# taz.de -- Sichere und merkbare Passwörter: x!FdD´Px3+UWG8.a
> Geknackte SSL-Verbindungen erinnern uns daran: Ein Passwort muss sicher
> sein. Und man sollte es sich merken können. Wie geht das zusammen?
(IMG) Bild: Und was ist das jetzt wieder für ein umständliches Passwort?
Chefredaktion taugt nicht. Auch nicht in den Varianten ChEfRedàKt10n oder
3hEFréD1kt9oN. Chefredaktion taugt nicht, weil ein gutes Passwort
mindestens 15, besser noch 16 Zeichen haben soll, die sich zufällig aus
groß und klein geschriebenen Buchstaben, Ziffern und Sonderzeichen mischen.
Ein gutes (im Sinne von sicheres) Passwort ist x!FdD´Px3+UWG8.a oder
o´FnXE.;h2XJ0P8U bzw. keins von beiden, weil sie hier schon publiziert
wurden und damit verbrannt sind. [1][Jeder Passwort-Generator, der auf 16
Stellen ausgerichtet ist], kann passende Antworten geben.
Das Problem an x!FdD´Px3+UWG8.a und o´FnXE.;h2XJ0P8U ist: Das können wir
uns nicht merken. Zumindest dann nicht, wenn wir dem Rat von Fachleuten
folgen, die sagen, dass alle wichtigen Accounts wie E-Mail, Online-Banking,
digitales Shopping etc. mit je einem eigenen Passwort gesichert sein
sollten.
Mit Mühe ließe sich x!FdD´Px3+UWG8.a als generelles Passwort lernen, nicht
aber auch noch o´FnXE.;h2XJ0P8U und WzIRE"GpyGWubN?h. Was heißt schon
wichtige Accounts? Der eine steckt viel Liebe und Fleiß in den eigenen
Facebook-Auftritt, die andere kann ohne drei Stunden „Everquest“ am Tag
nicht leben.
## 12345678 und qwertzu
Und nun? Alles im Passwort-Manager des Rechners speichern? Eher nicht. Das
ist, als legte man einem Taschendieb im Portemonnaie auch gleich noch eine
Tan-Liste, den Fahrzeugbrief und einen Zweitschlüssel für die Wohnung als
Service bereit. Kehren wir in den Blütezeiten der Digitalisierung zur
Zettelwirtschaft zurück? Das kann machen, wer niemals Zettel verliert oder
verlegt und sie stets so aufbewahrt, dass sie tatsächlich immer parat sind.
Sicherheit kommt dort an ihre Grenzen, wo das Gedächtnis dem Menschen sagt:
Was mir nicht dient, bringt nichts.
Jedes Jahr veröffentlichen Sicherheitsdienstleister Listen [2][mit den
größten Passwortdämlichkeiten]. In der englischsprachigen Welt heißt ein
häufig verwendetes Passwort dann „Password“, in Deutschland „Passwort“.
Auch naheliegende Tastaturkombinationen wie qwertzu und 12345678 sind
beliebt, ebenso die Namen von Popstars und Fußballvereinen.
Digital Viertelgebildete lachen über solche Listen und jene User, die
solche Passwörter verwenden. Sie selbst fühlen sich sicher, weil sie
glauben, auf ihr uztrewq und 87654321 komme niemand. Darüber wiederum
schütten digital Halbgebildete viel Häme aus. Ihre Kombination aus
Merkbarkeit und Sicherheit besteht in Worten aus dem persönlichen oder
beruflichen Kontext, die mit Ziffern und Sonderzeichen aufgepimpt werden:
aus Chefredaktion wird ChEfRedàKt10n.
## Aus lukpssulzm wird ?lUkpSsUlZm14%
Digital Dreiviertelgebildete schmunzeln auch darüber. Sie wissen: Das eine
Passwort gibt es nicht. Es gibt nur viele Passwörter, die in einem
unregelmäßigen Abstand auch noch gewechselt werden. Als Basis kann
beispielsweise dieser Satz dienen: „Lange und komplizierte Passwörter sind
sicherer und leichter zu merken“. Aus den einzelnen Wortanfängen wird erst
„lukpssulzm“, dann folgt die eingearbeitete Groß-/Kleinschreibung mit
„lUkpSsUlZm“, weiterhin werden Ziffern eingefügt, die für einen selbst Sinn
ergeben (Geburtsjahr der Mutter; Alter, in dem ich den ersten Joint
rauchte; das Jahr, in dem mein Fußballverein sein letztes Spiel gewann) wie
in „lUkpSsUlZm04“, schließlich folgen Sonderzeichen, so dass am Ende
„?lUkpSsUlZm14%“ steht.
Für unterschiedliche Passwörter muss jede und jeder sein eigenes System
finden. Anders geht es nicht. Um beim Beispielsatz „Lange und komplizierte
Passwörter sind sicherer und leichter zu merken“ und seiner Abkürzung
„lukpssulzm“ zu bleiben: Beim Online-Banking-Passwort wird dann nur die
Groß-/Kleinschreibung alle ein/zwei/drei Monate variiert, zuerst werden die
ersten beiden Buchstaben in Versalien geschrieben, dann die nächsten beiden
usw. Ziffern und Sonderzeichen bleiben gleich.
Bei weiteren Passwörtern bleibt die Groß-/Kleinschreibung gleich, und nur
die Ziffern werden verändert. Bei Facebook beispielsweise rücken alle drei
Monate die Zahlen um je zwei Positionen von hinten auf oder aber die
Ziffern werden nach einem bestimmten System ausgetauscht – von 50 aufwärts
um je 3 Ziffern, von 500 abwärts um je vier Ziffern usw. Weitere Accounts
werden allein von einer sinnvollen, für den Nutzer und die Nutzerin einfach
nachvollziehbaren Änderung der Sonderzeichen geschützt,
Groß-/Kleinschreibung und Ziffern bleiben gleich. Da sind Fantasie und
Logik gleichermaßen gefragt, statische Systeme verbieten sich auf dieser
Ebene von selbst.
## 16stellige Zufallskombinationen samt Mehrfaktorautorisierung
Digital Ganzgebildete runzeln über die Mühen der digital
Dreiviertelgebildeten die Stirn. Sie wissen: Sicherheit gibt auch dieses
Verfahren nicht. Ein Algorithmus, der darauf angesetzt wird, ein Passwort
zu knacken, dessen Kern etwas anderes als reiner Zufall ist – und der Satz
„Lange und komplizierte Passwörter sind sicherer und leichter zu merken“
samt seiner Abkürzungen und Verfremdungen ist ja eben kein Zufall –, wird
es auch knacken. Die Frage dabei ist nicht ob, sondern wann. Dem
entgegengesetzt werden 16stellige Zufallskombinationen, am besten versehen
mit einer sogenannten Mehrfaktorautorisierung.
Das bedeutet, das lange Zufallspasswörter noch einmal anders bestätigt bzw.
ergänzt werden müssen. Bei der Passwortabfrage wird eine verschlüsselte
E-Mail mit einem Code an ein anderes Gerät verschickt, dieser Code wiederum
kann nur per SMS bestätigt werden. Den meisten Nutzern ist [3][das
mTan-Verfahren bei elektronischen Banküberweisungen] bekannt, auch hier
dient ein anderes Gerät der Authentifizierung.
Ebenso können biometrische Merkmale wie Fingerabdruck- oder Irisscan zur
Anwendung kommen. Denkbar für die Mehrfaktorautorisierung sind zudem
komplexe körperliche Merkmale wie DNS-Informationen. Und ebenso denkbar
ist, dass damit aus mittelgroßen Problemen des Datenschutzes riesige
Probleme werden.
## Der Unterschied von Wahrscheinlichkeit und Sicherheit
Absolute Sicherheit von Passwörtern geht auf Kosten der Merkbarkeit und
umgekehrt. Eine Lösung, die beiden Aspekten gerecht wird, ist nicht in
Sicht. Man mag sich in der Sicherheit wiegen, die Wahrscheinlichkeit, dass
jemand einen Algorithmus ausgerechnet auf mein Passwort(-System) ansetzt,
sei im Vergleich zu Angriffen auf die IT-Systeme der Deutschen Bank, des
Europäischen Parlaments oder einer Rüstungsfirma gering. Wahrscheinlichkeit
ist gut, endgültige Sicherheit sieht anders aus.
Ein großer Vorteil der digitalen Welt bestand bislang darin, das Leben der
Menschen einfacher zu machen. Die nicht einfache Antwort auf die einfache
Frage, wie ein Passwort zugleich sicher und merkbar sein kann, zeigt: Der
Vorteil schwindet. NSA, GCHQ und Verfassungsschutz, die nach eigenem
Bekunden angetreten sind, das Leben der Menschen sicherer zu machen, machen
es im Alltag unsicherer. Und schwieriger.
27 Apr 2014
## LINKS
(DIR) [1] http://www.cryptool-online.org/index.php?Itemid=136
(DIR) [2] /index.php
(DIR) [3] http://de.wikipedia.org/wiki/Transaktionsnummer
## AUTOREN
(DIR) Maik Söhler
## TAGS
(DIR) Passwort
(DIR) Passwörter
(DIR) Sicherheit
(DIR) Schwerpunkt Überwachung
(DIR) Apple
(DIR) Passwort
(DIR) Heartbleed
(DIR) Heartbleed
(DIR) Email
## ARTIKEL ZUM THEMA
(DIR) Apple kooperiert mit Kreditkartenfirmen: Zahlen per Fingerabdruck
Kunden sollen die neue Generation des iPhone als digitale Brieftasche
benutzen. Das berge aber auch neue Risiken, warnen Verbraucherschützer.
(DIR) Sicher im Netz einloggen: Der Trend geht zum Zweitpasswort
Wer häufig von fremden Computern auf seine Nachrichten zugreift, muss um
sein Passwort bangen. Eine neue Entwicklung soll das ändern.
(DIR) „Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden
Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein
unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der
Technik.
(DIR) Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler
Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das
Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert
wird.
(DIR) BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken
„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland
könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle
anderen.