Ausweg aus dem Kennwort-Dilemma? Ein Versuch
Kennwörter bereiten nichts als Probleme. Die Anforderungen an eine größtmögliche Sicherheit und ständige Änderungsvorgaben sind eine wahre Pein im IT-Alltag jedes Anwenders. Was es zu beachten gibt und wie der Aufwand minimiert werden kann, soll dieser Beitrag etwas detaillierter klären.
Von Diebstählen und Sicherheitslücken
Täglich ist es in der IT-Presse zu lesen. Millionen von Zugangsdaten werden entwendet und öffentliche zugänglich gemacht. Viel zu spät geschlossene Sicherheitslücken ermöglichen es, auf einfache Weise ganze Systeme auszuhebeln – von Dropbox über Adobe bis zu Sony. Die Liste ist lange.
„12345“, manchmal sogar mit einer 6
Die Sensibilisierung der Anwender nimmt langsam zu. Zu langsam. Noch immer ist die Liste nahezu dümmlicher Kennwörter lange. Dies macht es den bösen Jungs zum Kinderspiel, ganze Massen von Rechnern im weltweiten Netz zu übernehmen und damit Botnetz-Angriffe zu fahren oder Spam durch den IT-Äther zu senden.
Es trifft aber auch renommierte Accounts – zuletzt die Twitter-Identität der New York Times. Jenen wollen wir mal keine IT-Unkenntnis unterstellen…
Bessere Angriffsmethoden, komplexere Kennwörter
Wenn „Hacker“ nicht einen Internetdienst aushebeln, so kommen sie meist ganz einfach an die Kennwörter: Trial and Error. Was ganz banal klingt, hat in der Praxis aber eine erstaunliche Ausgereiftheit angenommen. Zum einen werden mithilfe von gesteigerter Rechenpower in Sekunden unzählbare Versuche abgesetzt. Viel wichtiger aber: die automatisierten „Tests“ eines Login-Versuchs nutzen weitaus komplexere Varianten als die bislang bekannten „Wörterbucheinträge“.
Galt bis vor Kurzem noch die Vorgabe, keine Wörter und Wortkombinationen für ein Kennwort zu nutzen, das in einem Lexikon zu finden sein könnte, so gilt dies nun auch für eine Vielzahl von Abwandlungen. Die Folge für den Anwender: Vergessen Sie die einfachen Ersetzungen. Das alte Motto, zuerst ein Wort finden und dann ein i durch ein Ausrufezeichen zu ersetzen (oder @ statt a, $ für S), ist wirkungslos. Gleiches gilt für einfache Pre- und Suffixe: Sonderzeichen am Anfang oder Ende eines Wortes sind wertlos, wenn das Wort selbst ein Einfaches ist.
Anforderungen an das Kennwort
Was bedeutet das konkret? Ein Passwort sollte folgende Bedingungen erfüllen:
- eine Länge von 12 Zeichen
- keine Namen, Orte oder alles was einem Wörterbuch entnommen werden kann
- keine Haustiere, keine Geburtsdaten, keine Kosenamen
- für den Betrachter sollte es „sinnlos“ erscheinen
Nur einmal nutzen
Die wohl wahrscheinlich wichtigste Zusatzvorgabe: nie dasselbe Kennwort für unterschiedliche Dienste und Logins nutzen. Jede Webanwendung, jeder kennwortgeschützte Zugang bekommt sein eigenes Passwort. Ohne Ausnahme. Bei den vielen Cloud-Diensten kommt da schnell eine stattliche Anzahl zusammen. Nochmal: keine Ausnahme. Selbst das (für Sie vielleicht) unwichtige Login in einem Userforum einer Website hat ein einmaliges Kennwort.
Viele Kennwörter, ein Gedächtnis
Die Herausforderung für den IT-Alltag des Anwenders wird schnell klar. Wie sollte man sich diese Menge an Passwörtern merken? Die einfache Antwort: es gibt keine simple Lösung. Viele Nutzer schwören auf die „Satz-Methode“. Diese basiert auf die Erkenntnis, dass sich das menschliche Gehirn Bilder leichter merkt als Zeichenfolgen. Und so funktioniert es:
- Denken Sie sich einen Satz aus, den Sie sich leicht merken. Beispiel: Jeden Freitag um 17 Uhr 30 gehe ich Joggen.
- Nun nehmen Sie von jedem Wort den ersten Buchstaben oder das für Sie markanteste Zeichen. Dann haben wir: JFu17U30giJ. Sieht schon ganz gut aus, oder?
- Jetzt kommen die nächste Sicherheitsstufe, die Ersetzung. Am besten einige Sonderzeichen. Beispiel: i zu !, und noch der Doppelpunkt. Das Ergebnis: JFu17:30g!J. Für den Betrachter einfach nur Zeichenmüll, für Sie (hoffentlich) leicht zu merken.
Viele, richtig viele Kennwörter
Für jeden Dienst ein eigenes Kennwort. Klar. Bedeutet dies: für jeden Dienst ein eigener „Satz“? Wohl kaum. Auch damit wäre das Gedächtnis schnell überfordert. Hier bleibt nur die Fantasie der Abwandlung. Soll heißen: den Namen des Dienstes (in Kurzform) in diesem Kennwort unterbringen. Praktikabel, aber nicht unbedingt einfach.
Und damit sind wir auch schon bei der endgültigen Lösung des Kennwortproblems: dem Passwort-Manager.
Nur noch ein Kennwort
Meine Meinung: die „Satz-Methode“ ist ideal für ein wichtiges Login, welches jeden Tag genutzt wird. Klassisch: die Anmeldung am eigenen Rechner (das Domänen-Login). Vielleicht auch noch für die eine oder andere Anmeldung im Web. Alle anderen Passwörter finden ihre neue Heimat in der Kennwort-Anwendung, manchmal Passwort-Safe genannt.
Wir haben in diesem Blog schon mehrfach Keepass vorgestellt. Das kleine Programm ist kostenlos, Open Source und effizient in der Bedienung. Der Vorteil einer solchen Anwendung: Sie merken sich nur noch das Master-Passwort Ihres Safes, alle anderen Zugangsdaten können von diesem aus aufgerufen werden und werden dort verschlüsselt gespeichert.
Kleine Umstellung, hohe Sicherheit
Ist die Arbeit mit einem Passwort-Safe anfangs vielleicht etwas ungewohnt, der Nutzen lohnt den Umstellungsaufwand. Die Anwendung hilft Ihnen nicht nur dabei, sich automatisiert (und sicher) an Diensten anzumelden, ohne das komplexe Kennwort überhaupt zu registrieren. Es macht auch die Erstellung komplexer Kennwörter mit wenigen Klicks möglich, sodass die Anforderung „ein Dienst – ein Kennwort“ leicht umzusetzen ist. Einige Praxisbeispiele finden Sie in zukünftigen Beiträgen an dieser Stelle.
Noch mehr Sicherheit
Wird ein Dienst „geknackt“, so ist auch das komplexeste Kennwort nichts mehr wert. Es ist in fremden Händen. Der Passwort-Manager hilft dabei, die regelmäßige Kennwortänderung für Webdienste so einfach wie nur möglich zu machen. Den Diebstahl kann aber auch er nicht verhindern. Hier hilft ein mittlerweile von vielen Diensten unterstützte Zugangssicherung: die Zwei-Faktor-Authentifizierung. Eine zusätzliche Abfrage einer Zugangskennung (meist auf dem Smartphone) steigert die Sicherheit immens.
Gemeinsame Firmen-Accounts
Vor allem im Unternehmensumfeld bleibt es meist nicht aus. Einige Dienste oder Serverzugänge verlangen Kennwörter, die von mehreren Anwendern genutzt werden. Der Twitter- oder Facebook-Account der Firma ist da der Klassiker, aber auch eine Vielzahl anderer Weblogins wird von unterschiedlichen Mitarbeitern geteilt. Die Vorgaben einer regelmäßigen Änderung (nicht nur beim Ausscheiden von Kollegen aus dem Unternehmen) machen eine sichere Ablage zur Pflicht! Die Post-it-Aufkleber am Monitor sind nur die Spitze der Nachlässigkeit. Auch in Notizprogrammen oder E-Mail-Nachrichten haben Kennwörter nichts verloren. Warum also nicht einfach und zentral in einer Passwort-Applikation ablegen?
Passwort-Safe mobil?
Bedenken Sie bei der Auswahl eines Kennwort-Managers auch dessen mobile Nutzung. Was nutzt die sicherste Ablage und die Möglichkeit, sich keine komplexen Kennwörter mehr merken zu müssen, wenn diese nicht jederzeit abrufbar sind? Ob der Passwort-Manager in der Cloud genutzt wird oder besser auf einem USB-Stick aufgehoben ist, bleibt Ihnen überlassen. Der Entscheidung für ein bestimmtes System sollte immer ein ausführlicher Test – ohne kritische Daten – vorausgehen.
Vorsicht ist alles
Neben der eigenen, sicheren Verwahrung von Kennwörtern ist aber auch ein sorgfältiger Umgang notwendig. Vielleicht müssen dazu einige Gewohnheiten umgestellt werden. Dies gibt Platz für neue. Abschließend dazu noch einige Tipps:
- Speichern Sie keine Kennwörter im Browser! Die sichere Verwahrung ist nicht gewährleistet.
- Geben Sie keine Kennwörter auf Webseiten ein, die durch den Klick auf einen Link in einer E-Mail aufgerufen wurden (Phishing).
- Aktivieren Sie keine „Remember Me“-Optionen auf Webseiten und keine Login-Automatismen im Browser.
- Nutzen Sie die Zwei-Faktor-Authentifizierung wo immer es geht.
- Trennen Sie berufliche und private Kennwörter strikt.
- Versenden Sie niemals Kennwörter über E-Mail oder unsichere Chat-Dienste.
- Vermeiden Sie die Kennworteingabe auf unsicheren Rechnern (Internet-Cafés, Hotel-Rechner).
- Seien Sie vorsichtig beim Internetzugang über ein öffentliches WLAN.
- Vermeiden Sie Umlaute in Kennwörtern, die Sie eventuell im Ausland benötigen (fremdsprachige Tastaturen).
- Machen Sie regelmäßige Sicherungen der Kennwörter aus Papier. Ausdrucken und sicher verwahren.
- Und nochmal: Regelmäßig Kennwörter ändern erhöht die Sicherheit massiv.
Zugegeben, die gesamte Kennwortproblematik gehört zum unangenehmen Teil der Internetnutzung. Aber Sie gehört dazu. Ein gestohlener Account oder gar entwendete Daten sind viel schlimmer. Fragen und Anregungen dazu gerne in den Kommentaren.
Anzeige