Sichere Passwörter, zwischen Tantalus und Sisyphus

23. Februar 2014

Jeder weiß es: Ich muss mich vor Cyber-Attacken schützen! Die meisten wissen auch, dass neben dem aktuellen Virenscanner, auch sichere Passwörter unbedingt notwendig sind. Doch was sind sichere Passwörter und warum setzt man sie nicht ein? Dies ist auch ein Problem der Usability.

Wozu?

Seit der Jahrtausendwende hat sich unsere Kommunikation peu à peu vom sicheren Brief, Fax und Telefon ins Internet verlagert. Heute findet hier ein kunterbunter Austausch von sensiblen Daten zwischen Privatleuten, Handel, Geldinstituten und Ämtern statt. Inzwischen ist auch jedem bekannt, dass die Datenströme abgehört und missbraucht werden können – und es auch werden. Einige Firmen und Institutionen nehmen deshalb viel Geld in die Hand um sich zu schützen, andere arbeiten nach dem preiswerterem Prinzip Hoffnung: „Es wird schon nicht UNS erwischen.“ Bei privaten Nutzern dagegen ist das Budget stark limitiert und auf der anderen Seite „ist ja bis heute noch nichts passiert“. Doch es wackelt, wie bei Tantalus, ein mächtiger Felsbrocken über den User, der jederzeit alles zerstören kann. Aber wie soll sich der private Nutzer nun richtig verhalten? Neben aktuellem Virenscanner sind sichere Passwörter der wichtigste Schutz vor einem GAU.

Was sind sichere Passwörter?

Es ist hinlänglich bekannt, dass sichere Passwörter aus mindestens acht Zeichen bestehen. Unter den Zeichen sollten neben klein- auch Großbuchstaben, Ziffern und unbedingt auch Sonderzeichen sein. Dass man für jede Seite und jeden Dienstanbieter ein anderes Passwort braucht und diese auch noch öfters ändern soll, versteht sich von selbst. Klingt logisch, ist aber der eigentliche Kern des Problems. Denn für die Aufgabe, seine Daten zu schützen, soll sich der Nutzer zig kryptische Wörter merken und diese auch noch verschiedenen Providern sicher zuordnen können. Das Usability-Kriterium der Aufgabenangemessenheit wird hier nicht nur verletzt sondern geradezu gesprengt. Sichere Passwörter zu verwalten und richtig anwenden gerät so zur Sisyphusarbeit.

Wie kann man Passwörter managen?

Das assoziativ arbeitende menschliche Gehirn ist, bis auf einige Savants, für die Speicherung und Verwaltung von Passwörtern gänzlich ungeeignet. Hier sollen deshalb einige der bekanntesten Möglichkeiten des Passwortgebrauchs kurz zusammengefasst werden. Welche Variante man auch wählt, die Verantwortung für die eigenen Daten muss man letztlich doch selbst übernehmen.

Die aktuellen Passwörter können in einer Datei auf dem privaten PC verwaltet werden. Wenn diese Datei jedoch in falsche Hände gerät oder durch Trojaner geklaut wird, wird das Problem noch größer. Außerdem müsste diese Datei mobil erreichbar sein, was das Sicherheitsproblem noch ausweitet.

Eine ausgedruckte Passwortliste immer mit sich zu tragen ist auch nicht ohne. Spätestens bei Eingabe in ungeschützten Räumen können Fremde über die Schulter schauen und alle Passwörter einsehen. Und wenn man die Liste mal liegen lässt?

Die meisten Browser und E-Mail-Programme bieten automatische Passwortverwaltung an. Dies ist natürlich auch den bösen Buben bekannt, weshalb sich viele von ihnen zuerst auf die bekanntesten Programme stürzen. Einmal geknackt bietet sich ein Eldorado für kriminelle Machenschaften. Als Abhilfe müssen immer die neuesten Sicherheitsupdates installiert werden.

Im Web werden einige Passwortmanager teils frei, teils gegen gutes Geld oder Abo angeboten. Man braucht nur noch ein gutes Master-Passwort. Wie gut die Daten wirklich geschützt sind, lässt sich meist nicht verbindlich nachvollziehen. Bei mobiler Nutzung müssen auch diese Daten, wenn auch irgendwie verschlüsselt, doch über das Netz geschickt werden.

Eine weitere oft genutzte Möglichkeit der Passwortverwaltung ist, die Passwörter durch einen selbst ausgedachten, privaten Algorithmus zu erzeugen. Hierzu gibt es viele Varianten, die man hier nur kurz skizzieren kann. Der Grundgedanke ist aus einem Sprichwort oder Gedicht eine private Folge von Zeichen abzuleiten, die man immer wieder sicher erzeugen kann. Diese Buchstabenfolge kann durch den Teil einer Telefonnummer und einigen sympathischen Sonderzeichen aufgelockert werden. Wichtig sind eigene, schräge Ideen, die so noch hoffentlich niemand hat und deshalb auch die Passwörter nicht knacken kann. Das Verfahren ist ausführlicher in dem Artikel „Passwort-Schutz für jeden“ von Jürgen Schmidt beschrieben.

Fazit:

Jeder muss für sich selbst einen Kompromiss aus Aufwand und Sicherheit finden. Allerdings muss man sich vorher informieren und sein Wissen ständig updaten. Die sicherste Lösung von gestern kann das offene Scheunentor von heute sein.

Siehe: „Passwort Schutz für jeden“ auf heise.de (01.10.2013)

Diesen Beitrag bookmarken bei:
Bookmark bei: Yigg Bookmark bei: Webnews Bookmark bei: Technorati Bookmark bei: Mr. Wong Bookmark bei: Linkarena Bookmark bei: Del.icio.us Bookmark bei: Google Bookmark bei: Favoriten Bookmark bei: Facebook

Autor des Beitrags