Sichere Passw├Ârter, zwischen Tantalus und Sisyphus

23. Februar 2014

Jeder wei├č es: Ich muss mich vor Cyber-Attacken sch├╝tzen! Die meisten wissen auch, dass neben dem aktuellen Virenscanner, auch sichere Passw├Ârter unbedingt notwendig sind. Doch was sind sichere Passw├Ârter und warum setzt man sie nicht ein? Dies ist auch ein Problem der Usability.

Wozu?

Seit der Jahrtausendwende hat sich unsere Kommunikation peu ├á peu vom sicheren Brief, Fax und Telefon ins Internet verlagert. Heute findet hier ein kunterbunter Austausch von sensiblen Daten zwischen Privatleuten, Handel, Geldinstituten und ├ämtern statt. Inzwischen ist auch jedem bekannt, dass die Datenstr├Âme abgeh├Ârt und missbraucht werden k├Ânnen – und es auch werden. Einige Firmen und Institutionen nehmen deshalb viel Geld in die Hand um sich zu sch├╝tzen, andere arbeiten nach dem preiswerterem Prinzip Hoffnung: ÔÇ×Es wird schon nicht UNS erwischen.ÔÇť Bei privaten Nutzern dagegen ist das Budget stark limitiert und auf der anderen Seite ÔÇ×ist ja bis heute noch nichts passiertÔÇť. Doch es wackelt, wie bei Tantalus, ein m├Ąchtiger Felsbrocken ├╝ber den User, der jederzeit alles zerst├Âren kann. Aber wie soll sich der private Nutzer nun richtig verhalten? Neben aktuellem Virenscanner sind sichere Passw├Ârter der wichtigste Schutz vor einem GAU.

Was sind sichere Passw├Ârter?

Es ist hinl├Ąnglich bekannt, dass sichere Passw├Ârter aus mindestens acht Zeichen bestehen. Unter den Zeichen sollten neben klein- auch Gro├čbuchstaben, Ziffern und unbedingt auch Sonderzeichen sein. Dass man f├╝r jede Seite und jeden Dienstanbieter ein anderes Passwort braucht und diese auch noch ├Âfters ├Ąndern soll, versteht sich von selbst. Klingt logisch, ist aber der eigentliche Kern des Problems. Denn f├╝r die Aufgabe, seine Daten zu sch├╝tzen, soll sich der Nutzer zig kryptische W├Ârter merken und diese auch noch verschiedenen Providern sicher zuordnen k├Ânnen. Das Usability-Kriterium der Aufgabenangemessenheit wird hier nicht nur verletzt sondern geradezu gesprengt. Sichere Passw├Ârter zu verwalten und richtig anwenden ger├Ąt so zur Sisyphusarbeit.

Wie kann man Passw├Ârter managen?

Das assoziativ arbeitende menschliche Gehirn ist, bis auf einige Savants, f├╝r die Speicherung und Verwaltung von Passw├Ârtern g├Ąnzlich ungeeignet. Hier sollen deshalb einige der bekanntesten M├Âglichkeiten des Passwortgebrauchs kurz zusammengefasst werden. Welche Variante man auch w├Ąhlt, die Verantwortung f├╝r die eigenen Daten muss man letztlich doch selbst ├╝bernehmen.

Die aktuellen Passw├Ârter k├Ânnen in einer Datei auf dem privaten PC verwaltet werden. Wenn diese Datei jedoch in falsche H├Ąnde ger├Ąt oder durch Trojaner geklaut wird, wird das Problem noch gr├Â├čer. Au├čerdem m├╝sste diese Datei mobil erreichbar sein, was das Sicherheitsproblem noch ausweitet.

Eine ausgedruckte Passwortliste immer mit sich zu tragen ist auch nicht ohne. Sp├Ątestens bei Eingabe in ungesch├╝tzten R├Ąumen k├Ânnen Fremde ├╝ber die Schulter schauen und alle Passw├Ârter einsehen. Und wenn man die Liste mal liegen l├Ąsst?

Die meisten Browser und E-Mail-Programme bieten automatische Passwortverwaltung an. Dies ist nat├╝rlich auch den b├Âsen Buben bekannt, weshalb sich viele von ihnen zuerst auf die bekanntesten Programme st├╝rzen. Einmal geknackt bietet sich ein Eldorado f├╝r kriminelle Machenschaften. Als Abhilfe m├╝ssen immer die neuesten Sicherheitsupdates installiert werden.

Im Web werden einige Passwortmanager teils frei, teils gegen gutes Geld oder Abo angeboten. Man braucht nur noch ein gutes Master-Passwort. Wie gut die Daten wirklich gesch├╝tzt sind, l├Ąsst sich meist nicht verbindlich nachvollziehen. Bei mobiler Nutzung m├╝ssen auch diese Daten, wenn auch irgendwie verschl├╝sselt, doch ├╝ber das Netz geschickt werden.

Eine weitere oft genutzte M├Âglichkeit der Passwortverwaltung ist, die Passw├Ârter durch einen selbst ausgedachten, privaten Algorithmus zu erzeugen. Hierzu gibt es viele Varianten, die man hier nur kurz skizzieren kann. Der Grundgedanke ist aus einem Sprichwort oder Gedicht eine private Folge von Zeichen abzuleiten, die man immer wieder sicher erzeugen kann. Diese Buchstabenfolge kann durch den Teil einer Telefonnummer und einigen sympathischen Sonderzeichen aufgelockert werden. Wichtig sind eigene, schr├Ąge Ideen, die so noch hoffentlich niemand hat und deshalb auch die Passw├Ârter nicht knacken kann. Das Verfahren ist ausf├╝hrlicher in dem Artikel ÔÇ×Passwort-Schutz f├╝r jedenÔÇť von J├╝rgen Schmidt beschrieben.

Fazit:

Jeder muss f├╝r sich selbst einen Kompromiss aus Aufwand und Sicherheit finden. Allerdings muss man sich vorher informieren und sein Wissen st├Ąndig updaten. Die sicherste L├Âsung von gestern kann das offene Scheunentor von heute sein.

Siehe: „Passwort Schutz f├╝r jeden“ auf heise.de (01.10.2013)

Diesen Beitrag bookmarken bei:
Bookmark bei: Yigg Bookmark bei: Webnews Bookmark bei: Technorati Bookmark bei: Mr. Wong Bookmark bei: Linkarena Bookmark bei: Del.icio.us Bookmark bei: Google Bookmark bei: Favoriten Bookmark bei: Facebook

Autor des Beitrags