Seite 3: Sicher mit System

Inhaltsverzeichnis

Sicher mit System

Das andere Konzept setzt darauf, dass man sich selbst aus einem "unknackbaren" Basis-Passwort Dienst-spezifische Variationen ableitet. Das hat allerdings ebenfalls seine Nachteile – nicht zuletzt den, dass es eine gewisse Gefahr gibt, dass jemand die verwendeten Muster erkennt und damit von einem Account zum nächsten springen könnte.

Denken Sie sich deshalb ein eigenes Schema aus, wie Sie von einer Vorlage jeweils ein konkretes Passwort etwa für einen Online-Dienst ableiten und verwenden Sie nicht exakt das im Folgenden vorgestellte. Bei Webseiten bietet sich der Domainname als Basis für Variationen an. Fügen Sie etwa dessen ersten und dritten Buchstaben immer an der drittletzten und letzten Stelle des Passworts ein. Und schließlich setzen Sie die Zahl der Zeichen an die zweite Stelle.

Sie haben damit gute Chancen, auch nach ein paar Monaten eBay-Abstinenz Ihr vergessenes Zugangskennwort zu rekonstruieren. Sollte jedoch ein Betrüger etwa durch einen Einbruch bei eBay an dieses Passwort kommen, ist die Gefahr sehr gering, dass er daraus Ihr Amazon-Passwort ableitet.

Auch die Chancen, dass Cracker Ihr elfstelliges Passwort nach einem Einbruch bei eBay knacken, sind gering. Denn erstens legt eBay hoffentlich mehr Sorgfalt als LinkedIn an den Tag. Und elf quasi zufällige Zeichen halten auch GPU-Attacken auf SHA1 länger stand, als der Geduldsfaden der Cracker reicht. Der kürzlich vorgestellte 25-GPU-Cluster bräuchte dazu über 135 Jahre.

Dass jemand mit bloßem Auge Ihr Variationsschema entdeckt, ist ebenfalls unwahrscheinlich. Erst wenn Cracker in den Besitz von mehreren Ihrer Passwörter im Klartext gelangen, um sie durch ihre Variationsmaschinerie zu nudeln, besteht eine gewisse Gefahr, dass das von Ihnen eingesetzte Schema entdeckt wird.

Mehr Infos

Drei Passwort-Regeln: Lügen, betrügen und verfälschen

Die Wahrheit ist eindeutig und deshalb besonders exponiert. Die Unwahrheit kann man auf unendlich viele Arten sagen.

Lügen: Die Kontrollfragen für den Passwort-Reset sind Hintertüren, die häufig für Einbrüche genutzt werden. "Dein erstes Auto" oder "der Mädchenname deiner Mutter" – solche Informationen können auch andere leicht recherchieren. Das gilt besonders, wenn ein Einbrecher ganz konkret Sie ins Visier genommen hat.

Betrügen: Wenn Sie irgendwelche Zahlen in ihren Kennwörtern verwenden – also etwa eine Jahreszahl oder die Zahl der Zeichen eines Domainnamens: schummeln sie dabei. Nehmen Sie immer drei mehr oder eins weniger als den richtigen Wert.

Verfälschen: Wenn Sie eine Vorlage für Ihr Kennwort benutzen – einen dummen Spruch, die Zeile eines Lieds oder ein Zitat: Verfälschen Sie das Original grundsätzlich etwas.

Machen Sie sich also klar, dass Ihre Passwörter wertvoll sind. Verschwenden Sie sie nicht an Sites, bei denen die Gefahr hoch ist, dass die Schindluder damit treiben und sie als MD5-, SHA1-Hash oder sogar als Klartext abspeichern. Dummerweise kann das der Anwender meist nicht erkennen. Setzen Sie deshalb das volle Master-Passwort nur auf wirklich wichtigen und vertrauenswürdigen Seiten ein. Für alle anderen können Sie etwa als Basis eine abgespeckte Version benutzen, bei der Sie Ziffern und Sonderzeichen entfernen (xTqwB) und eine abgewandelte Modifikationsregel einsetzen.

Wegwerf-Passwörter

Darüber hinaus verwende ich unter anderem für diverse Foren, denen ich nicht so recht traue, sogar noch ein paar Wegwerf-Passwörter, die nicht ganz offensichtlich sind – bei denen mir aber klar ist, dass sie durchaus knackbar sind, wenn es jemand drauf anlegt. Soll er – ich verwende sie nur dort, wo es mir nicht wirklich weh tut.

Und schließlich bemühe ich mich, besonders schützenswerte und exponierte Kennwörter auch besonders sicher und einmalig zu gestalten. Dazu gehört die Passphrase meines GPG-Schlüssels, natürlich das E-Mail-Kennwort, das fürs Online-Banking und alles, wo man von vornherein mit einem Offline-Angriff rechnen muss, also etwa in der Cloud abgelegte Truecrypt-Container. Im Zweifelsfall greife ich dabei auf meinen Zettel-Safe zurück. Denn ein Verfahren, wie ein Trojaner den Air Gap zwischen PC oder Smartphone und dem Zettel im Schreibtisch Zuhause überbrücken könnte, ist mir zumindest nicht bekannt. (ju)