datensicherheit

Na klar, ausgerechnet einem wie mir passiert sowas, einem wie mir, der sich einbildet, eine halbwegs sinnvolle Masche entdeckt zu haben wie es sich mit PINs, Passwörtern, Benutzernamen und Konsorten im Zeitalter der Suche nach Datensicherheit bequem und doch leidlich sicher leben läßt.
Da will ich mir vom Geldautomaten ein wenig Bares auszahlen lassen – und gleich zweimal meint der Stoiker in gelangweilter Einsilbigkeit, dass die Geheimzahl nicht stimme. So geschehen gestern in Hessen – ich erwähnte ja schon, dass ich gerade fernab vom schönen Spandau und dem Büro in der “Knese” im ehemals roten “Muschterländle” weile. Zum Glück hatte ich noch eine Card von einer anderen Bank, so dass ich das Bier auf den Schreck mit einem futschneuen 5-€-Scheinchen bezahlen konnte.

Und als Trost blieb mir immerhin, dass die Geheimnummer fürs Konto genau zu den Codes gehört, die man nicht ändern (und somit vereinfachen) kann – wie weiter unten noch beschrieben wird.

Authorization Required
Du hast ein falsches Passwort benutzt, oder das Passwort ist nicht mehr gültig. Bitte versuche es noch einmal, oder wende Dich an den SystemAdministrator.

Wer im Netz unterwegs ist, kennt diese “Fehlermeldung” und weiß, dass sie zumindest Zeit und Nerven kostet. Hier soll es um den Umgang mit Passwörtern gehen, jenen Geheimcodes, die erst durch das Internet flächendeckende Bedeutung erlangten – und ebenso flächendeckend für Verzweiflung, Sorge, Unsicherheit oder Ärger sorgen.
Völlig zu Unrecht – wie gleich zu lesen sein wird…
Das Informationszeitalter leidet (wie alle Episoden der Weltgeschichte) an einer oder mehreren typischen Besonderheiten. Starben die Menschen des Mittelalters einst am und/oder mit dem Minnegesang eines Walter von der Vogelweide und duckte sich die Wiederaufbau-Generation des Wirtschaftswunders unter dem Kommando “Schaffe, schaffe, Häusle baue!”, so sind wir heute dem Wahnsinn nahe, wenn und weil wir zum Beispiel nach der Geheimzahl unserer fünften EC-Karte (von insgesamt 13) gefragt werden.
Ob Geheimzahl, PIN, TAN, Login-Authentifizierung, Kennwort oder Passwort – der Beginn des dritten Jahrtausends ist gespickt mit diesen oft kryptischen, weil von Maschinen generierten Zeichenkombinationen, die sich ungefähr genauso schlecht merken lassen wie die genaue Schreibweise jenes Ortes in Wales (GB) namens “Llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch“, der einmal den Rekord als längster .com-Domain-Name hielt.
vG*Wp2.Es” als Zugangspasswort für einen ftp-Server ist da kaum besser, “5610” als Geheimzahl für eine EC-Karte der Berliner Volksbank sieht zwar harmlos aus, ist es aber deswegen nicht, weil schon ein kleiner Zahlendreher ratzfatz zu “5016” oder “5160” führt und die Karte spätestens beim nächsten falschen Versuch auf Nimmerwiedersehen von diesem völlig humorlosen Geldautomaten eingezogen wird.


Simpel und doch sicher

Dabei könnte alles so einfach sein. Nein, nicht nur “könnte” – es ist eigentlich ganz einfach, wenn man es selbst nicht zu kompliziert macht – oder sich von der semi-professionellen PasswortMafia dazu verführen lässt, es sich schwer zu machen.
Die beiden Grundfragen, die es zu bedenken gilt, lauten:

  1. Wozu sind Passwörter eigentlich da – und wozu nicht?
  2. Wie sollten Passwörter beschaffen sein, um ihre Funktion sauber zu erfüllen?

zu 1.:
Passwörter sind dazu da, eindeutig zu gewährleisten, dass nur ein Berechtigter Zugriff auf Daten (oder Werte) erlangt. Passwörter sind nicht dazu da, die kreative Phantasie der Hobby-Kryptologen zu Höchstleistungen anzustacheln.

zu 2.:
Dazu zunächst eine Grundsatzbemerkung: Damit ein Passwort seine Aufgabe sauber erfüllt, muss es vor allem eines sein – nämlich dem Inhaber bekannt. Genau dies ist jedoch oft einfach deshalb nicht der Fall, weil es – eben wegen seiner “lebensfremden” Schreibweise – nicht mehr richtig oder sogar überhaupt nicht mehr erinnert wird.
Das leitet zu der Hauptaussage der Frage über, nämlich dazu, wie denn nun ein Passwort beschaffen sein sollte, damit es erstens von seinem Inhaber behalten wird und zweitens nicht so ohne weiteres von einem bösen ScriptKid geknackt werden kann.
Mit anderen Worten:
Auf welche Weise erreiche ich es, dass mein Passwort sowohl sicher als auch ganz simpel ist?

Hier muss nun zunächst noch ein kleiner Einschub kommen, bevor es zu den Tipps geht, die darüber Auskunft geben wie mit Passwörtern umgegangen werden sollte.
Bestimmte “Passwörter” – zum Beispiel die Geheimzahl für die EC-Karte – sind festgelegt, das heißt, sie können nicht von dem, der sie in diesem Fall von seiner Bank erhalten hat, einfach geändert werden. Deshalb gelten einige der folgenden Sätze für solche Fälle natürlich nicht. Die Geheimzahl der EC-Karte oder ähnlich unveränderbare Kennungen, sollte man sich in der Tat am besten auf einem Zettel notieren, der an einem sicheren Platz liegt.
Mein “sicherer Platz” lag bei dem eingangs erzählten Missgeschick in Spandau – runde 500 Kilometerchen von Hessen entfernt.
Sicher heißt deshalb allerdings schon wieder zweierlei: Einmal, dass dieser Platz von einem selbst jederzeit leicht wieder gefunden (oder erreicht) werden kann (Es gibt ja diese Leute, die die Dinge so gut verstecken, dass sie sie selbst nicht mehr finden… ich zum Beispiel) und zweitens, dass er nicht allzu offensichtlich auf dem Schreibtisch klebt, so dass schon der Reinemachemann beim Staubwischen Kontonummer und Geheimzahl lesen kann.
Außerdem kann man sicher die inhaltlichen Dinge auf diesem Zettel so gestalten, dass sie ein Minimum an kryptographischem Bemühen aufweisen. Die Geheimzahl für die VISA-Karte, die real 5016 lautet, könnte bespielsweise so notiert sein:
Wieso 5016
Die Geheimzahl für die EC-Karte der Commerzbank erhält entsprechend der Markenfarbe dieser Bank (als Eselsbrücke) zum Beispiel den Vermerk
Gelb 4014
Hinter solchen Einträgen wird nur ein äußerst gewiefter Schnüffler einen Code vermuten, eher denkt der Leser an eine irgendwann in irgendeinem Zusammenhang mit “5016” notierte Frage bzw. an eine Notiz zu einem Farbton für irgendwas. Doch bitte in diesem Zusammenhang an die Standardanweisung der Banken denken: Notizzettel mit Geheimzahl und Kreditkarten immer räumlich getrennt aufbewahren. Wenn die Kreditkarte in der Brieftasche steckt, gehört der Notizzettel zum Beispiel in die Geldbörse oder in den Terminkalender.
Und außerdem sollte man sich ein Gerichtsurteil des Amtsgerichtes Kassel (AZ 83  C 4162/93) ins Gedächtnis rufen, wonach es als “grob fahrlässig” gilt, die persönliche Geheimzahl “getarnt” unter Telefonnummern zu notieren und diese gemeinsam mit der Scheckkarte zum Beipiel in der Handtasche aufzubewahren. Wer zwei Sekunden darüber nachdenkt, wird sehr schnell erkennen, dass die Richter klug geurteilt haben. Denn es ist für einen Bösewicht alles andere als schwer, zum Beispiel einfach alle vierstelligen Telefonnummern daraufhin abzuklopfen, ob eine davon eine Geheimzahl ist…
Und bedacht werden sollte bitte immer: Das alles sind nur Beispiele!!!
Bei der persönlichen Gestaltung solcher “Geheimschriften” sind der eigenen Phantasie keine Grenzen gesetzt, vorausgesetzt, ein Teil der Notiz lässt indirekt erkennen, um was es sich handelt. Wer nur eine EC-Karte hat, braucht derlei Gedächtnisstützen (vermutlich) natürlich nicht. Und wem auch dies noch zu unsicher ist, kann weitere Verschleierungen ersinnen – allerdings bitte immer so, dass er selbst sie noch durchschauen kann – auch nach Jahren.


Passwörter fürs Leben

Nun aber einige Tipps, mit denen der Umgang mit den vielen Login-Screens, Authentifizierungs-Formularen und anderen Passwortabfragen beim Surfen im Internet zum Kinderspiel wird.

  1. Regel:
  2. Da bei fast allen Authentifizierungen sowohl ein Benutzername als auch ein Passwort abgefragt werden, empfiehlt es sich, sich einen einzigen Benutzernamen für alle dieser Abfragen zuzulegen.
    Beachtet werden muss dabei jedoch, dass auch dieser Benutzername ein paar Kriterien erfüllen sollte, die seinen Gebrauch durchgehend möglich machen. So sollte er zwar einprägsam, aber nicht zu allgemein und verbreitet sein, damit man bei stark frequentierten Sites nicht die Antwort der Maschine erhält, dass der Benutzername bereits vergeben ist. Wer also Eberhard Diepgen heißt, sollte nicht gerade “Eberhard” wählen, sondern zumindest “EberhardDiepgen“. Noch besser ist jedoch ein völlig “freier” Begriff wie beispielsweise “Goldmund” oder “Zwiebelfisch”, weil dabei der Fall, dass er bereits vergeben ist, sehr unwahrscheinlich wird.

  3. Regel:
  4. Gewählt werden sollte ein Passwort, für das die gleichen Kriterien gelten wie für den Benutzernamen. Aber: Bei Passwörtern sind – im Gegensatz zu den Benutzernamen – oft Sonderzeichen erlaubt. Dass das so ist, ist kein technisch bedingtes Gesetz, sondern in der Regel eine Festlegung des jeweiligen Administrators. Und diese Sonderzeichen können nun dazu benutzt werden, ein weiteres Kriterium zu erfüllen, das bei Passwörtern sogar vernünftigerweise erfüllt sein sollte, nämlich die Sicherheit, dass ein solches Passwort nicht so ohne weiteres zu knacken ist.

  5. Regel:
  6. Verwendet werden sollten diese Kennungen konsequent bei allen Anmeldeprozeduren, über die im Netz gestolpert wird. Auf diese Weise werden alle Unsicherheiten darüber vermieden, bei welchem Anbieter nun welche Kennung gewählt wurde. Besonders bei Sites, die man vor vielen Jahren zum ersten Mal besucht und sich dort eingelogged hat, vergisst man schnell, welche Kennungen man seinerzeit einmal wählte.Allerdings keine Regel ohne eine kleine Ausnahme. Da es unterschiedlich wichtige Zugänge gibt, sollten die unwichtigen und die wichtigen auch unterschiedlich behandelt werden.
    Das kann so aussehen, dass der Benutzername immer gleich ist, es jedoch ein Passwort für die unwichtigen und eines für die wichtigen Zugänge gibt.

Selbst wenn einer der Zugänge einmal gehackt werden sollte, ist die Wahrscheinlichkeit extrem gering, dass der Hacker von den anderen Zugängen weiß, die durch die selbe Kennung geschützt sind.
Regel 2 bedarf noch einiger wichtiger Ergänzungen, damit wirklich verstanden wird, um was es geht. Bleiben wir bei dem oben erwähnten Passwort “vG*Wp2.Es“, um verständlich zu machen, warum das Folgende wichtig ist.

vG*Wp2.Es” ist einfach deshalb blöde, weil es kaum zu behalten ist und weil es sich schlecht tippt. Gut daran ist, dass es durch die Kombination von groß- und kleingeschriebenen Buchstaben, Zahlen sowie Sonderzeichen vielen der simplen Hackermethoden (Die verschiedenen Methoden der Hacker sind ein eigenes Thema!) standhalten wird.
Aber das leisten auch Passwörter, die so konstruiert sind, dass sie sich gut behalten und leicht in die Tastatur tippen lassen. Hier ein Beispiel (Und erneut sei betont, dass es sich nur um ein Beispiel handelt. Jeder möge sich bitte, bitte seine eigene Systematik ausdenken, damit nicht die hier vorgestellten Muster zu einer bundesweiten Verbreitung führen, so dass 53 Leute in Kassel, 112 in Hannover und 989 in Berlin die gleiche Authentifizierung – nämlich diese hier! – benutzen.) wie ein solch simples Passwort konstruiert sein könnte:

Das Passwort “123=Qwer” besteht ebenfalls aus Zahlen, Groß- und Kleinbuchstaben und einem Sonderzeichen, aber es lässt sich wegen seiner Diktion wesentlich leichter merken und wegen der Anordnung der Tasten auf der Tastatur auch wesentlich leichter tippen. Einfach mal ausprobieren!
Solcherlei Konstrukte kann man massenweise finden, wenn man einen Augenblick darüber nachdenkt.
Und mal wieder eine kleine Besonderheit, die es dabei zu beachten gilt, die dem Prinzip jedoch nicht schadet:
Beim Einloggen auf Rechnern – vor allem Linux oder Unix – gibt es in aller Regel eine Längenbegrenzung für Passwörter. Das heißt, dass diese nicht mehr als 8 Zeichen haben dürfen – genau acht Byte. Das gilt nicht – oder meistens nicht – für Authentifizierungen bei Datenbanken oder durch CGIs abgefragte Kennungen auf WebSites.

Eine feine Methode ist es auch, Passwörter zu “hierarchisieren”:

  • Ein ganz simples Passwort kann zum Beispiel für häufig besuchte Downloadseiten oder die Zugänge zu irgendwelchen bedeutungslosen Chats benutzt werden, zum Beispiel “blafasel”
  • Ein daraus abgeleitetes Passwort kann man nehmen, um Accounts auf irgendwelchen Rechnern zu codieren, zum Beispiel “blafasel0“.
  • Und für sehr wichtige Zugänge wie fürs Homebanking oder das Konto bei einem Online-Buchhändler taugen wirklich ausgereifte Versionen wie zum Beispiel “bla.Fasel-321“.

Noch ein wenig Hintergrund dazu:
Bereits “KindesKinder01” oder “Carola22” sind – was die Wahrscheinlichkeit des erfolgreichen Knackens angeht – als außerordentlich sicher einzustufen. Der Aufwand, so etwas in der korrekten Kombination mit dem Benutzernamen zu entschlüsseln, ist enorm. Mehrere Hochleistungsrechner würden dazu Wochen, wenn nicht Monate benötigen.

Da Unix-Services normalerweise bei der Verwendung eines falschen Passwortes absichtlich eine Verzögerung einbauen, bevor sie fortfahren, ist es auch durch Ausprobieren aller Kombinationen nicht sinnvoll möglich, ein solches Passwort zu knacken.

Das Problem war übrigens noch nie die Passwort-Länge, sondern bestand darin, dass Leute sich schlechte Passwörter ausdenken, die ganz leicht zu erraten sind (Vorname, Nachname, Telefonnummer, Name der Freundin, Geburtstag usw.).

Zum Schluss noch einige Hinweise zur Sicherung von Daten allgemein:

Unter Windows besteht die Möglichkeit, Passwortabfragen zu speichern, so dass sie beim nächsten Besuch eines Site nicht mehr eingetippt werden müssen, sondern gleich in der Maske eingetragen sind. Wer seinen Rechner garantiert allein benutzt oder nur Menschen auch daran arbeiten oder spielen, die das volle Vertrauen besitzen, besteht kein Grund, diesen Automatismus nicht zu verwenden.

Wenn der Rechner aber auch von Leuten benutzt wird, denen es nicht gegönnt sein soll, persönlichen Daten kennenzulernen, sollte die Option “Passwort speichern” oder eine entsprechende Abfrage des Betriebssystems immer mit NEIN beantworten oder die dafür vorhandene Checkbox ausgeklickt .
Bedacht werden sollte immer, dass natürlich vieles theoretisch möglich ist, jedoch an der praktischen Durchführung scheitert. Wie bei (fast) allen Dingen im Leben, muss auch in der Datensicherheit immer erwogen werden, wie wahrscheinlich das Eintreten des schlimmsten Falles angesichts oft kleiner, aber wirksamer Sicherheitsmaßnahmen ist.

Um es einmal wieder an einem Beispiel deutlich zu machen:
Viele Menschen fürchten sich davor, nachts im Wald spazieren zu gehen, weil es anscheinend eine aus Urzeiten überlieferte Abneigung in uns gibt, bei Dunkelheit in unübersichtlichem Gelände herumzulaufen. Diese Angst steht im krassen Widerspruch zu der Wahrscheinlichkeit, dass dem Nachtwanderer etwas  Übles zustößt, weil es hierzulande so gut wie keine wirklich wilden Tiere mehr gibt, die Wälder nachts in Regel vollkommen menschenleer sind und die Wahrscheinlichkeit, dass ein weiterer Nachtwanderer, der noch dazu Böses im Schilde führen müsste, in einem großen Waldgebiet exakt den selben Weg nimmt wie man selbst, schlicht gegen 0,00000000009 geht.

Das war’s!
Aber bitte auch zum Schluss wieder ins Bewußtsein rufen, dass dies kein “Beipackzettel” mit genauer Dosierungsanleitung, sondern als Anregung und Ideensammlung zu verstehen ist, um sich das Leben im Netz leichter zu machen – so leicht wie möglich. Vergessen seien die langen Passwortlisten. Profis haben nur so wenige und so simple Passwörter, dass sie sie alle am sichersten Platz aufbewahren können, den es gibt: in ihrem eigenen Kopf.

Und ganz zum Schluss noch eine hübsche Geschichte – ganz aus der Wirklichkeit -, die unter “http://www.spiegel.de/netzwelt/netzkultur/0,1518,200340,00.html” nachgeschlagen werden kann… ein lehrreiches Stück aus dem Tollhaus des WWW.

2 Kommentare

  1. Michael sagt:

    Hallo,

    erstmal vielen Dank für die vielen gut geschriebenen Einträge. Auf diesen speziellen möchte ich einmal antworten, denn die zweite Seite der Medaille wird nur kurz angesprochen: Die völlig willkürliche Vorbestimmung der jeweiligen Einrichtung bezüglich der Passwortgestaltung. Ich habe auch mehrere tolle Passwörter, die sich teilweise in einem aufeinander aufbauenden System verlängern lassen. Trotzdem ist es erstaunlich, wieviele Varianten einem abverlangt werden können. Da möchte eine Seite ein Passwort zwischen 4 und 6 Zeichen, aber unbedingt eine Zahlen- / Buchstabenkombination, eine andere 8 Zeichen (Großschreibung beachten!), die nächste 10-25 Zeichen, aber keinesfalls Sonderzeichen, dann wieder muss es unbedingt mit einer Zahl beginnen und, und, und…ganz zu schweigen von den Benutzernamen, die mal frei wählbar sind, mal ebenfalls irgendwelchen Restriktionen unterliegen, manchmal darf es die mail sein, manchmal eben grad nicht.

    Tja, das ist der Preis für die digitale Vielfalt. Und immer, wenn ich mal in einem Internet-Shop etwas bestellen will, geht der Spuk wieder los. Wohin sind die guten alten Zeiten ;-) in denen man einfach etwas bestellt hat, ohne vorher sämtliche Personendaten bis zur Schuhgröße einzugeben und sich seltsame Benutzernamen und Passwörter auszudenken.

    Ich surfe jetzt nur noch dort, wo ich nicht alle 30 Tage aufgefordert werde, mein Paßwort zu ändern und ich mir das ganze auch tatsächlich merken kann, weil ich (wie von Ihnen beschrieben) vernünftige Kombinationen nutzen kann. Und im Zweifel lege ich halt bei jedem Einkauf einen neuen Account an. Datenbanken sollen ja sehr flexibel sein und auch mit der Speichermenge gibt es keine Probleme mehr.

    In diesem Sinne beste Grüße
    Michael

  2. Lance sagt:

    Eine feine Ergänzung!
    Tja, ich dachte mir halt, dass diese Passwort-Abhandlung lang genug sei. Etwa nach dem Motto: “Du darfst über alles schreiben, nur nicht über 4.000 Zeichen…”

    Es ist halt ein komplexer Sachverhalt, dem sicher sogar ein ganzes Büchlein gewidmet werden könnte.

    Witzig finde ich Deine (Michaels) Einkaufs-Variante; das mache ich nämlich ganz genau so, vor allem bei Accounts, die entweder zu unwichtig sind, um sich etwas Mühe zu geben oder bei solchen, bei denen die zweite Anmeldung nicht sofort klappt; warum auch immer. Ich kalkuliere meine eigene Schusseligkeit da durchaus mit ein…

    Insofern erkläre ich diesen Kommentar zum regulären Bestandteil des Ursprungsbeitrages und benenne ihn um in “Profis (und WIR) benutzen einfache Passwörter”…

Kommentar verfassen

Achtung: Kommentare werden moderiert. Das kann unter Umständen etwas dauern ;)