30. Oktober 2013

Passwörter mit System

Alle Welt beschwert sich über Passwörter. Zu viele, zu lang, zu kompliziert – während früher vielmals schlicht der eigene Vorname oder ähnliches verwendet wurde, wenn man mal ein Passwort brauchte, werden mittlerweile in der Regel schon recht strenge Vorgaben für vermeintlich „sichere“ Passwörter gegeben – Großbuchstaben, Kleinbuchstaben, Sonderzeichen, Mindestlängen. Das mag und kann sich kaum jemand merken – schon gar nicht so viele unterschiedliche Passwörter, wie man eigentlich haben sollte: nämlich für jeden Dienst eines.

Und so haben sich mittlerweile verschiedene Strategien entwickelt, damit umzugehen. Von den meisten halte ich nichts. Denn es ist eigentlich recht einfach, sich ein sicheres, schnelles und universell (um nicht zu sagen „ubiquitär“) einsetzbares Passwort-System zu überlegen.
Aber zunächst mal zu den üblichen Strategien:

#1: Ein „sicheres“ Passwort für alles

Wohl mit Abstand die häufigste Variante, die ich beobachten konnte.
Durch den Zwang vieler Dienste zu komplexen Passwörtern überlegt man sich ein oder vielleicht auch zwei oder drei vermeintlich sichere Passwörter, die man dann überall verwendet.
Vorteil: recht einfach zu merken, schwierig zu verlieren
Nachteil: man sollte niemals das gleiche Passwort für mehrere Accounts nehmen — wird es kompromittiert, sind alle Accounts damit potentiell unsicher. Außerdem: oft vergisst man, welches der zwei oder drei Passwörter nun gerade bei diesem Dienst verwendet wurde.

#2: Passwortmanager

Eine immer beliebtere Lösung: man verwendet Dienste wie 1Password. Mit diesen lassen sich für jeden Account einzeln sehr komplexe Passwörter generieren, die man sich nicht merken muss, sondern die eine Software speichert und entsprechend einträgt. Man muss sich nur noch das Master-Passwort merken. Und für dieses kann z.B. ein einfach zu merkendes xkcd-Passwort verwendet werden.
Vorteil: Viele verschiedene, sehr komplexe Passwörter, die man sich nicht merken muss
Nachteil: Abhängigkeit von Software. Hat man diese nicht zur Hand, kann man sich nicht einloggen. Außerdem: wird das Master-Passwort kompromittiert, müssen alle Passwörter geändert werden. Zudem mag der eine oder andere Probleme damit haben, seine gesamten Passwörter einem Cloud-Dienst zur Verfügung zu stellen.

#3: Passwortsystem

Von mir seit mittlerweile einigen Jahren verwendet, genügt das Passwortsystem allen Anforderungen: es sind sichere Passwörter, für jeden Dienst ein anderes und das alles ist einfach zu merken. Es erfordert nur einige Überlegung zu Beginn und etwas Übung.
Die Basis bildet ein möglichst sicheres Passwort, das idealerweise allen von diversen Diensten gestellten Anforderungen genügt. In der Praxis ist das etwas problematisch, weil viele Dienste Sonderzeichen verlangen, einige aber tatsächlich Sonderzeichen verbieten (!) — aber dazu später mehr.
Dieses möglichst sichere Basispasswort muss man auswendig lernen — wer aber z.B. bislang Lösung #1 verwendete, kann einfach ein schon gemerktes, sicheres Passwort nehmen.
In diesem Basispasswort werden nun einige Stellen „dynamisiert“ und abhängig vom jeweiligen Dienst gemacht. Beispiel: für den Google-Account wird an einer Stelle ein „G“ eingesetzt, beim Passwort für die Apple-ID steht an dieser Stelle ein „A“. Einfach den ersten Buchstaben zu nehmen, ist natürlich trivial. Und auch recht einfach zu erraten, sollte jemand einmal an zwei Passwörter des Systems kommen. Aber der Kreativität sind keine Grenzen gesetzt: es muss ja nicht der erste Buchstabe sein, sondern kann auch der zweite oder der letzte sein. Oder der Buchstabe, der im Alphabet nach dem dritten Buchstaben des Namens des Dienstes kommt. Auch Zahlen lassen sich einbeziehen, zum Beispiel die Länge des Dienstnamens oder eine wie auch immer geartete Übersetzung von Buchstaben in Zahlen. Das Ziel sollte nur stets sein, dass das resultierende Zeichen möglichst für jeden Dienst unterschiedlich ist.
Und dann muss es natürlich nicht nur ein einziges solches dynamisches Zeichen geben, sondern auch drei oder vier, die in das Basispasswort integriert sind, sind durchaus noch praktikabel.
Mit so einem System lassen sich für jeden beliebigen Dienst unterschiedliche, jedoch relativ einfach zu merkende Passwörter „errechnen“. Und wenn man das mehrmals täglich macht (beispielsweise beim Entsperren des Computers) bekommt man auch recht schnell Übung darin.

Noch ein Beispiel:
Das Basispasswort sei s7:☐Km.&☐zQ☐ — wobei mit ☐ die dynamischen Stellen markiert sind.
Das Passwort ist mit 12 Stellen, Groß- und Kleinbuchstaben sowie Sonderzeichen relativ sicher.
Nun zum Regelwerk: die erste dynamische Stelle ist der Kleinbuchstabe, der vor dem ersten Buchstaben des Dienstnamens im Alphabet kommt. Beispiel Google-Account: vor dem G kommt das F, wir wollen es klein, also f. Die zweite dynamische Stelle ist der vorvorletzte Buchstabe des Dienstnamens als Großbuchstabe, beim Google-Account also ein G. Und die letzte dynamische Stelle ist die Länge des Dienstnamens plus 1 modulo 10 (damit es eine Stelle bleibt) — „Google“ hat 6 Buchstaben, +1 ist 7. Das resultierende Passwort für den Google-Account ist also s7:fKm.&GzQ7 — während das Passwort für die Apple-ID (Basiswort „Apple“) s7:zKm.&PzQ6 wäre und das für den Facebook-Account s7:eKm.&OzQ9. Drei ähnliche, aber unterschiedliche Passwörter, denen man nicht ansieht, für welchen Account sie sind, ohne die Regeln zu wissen.
Vorteil: man muss sich recht wenig merken, hat für jeden Account ein anderes, recht sicheres Passwort und kann jedes Passwort recht schnell und ohne zusätzliche Software „ausrechnen“.
Nachteil: erfordert zu Beginn etwas Aufwand.

Ein solches System verwende ich nun seit fast vier Jahren. In der Praxis hat es sich als sehr gut erwiesen. Teilweise gibt es leider Dienste, die Sonderzeichen verbieten – z.B. EAs Origin-Spieleplattform — hier lasse ich die eben weg. Leider muss man sich merken, welche Dienste das sind. Und dann gibt es noch Spezialisten wie die Sparkassen, die nicht nur Sonderzeichen verbieten, sondern auch noch eine Maximallänge (!) von 5 (!!!) Zeichen in einem Passwort vorschreiben. Hier ist dann wirklich Hopfen und Malz verloren.
Ein doppeltes Passwort habe ich bislang — bei ca. 100 verschiedenen Accounts — nicht. Natürlich kommt das auf die Regeln für die dynamischen Teile an.
Bei manchen Diensten muss man sich überlegen, was genau der Dienstnamen ist — wenn z.B. Sonderzeichen im Namen sind oder Zahlen zum Namen gehören. Hier empfiehlt sich eine allgemeine Regel — in der Praxis hat sich allerdings gezeigt, dass man sich, wenn man es nicht mehr genau weiß, meist ohnehin jedesmal gleich entscheidet.
Die Berechnung dauert zu Beginn immer etwas. Bei häufig genutzten Passwörtern kennt man die dynamischen Teile jedoch recht schnell auswendig.
Idealerweise sollte man natürlich auch regelmäßig seine Passwörter ändern. Dafür kann man entweder eine weitere dynamische Stelle einführen, die beispielsweise aus dem Kalenderjahr errechnet werden kann, oder man ändert direkt das Basispasswort regelmäßig – die dynamischen Teile können ja beibehalten werden.
Es ist auch möglich, ein xkcd-Passwort als Basispasswort zu verwenden. Nur ist dann bei den dynamischen Stellen etwas mehr Kreativität gefragt – beispielsweise könnte man Buchstaben über ein standardisiertes Alphabet in komplette Worte übersetzen oder Zahlen ausschreiben.
Alles in allem lassen sich so – natürlich abhängig vom Basispasswort – sichere, unterschiedliche aber dennoch leicht merkbare Passwörter erzeugen.
Und natürlich lassen sich mit dem System auch Antworten auf die unsäglichen Sicherheitsfragen erzeugen.