Passwort-Sicherheit

Inhalt

I. Einleitung
II. Viele Passwörter manuell erstellen
III. Viele Passwörter digital erstellen
III. a) KeePass
III. b) LastPass
IV. Einzelne Passwörter manuell erstellen
IV. a) Passwort rein gedanklich entwickeln
IV. b) Manuelles Hilfsmittel: Password Card
V. Hinweis zu Sonderzeichen

I. Einleitung

Passwörter sind ein wichtiger Bestandteil in unserer virtuellen Welt. Passwörter sollen uns Zugriff zu Diensten und Daten ermöglichen, die nur man selbst bedienen können soll. In Kombination mit einem Nicknamen oder einer E-Mail loggt man sich täglich in vermutlich mehrere Webseiten ein. In den seltensten Fällen möchte man, dass auch jemand Fremdes ungehinderten Zugang zu den verborgenen Informationen oder den möglichen Funktionen hat. Dies kann die nervende Witz-Statusmeldung bei Facebook o.ä. sein, Schabernack in unserem Lieblingsforum oder auch alle Informationen die in unseren E-Mails gespeichert sind.
Obwohl Passwörter derart sensibel sind, gewinnt man zunehmendst den Eindruck, dass sie als lästiges Beiwerk angesehen werden. Nicht zuletzt weil im heutigen Web2.0 beinahe jede Seite die Möglichkeit bietet, ein persönliches Konto anzulegen; die meisten verlangen dies sogar, wenn man ihre Funktion nutzen will. Ständig muss ich, wenn ich z.B. etwas aus einem kleinen Webshop bestellen will, mir ein neues Konto anlegen, welches ich nach der Bestellung kaum wieder ansehe. Natürlich muss ich mir dafür auch ein Passwort ausdenken. Selbstverständlich will sich kaum jemand eine solche Menge an Passwörtern merken. Alle Webseiten bieten zumindest eine "Passwort vergessen"-Funktion. Diese funktioniert, solange man seine E-Mailadresse auch noch benutzt. Bequem ist jedoch anders.
Die andere Taktik ist, sich ein Standardpasswort auszudenken und dieses überall zu benutzen. Eine gefährliche Taktik. Ich muss mir nun bei jeder Webseite Gedanken machen, ob sie auch sicher ist. Denn wenn jemand die Datenbank knacken sollte und mein Standardpasswort (und am besten noch die E-Mailadresse dazu) bekommt, kann er sich plötzlich überall einloggen. Unsicher programmierte Webseiten begegnen uns im Netz zu häufig, als dass ich diesen Weg empfehlen würde. Zudem will ich auch nicht Verantwortung für jeden Computer übernehmen müssen, an dem ich mich mal einlogge. Weiß man wirklich gesichert, dass ein/e Freund/in nicht gerade mal eine Schadsoftware (Keylogger¹) auf dem Rechner hat? Oder das Internetcafé?
Mehrere Standardpasswörter mit verschiedenen Sicherheitsstufen schaffen dieses Problem nicht aus der Welt, sondern grenzen nur den Schadensradius ein.

Ich möchte hier über drei verschiedene Möglichkeiten schreiben, wie man die Sicherheit seiner Passwörter erhöhen kann:

Viele Passwörter manuell erstellen: Hier beschreibe ich, wie man ohne Hilfsmittel eine Vielzahl von Passwörtern generieren kann, die man tagtäglich auf jeglichen Webseiten verwenden kann. Das vorgestellte System erfordert jedoch einiges Nachdenken und Übung um flott eingesetzt zu werden.
Viele Passwörter digital erstellen: Im Gegensatz zum manuellen Modell wird hier durch technische Hilfsmittel die Sicherheit erhöht. Man ist hier jedoch darauf angewiesen, stets ein Gerät (z.B. USB-Stick) dabei zu haben und sich die vorgestellten Programme anzueignen.
Einzelne Passwörter manuell erstellen: Abschließend will ich noch etwas zu längeren Passwörtern sagen, die man selten einsetzt, aber die dafür hochsensiblen Zugang gewähren und deshalb gewissen Anforderungen genügen müssen.

Nach Oben

II. Viele Passwörter manuell erstellen

Dass das Problem der Standardpasswörter (in der Einleitung erwähnt) kein theoretisches ist, musste ich leider selbst erfahren. Ich habe eine E-Mailadresse bei Web.de. Diese habe ich angelegt, als ich ungefähr 12 war, vielleicht auch früher. Damals habe ich mir kaum Gedanken um Passwörter gemacht. Ich nutzte ein 6-stelliges Wort als Standardpasswort. Einige wenige andere Konten bei anderen Webseiten benutzten ebenfalls lange Zeit dieses Passwort, einfach, weil ich zu faul war es zu ändern. Im Jahr 2010 wurde das Passwort zu meinem Webmailkonto geknackt; um Spam zu versenden. Wie das geschah, weiß ich nicht. Ich hatte keine Schadsoftware auf meinem Rechner, noch auf eine Phishing-Mail reagiert. Ich kann allerdings nicht für andere Rechner bürgen, an denen ich mich je angemeldet habe. Quintessenz ist nur: Irgendwie wurde mein Konto geknackt und wenn dies nicht nur zu simplem Spam geschehen wäre, hätte der Angreifer viele meiner Konten verwenden können. Denn nicht nur mein erwähntes Standardpasswort war aufgedeckt, ich hatte dummerweise auch noch (zu meiner Verteidigung: aus alten Zeiten) einen Unterordner "PW archiv", in dem ältere E-Mails von neuen Konten lagerten, in denen meist das Passwort mitgeschickt wird. Damit hätte man noch nicht einmal Google bemühen müssen, um zu wissen, wo ich ein Konto hätte haben können.
Nach diesem Vorfall habe ich mir etwas Gedanken um sichere Passwörter gemacht. Ich hatte mir bereits ein System ausgedacht, um für jede Webseite ein eigenes Passwort zu haben, jedoch nicht überall benutzt. Der Witz dabei ist, dass dieses System auch ohne eine "Passwort speichern"-Funktion des Browsers auskommen soll, über welche heutzutage eigentlich jeder Browser verfügt:
Google Chrome

Von der Benutzung dieser Funktion rate ich meistens ab. Es gibt im Prinzip nur zwei mögliche Gründe, diese Funktion zu nutzen: Bequemlichkeit und Notwendigkeit.
Bequemlichkeit meint, dass man theoretisch Passwörter benutzt, die man sich merken kann, aber keine Lust hat, diese auf seinem Heimsystem ständig einzutippen. Bequemlichkeit ist eine Ausprägung, der ich mit den einleitenden Worten bereits begegnen wollte. Mein Ziel ist, aufzeigen, dass Passwörter sensible Einrichtungen sind, bei denen etwas Nachdenken keineswegs verkehrt ist. Da ich an dieser Stelle bereits darüber hinaus bin, dass Standardpasswörter verfehlt sind, gehe ich von der Prämisse aus, dass bereits möglichst verschiedene Passwörter genutzt werden. Wenn man sich die Mühe machen sollte, sich verschiedene Passwörter zu überlegen, dann sollte man diese Mühe nicht durch das Speichern im Browser wieder zunichtemachen.
Alle, die an dieser Stelle immer noch nicht überzeugt sind, sollten vielleicht im Kapitel Viele Passwörter digital erstellen weiterlesen. Hier werden Passwortmanager-Programme vorgestellt, die wieder Bequemlichkeit in Verbindung mit Sicherheit liefern sollen.
Notwendigkeit würde bedeuten, dass ich mir sehr sichere Passwörter überlegt habe, die kompliziert sind und die ich mir deshalb nicht merken kann (ich klammere den Fall aus, dass man nicht in der Lage ist, sich simple Passwörter zu merken - aber prinzipiell will ich hier den gleichen Lösungsansatz propagieren). Der Ansatz ist sehr gut, denn sichere Passwörter sind gut. Schlecht ist natürlich, dass man sich nicht merken kann, was man produziert hat. Mit dem System, welches ich hier vorstelle, möchte ich genau dagegen angehen. Es sollen sichere Passwörter entstehen, die man sich allerdings vergleichsweise einfach merken kann.
Bevor ich darauf eingehe, möchte ich aber noch etwas zu "Passwort speichern" sagen. Es gibt einige Bedenken gegen die Nutzung der Funktion. Einerseits sind diese praktischer Natur, andererseits Bedenken der Sicherheit.
Zur Praxis ist zu sagen, dass die Funktion selbstverständlich nur am heimischen, eingerichteten Computer funktioniert. Will man sich mal woanders einloggen, steht man vielleicht vor dem Problem, dass man sich an ein Passwort erinnern muss, obwohl man dieses Erinnern schon aufgegeben hat - weil es ja nicht notwendig ist.
Die Sicherheitsbedenken wiegen dagegen weitaus schwerer. Man baut hier eine Kumulation von Datensätzen auf, die durchaus interessant für Angreifer ist. Anders ausgedrückt serviert man seine Passwörter auf dem Silbertablett. Ganz so wie ich mit meinem "PW archiv"-Ordner im Mailkonto. Nur eben auf dem eigenen Rechner. Schadsoftware könnte die Daten auslesen, schließlich legen die Browser diese immer an gleichen Stellen im Dateisystem ab. Ein physischer Zugriff zum PC reicht ebenfalls aus, um schnell einen Blick zu riskieren: Browser auf, Optionen an, Liste der Passwörter anzeigen lassen. Dies können beliebige Personen aus unserem Umfeld sein, die uns aus irgendeinem Grund schaden oder einen Streich spielen wollen. Keine Minute benötigt es, um kurz einmal das gesuchte Passwort aufzuschreiben. Der dritte Angriffsvektor wären die Webseiten, auf denen man sein Passwort eingeben muss. Hier könnte ein Angreifer durch Cross-Site Scripting (XSS)² Scripte einbinden, die die Daten auslesen, sobald der Browser automatisch die Formularfelder ausfüllt - ein Vorgang den man dann gar nicht mitbekommt. Auch durch speziell verschleierte Links, die versehentlich angeklickt werden, können entsprechende Effekte simuliert werden.³
Die gespeicherten Passwörter bieten also mehrere Angriffspunkte und man gewinnt nur relativ wenig durch ihre Verwendung. Firefox bietet die Möglichkeit, ein Master-Passwort festzulegen (wie auf dem Bild oben zu sehen). Dadurch räumt man einige Punkte aus dem Weg, gerade der physische PC-Zugriff führt nicht mehr zu den Passwörtern. Das Paradoxe an dieser Funktion ist allerdings für mich, dass ich eine Vielzahl von Passwörtern, die super sicher ausgedacht sind, durch ein einziges ersetze, welches wiederum den Zugang zu allem ermöglicht. Zugegeben, es ist immerhin besser als kein Master-Passwort.
Es gilt jedoch: solange man seine Passwörter irgendwo ablegt, besteht immer die Möglichkeit, dass diese Passwörter in fremde Hände gelangen. Dies ist der schlimmste Fall, der Fall, den es zu verhindern gilt. Es gibt nur einen Ort, wo Passwörter wirklich sicher sind: der eigene Kopf. Merken ist die sicherste Methode. Diese Methode will ich im folgenden so sehr erleichtern, dass sie eine akzeptable Alternative zum Rest darstellt.
Ich gehe davon aus, dass auch die merkstärksten Personen bei 10 sicheren Passwörtern langsam an ihre Grenzen stoßen. Ich will deshalb ein System vorstellen, mit dem man sich nicht jedes Passwort merken muss, sondern dieses aus wenigen Bruchstücken zusammensetzen kann.
Man beginnt dazu mit einer Zeichenkette, die man sich einfach merken kann. Das darf erst mal auch ein Wort sein, Hauptsache man erinnert sich aufgrund persönlicher Umstände daran. Ich starte mit garten. Mein erster Schritt, um dieses Passwort sicherer zu machen, ist Großschreibung: Garten (damit wäre gleichzeitig auch eine häufig anzutreffende Anforderung an Passwörter erfüllt: Groß- & Kleinschreibung verwenden).
Dieses "Standardpasswort" verwendet man als Basis für die neuen Passwörter. Je nachdem, wie sensibel ein Dienst ist, in den ich mich einlogge, passe ich das Passwort durch Zahlen und Sonderzeichen an. Ich verwende drei verschiedene Sicherheitsstufen:
Für alle Webseiten, bei denen es gar nicht so wichtig ist, ob sich mal jemand anderes einloggt, verwende ich nur den Basispasswortbestandteil (Garten). Das sind z.B. Fachforen in denen ich nur eine schnelle Frage loswerden möchte und denen ich nach der Beantwortung keinen Besuch mehr abstatte.
Für die üblichen Dienste, d.h. Foren in denen ich unterwegs bin, Webshops die keine Zahlungsinformationen speichern, Zweit-E-Mailadressen, Facebook etc. füge ich noch eine Zahlenkombination ein, die ich mir leicht merken kann. In diesem Beispiell soll es 95 sein: Garten95 (statt Zahlen sind natürlich beliebige Zeichenkombinationen möglich; allerdings ist auch die Verwendung von Zahlen eine häufige Anforderung).
Die wirklich wichtigen Passwörter werden durch die Zahl und Sonderzeichen erweitert (an dieser Stelle gilt es allerdings den Hinweis zu Sonderzeichen zu beachten). Dieses Passwort ist für sehr wenige Anwendungen reserviert, bei denen ich davon ausgehe, dass auch die Webseitenbetreiber die Sicherheit großschreiben. Meine Haupt-E-Mailadresse, Zugänge zu Uni-Diensten, PayPal oder ähnliche Dienste werden hiermit gesichert. Sparsame Verwendung dieses Passwort garantiert die Sicherheit. Denn wer die erste (Basiskennwort) oder zweite Stufe (Basiskenntwort und Zahl) knackt steht immer noch nicht mit allen Informationen da. Wird das sicherste Passwort gebrochen, sind hingegen alle Informationen verfügbar.
Das Passwort wird also durch Sonderzeichen ergänzt. Denkbar sind z.B. diese Kombinationen: Garten§95, Garten9/5, Garten95% oder irgendwelche Konstellationen, die man sich merken kann. Für dieses Beispiel soll Garten§95 herhalten.
Natürlich kann man sich an dieser Stelle fragen, warum ich Sicherheitsstufen und Komplexität der Passwörter verbinde. Man könnte auch einfach jede "Stufe" als Kombination des Wortes, einer Zahl und eines Sonderzeichens darstellen. Solange man eine strikte Trennung beibehält und das wichtigste Passwort selten verwendet, spricht nichts dagegen. Ich finde es nur wesentlich einfacher, Sicherheits- und Komplexitätsstufen zu verbinden, denn ich kann mir die Stufen leicht merken. Ich weiß, dass die erste Stufe "keine Modifikation" bedeutet, mittel dagegen "Zahl anhängen" und stark "Zahl und Sonderzeichen anhängen". Wenn ich jede der drei (oder beliebig viele, wie viele eben gebraucht werden) Stufen jetzt sehr komplex darstelle, drohe ich schnell den Überblick zu verlieren. Ich finde es z.B. verwirrend, wenn locker Garten9/5, mittel Garten95% und stark Garten§95 sind. Sollte ich auch noch anfange, die Zahlen zu variieren, bin ich persönlich auf der Strecke geblieben. Wer sich dieser Denkaufgabe gewachsen sieht, kann die Situation natürlich anders beurteilen. Ich fahre mit o.g. drei Stufen fort, denn letztlich sind diese für das zu erklärende Prinzip egal.
Bisher ist noch nichts besonderes an unseren Passwörtern dran. Jetzt folgt der individuelle Teil, der sich bei jeder Webseite unterscheidet.
Man nimmt einen Teil des Webseitennamens in das Passwort auf. Beispiele: facebookGarten95, amazonGarten§95, twitterGarten95.
Das sind für jede Webseite einzigartige Passwörter. Fertig? Nein! Dieses System ist sehr leicht zu durchschauen. Man möchte die Idee hinter den Passwörtern noch etwas verschleiern, damit ein Angreifer auf einer Seite nicht sofort kapiert, dass er nur den Namen der Seite einfügen muss, um sich anderswo einzuloggen. Ein üblicher (und sinnvoller) Typ bei der Passworterstellung lautet zudem, den Namen der Webseite niemals in das Passwort aufzunehmen. Denn auf diese Idee sind schon viele gekommen und Angreifer stellen sich hierauf ein. Deshalb bleibt es nicht dabei, dass die Webseite im Namen auftaucht.
Man fährt beispielsweise damit fort, dass man den Namen der Webseite etwas ändert, aber immer noch so, dass man sich diesen leicht merken kann. Einige Beispiele:
Facebook: face, faceb, fbook, bookface.
Amazon: ama, mazon, zon.
Twitter: twitt, tweet, itter.
...man versteht, worum es geht. Wenn ein Angreifer jetzt ein Passwort knackt, muss er bei anderen Seiten immer noch erraten, welche Modifikation des Namens gewählt wurden. Das ist gut, reicht aber als Schutzfaktor noch nicht ganz.
Zur Perfektion setzt man noch eine einfache Verschiebechiffre an. Die bekanntesten Beispiele hiervon sind Caesar-Verschiebung⁴ und ROT13.⁵ Man verschiebt also die Buchstaben im Alphabet. Z.B. eine Position nach oben: aus a wird b, aus b wird c. Bis zum Caesar, also dreifache Positionsverschiebung, empfinde ich die Methode noch als relativ simpel (damit meine ich etwa den Vergleich zu ROT13; dreizehn Verschiebungen schaffe ich nur durch längeres Abzählen).
An dieser Stelle fragen vielleicht einige, was das soll. Immerhin sind Verschiebechiffren alles andere als komplexe Verschlüsselungen. Es geht hier allerdings nicht darum, wasserdicht zu verschlüsseln, sondern darum, das System möglichst angenehm zu verschleiern. An dieser Stelle hat man bereits einige Schritte unternommen, um die Passwörter sicherer zu machen. Man muss in jedem Falle gegenüber stellen, dass man die Passwörter auch selbst noch flüssig eintippen muss. Man braucht also ein Verschleierungsverfahren, welches ein durchschnittlicher menschlicher Kopf auch fix hinkriegt. Fortgeschrittenere Verschlüsselungstechniken sind nicht praktikabel, sofern man nicht gerade einen Taschencomputer mit sich herumträgt, der die Verschlüsselung schnell durchführen kann (und dann hat man den Fall, dass man einen Gegenstand, der verloren gehen könnte, als Gedächtnisstütze verwendet).
Sollte ein Angreifer eines der Passwörter bekommen, müsste er sich schon die Mühe machen, sich mit diesem Passwort zu beschäftigen. Dies setzt vorangestellt voraus, dass er überhaupt auf die Idee kommt, hinter dem Passwort verbirgt sich ein System. Ist der Angreifer tatsächlich soweit gekommen, dass er die Verschiebechiffre geknackt hat, greifen die anderen Sicherheitsmerkmale, die man eingebaut hat. D.h. man hat den Namen der Webseite verändert (statt facebook "fbook", statt amazon "azon" - der Angreifer kann vom einen nicht auf das andere schließen) und man hat unterschiedliche Sicherheitsstufen durch Zahlen und Sonderzeichen eingefügt.
Dieses System ist zweifellos nicht perfekt. Aber es bietet mehr Sicherheit als die häufige Verwendung von Standardpasswörtern. Egal wie geschickt diese erdacht sind, sobald sie einmal bekannt sind, bieten sie keine Sicherheit mehr. Mit dem hier vorgestellten System kann man zumindest darauf vertrauen, dass ein Angreifer nicht ohne Weiteres alle anderen Konten plündern kann. Sollte man Kenntnis erlangen, dass ein Konto geknackt wurde, empfiehlt es sich natürlich, das System zu ändern und die Passwörter neu zu vergeben.
Dass man sich kaum davor schützen kann, dass Passwörter einmal bekannt werden, zeigt der Fall von "lulzsec delivers". Die Hackergruppe lulzsec hat Anfang Juni 2011 eine Liste mit über 62.000 Kombinationen aus E-Mailadressen und Passwörtern online unter der Bezeichnung lulzsec delivers zur Verfügung gestellt.⁶ Die Herkunft dieser Daten ist unbekannt. Es ist nicht sicher, ob dies Erfolge aus Phishing-Mails waren oder ob teilweise die Datenbanken der E-Maildiensteanbieter gehackt wurden.
Wird die eigene E-Mailadresse kompromittiert, ist auf jeden Fall höchste Vorsicht geboten. Denn die "Passwort vergessen"-Funktion, die ich weiter oben noch lobend erwähnt habe, bietet jedem Angreifer jetzt die einfache Möglichkeit, sich alle Passwörter zukommen zu lassen. Gegenmaßnahmen sind kaum zu treffen.

Aber genug der Worst Case Scenarios. Abschließend will ich noch einige Tipps geben, wie man sein neu gewonnenes Passwortsystem verbessern kann:

Ich habe eingangs gesagt, dass der beständige Teil des Passworts auch ein Wort sein könnte. Dem will ich hier widersprechen. Dazu mal ein Beispiel:
iwinGarten§95
Dies ist das Passwort für Google. Die Bezeichnung wurde zweifach nach oben verschoben (iwin -> 2 Buchstaben im Alphabet nach hinten -> gugl). Google wurde als "gugl" ausgedrückt. Da wir das Googlekonto als besonders sensibel einstufen, wurde die höchste Passwortstufe gewählt. Problematisch ist, dass "Garten" sehr eindeutig als reales Wort erkennbar ist. Es ist also weniger schwer zu erkennen, dass man hier einen festen Teil (Garten) und einen dynamischen Teil (iwin) hat. Hätte man einen eher sinnlosen Begriff gewählt, z.B. "Hfzurj", wäre das Passwort wesentlich undurchsichtiger: iwinHfzurj§95.
Wenn man sich so eine sinnlose Buchstabenkombination nicht merken möchte, kann man auch sehr leicht sein Wort verbergen. Man vertauscht z.B. die beiden ersten Buchstaben unseres Wortes mit dem letzten Buchstaben des dynamischen Teil: gugGalrten§95. Und jetzt verschiebt man wieder den dynamischen Teil (gugl) zwei Buchstaben im Alphabet nach oben: iwiGanrten§95. Wie üblich kann man an dieser Stelle seiner Fantasie freien Lauf lassen und das Vertauschen so wählen, dass man es selbst schnell im Kopf machen kann, aber dabei trotzdem der Mittelteil verschleiert wird. Es wird nun sogar noch undurchsichtiger für einen Angreifer, was man angestellt hat und um den dynamischen Teil zu knacken benötigt er noch mehr Zeit.
Ich empfehle dringend, entweder diesen oder den vorherigen Stichpunkt eingehend zu bedenken, bevor man sich dagegen entscheidet. Der erste Stichpunkt dient dazu, einem Angreifer, der nur ein einziges Passwort erhält, zu verbergen, dass hier ein System vorliegt. Sobald aber zwei oder mehr Passwörter bekannt sind (Google: iwinHfzurj§95, Amazon: cbqpHfzurj§95 - Amazon wird hier als "azon" ausgedrückt und das z wird zum b rotiert, es wäre aber auch möglich, nach z z.B. die Zahlen 0-9 einzufügen), könnte ein Angreifer auch hier den undynamischen Teil (Hfzurj§95 in den genannten Fällen) herausfiltern. Damit ist er einen Schritt weiter. Der zweite Stichpunkt hilft hier, den undynamischen Block aufzulösen (entsprechend die beiden Fälle; Google: iwiGanrten§95, Amazon: cbqGaprten§95 - wieder mit Garten als undynamischer Teil).
Man könnte die Verschiebung variieren. Statt "Alle Buchstaben des dynamischen Teils zwei nach oben" sagt man "Der erste Buchstabe zwei unten, der Rest zwei nach oben". Alternativ verschiebt man abwechselnd oben und unten, oder, oder, oder. Eine weitere Anregung: Den dritten Buchstaben des dynamischen Teil ersetzt man einfach immer durch F. Damit bewirkt man Chaos pur: iwFGanrten§95. Hier bieten sich auch Möglichkeiten, noch ein Sonderzeichen o.ä. unterzubringen.
Der letzte Tipp, einer der Standardtipps für sichere Passwörter: Teile eines Passworts sollten niemals durch Rückschlüsse aus der eigenen Person oder Angehöriger gewonnen werden können! Also keine Vor-/Nachnamen von einem selbst, dem Haustier, des Partners, Mutter, keine Geburts-, Hochzeits- oder Namenstage, nicht den Namen des Arbeitsgebers etc.! Schon gar nicht, wenn solche Informationen auch noch aus sozialen Netzwerken leicht zu identifizieren sind. Tatsächlich soll es auch Personen geben, die als Passwort etwas nehmen, was sich aus dem eingegeben Benutzernamen erschließt. Also z.B. für die Adresse "geilerhacker@gmx.de" das Passwort "geilerhacker". Wenn es nach der Lesung dieses Textes noch Bestrebungen gibt, solche Passwörter zu wählen, dann habe ich irgendwas mit den einleitenden Worten falsch gemacht.
Die Passwortstärke sollte zudem mindestens 8 Zeichen umfassen. Diese Mindestanforderung wird jedoch alle paar Jahre nach oben verschoben, daher dürfen es auch gerne mehr Zeichen sein.

Noch einige Worte zum Schluss: Alle Ausführungen, die ich hier gemacht habe, mögen zuerst abschrecken. Viele, teils neue Denkschritte werden nötig, um mit dem neuen Passwortsystem umgehen zu lernen. Aus eigener Erfahrung weiß ich aber, dass das Verarbeiten der Passwörter mit der Zeit leichter von der Hand geht.

Nach Oben

III. Viele Passwörter digital erstellen

Passwörter können auch digital, d.h. mittels einer speziell dafür entwickelten Software gespeichert und abgerufen werden. Damit ist jedoch nicht die "Passwort speichern"-Funktion eines Webbrowsers gemeint. Zu dieser sind weiter oben im Abschnitt Viele Passwörter manuell erstellen bereits einige Schwachstellen dargestellt. Wenn man also schon die Bequemlichkeit einer Software ausnutzen möchte, dann sollte diese Software wenigstens speziell für den Einsatz als Passwort-Manager entwickelt sein und den speziellen Problemen richtig begegnen.
Man sollte sich allerdings nicht darüber hinwegtäuschen lassen, dass selbst mit einem solchen Programm, immer noch manche Passwörter unter gewissen Umständen selbst eingetippt werden müssen. Man braucht ein laufendes Betriebssystem zum Betrieb des Programms, daher müssen alle Passwörter, die vor dem Hochfahren einzugeben sind (Anmeldekennwort für das Benutzerkonto, ggf. ein Passwort für eine Verschlüsselungssoftware) immer noch selbst eingegeben werden. Auch an Systemen, auf denen man keine Programme ausführen darf oder kann, bringt eine solche Software natürlich nichts.
Spezielle Passwortmanager stellen eine zentrale Passwortdatenbank dar. D.h. sie speichern die Kombinationen von Benutzername und Passwort, sowie natürlich den Einsatzort (z.B. die URL). Diese Datenbank wird verschlüsselt auf der Festplatte (oder dem verwendeten Datenträger) abgelegt. Ein Zugriff ist nur mittels des Programms möglich, wenn man zuerst ein Masterpasswort eingegeben hat. Danach hat man über das Programm Zugriff auf seine Datenbank. Vernünftige Programme bieten nun die Möglichkeiten, das Passwort entweder direkt in die Zwischenablage zu kopieren oder in entsprechende Formularfelder automatisch einfüllen zu lassen. Hierdurch wird erreicht, dass Keylogger die Passwörter nicht mitschneiden können.⁷ Das automatische Einfüllen fördert zudem natürlich die bequeme Nutzung.
Die Manager haben regelmäßig einen mobilen Modus, damit sie leicht auf einem USB-Stick o.ä. mitgenommen werden können. Dies bringt die notwendige Mobilität, die die browsereigenen Funktionen vermissen lassen. Hier liegt jedoch auch ein Nachteil: Ein USB-Stick kann verloren gehen oder gestohlen werden. Damit wäre auch die gesamte Datenbank verloren. Es muss also eine Möglichkeit geben, die Datenbank irgendwie zu sichern oder wiederherzustellen. Außerdem sollte das Masterpasswort sicher sein; dies ist natürlich nur in Kombination mit einer sicheren Verschlüsselung sinnvoll. Das Passwort liefert man selbst, die Verschlüsselung das Programm. Tipps für eine sichere Passwortgestaltung von langen Passwörtern stehen weiter unten im Kapitel Einzelne Passwörter manuell erstellen. Eine simple Methode, um die Datenbank zu sichern, wäre es - ganz unabhängig vom verwendeten Manager - zusätzlich zum mobilen Gerät auf dem heimischen Rechner immer eine Kopie zu lassen (dies bietet sich auch umgekehrt an, wenn man den Manager nur am heimischen Rechner nutzen will; man sollte hier stets für einen Datenverlust durch eine zerstörte Festplatte gewappnet sein). Dafür sollte das Programm eine möglichst gute Methode liefern, die Datenbank zu synchronisieren.
Für optimalen und bequemen Einsatz sollte ein Manager auf möglichst vielen Plattformen verfügbar sein. Arbeitet man häufig an verschiedenen Betriebssystemen (Windows, Linux, Mac OS und vor allem Smartphonesysteme wie Android, iOS oder Windows Mobile), sollte hierauf besonders geachtet werden. Zwar kann man nicht erwarten, dass ein Datensatz des Programms überall läuft, aber es wäre gut, wenn wenigstens eine Version für das betreffende System zum Download bereit gehalten wird. Kann man auf seine Passwörter gar nicht zugreifen, kann man sich oft auch nicht einloggen, weil das Programm das Merken der Passwörter ja überflüssig machen soll. Man ist also aufgeschmissen, wenn die Datenbank nicht immer verfügbar ist.
Manche Manager bieten die Option eine Schlüsseldatei zusammen mit oder anstelle des Masterpassworts zu verwenden. Dies kann eine eigens erstellte oder beliebige Datei sein. Sie wird in den Verschlüsselungsprozess einbezogen und ein Entschlüsseln ist nur möglich, wenn die Datei zur Verfügung steht. Dies eignet sich vor allem für eine stationäre Nutzung des Managers. Hierbei ist die Schlüsseldatei entweder eine von tausenden auf dem Rechner (und damit quasi nicht zu finden) oder wird lediglich auf einem USB-Stick abgelegt (hier ist wiederum ein Verlustproblem angelegt, was den Wert der Schlüsseldatei mindert). Für den mobilen Einsatz ist die Schlüsseldatei ungeeignet. Denn entweder liegt die Datei zusammen mit unserem Manager auf dem mobilen Datenträger, wodurch die Möglichkeiten stark eingeschränkt werden und sie leichter zu entdecken ist oder man benötigt zwei Datenträger. Hier, wie auch beim stationären Einsatz, gewinnt man allerdings einen zusätzlichen Sicherheitsfaktor, wenn man Schlüsseldatei und Masterpasswort kombinieren kann. Diese Variante ist in jedem Falle die sicherste.
Zuletzt haben viele Programme eine automatische Funktion, um sich lange und zufällige Passwörter zu generieren, die zudem einen definierbaren Zeichensatz verwenden.
Zwei Programme sollen nun hier vorgestellt werden: KeePass und LastPass.
Natürlich gibt es noch weitere Programme dieser Art, die sich im Internet finden lassen. Für den eigenen Gebrauch sollte man in jedem Fall dasjenige auswählen, welches die benötigten Features bietet. Man sollte nur darauf achten, dass adäquat über die Sicherheit informiert wird. Sicherheit ist ein wesentliches Merkmal einer solchen Software und eignet sich deshalb gut für Werbung. Wird damit nicht geworben, kann man daraus nur schließen, dass die Sicherheit mangelhaft ist.

a) KeePass

KeePass ist eine OpenSource-Software⁸ und damit frei (kostenlos) und nicht-kommerziell. Es wurde von Dominik Reichl entwickelt und steht unter der GNU/GPL 2.0.⁹ Die Webseite lautet www.keepass.info (engl.). So viel zu den formalen Angaben.
Es folgt eine Liste an Vor- und Nachteilen, die ich aus den Informationen der Webseite und einem Test des Programms zusammengetragen habe. Die ersten Betrachtungen betreffen die bereits festgestellten Anforderungen an einen Manager. KeePass steht zudem in zwei Versionen zur Verfügung, die sich inhaltlich unterscheiden. Sollte dies der Fall sein, weise ich gesondert darauf, ob ein Feature wie beschrieben nur in der Classic Edition (1.x) oder der Professional Edition (2.x) zur Verfügung steht. Professional Edition heißt in diesem Kontext übrigens nicht - wie man vielleicht erwarten könnte - dass sie kostenpflichtig ist. Es ist einfach eine andere Version (die in der Regel mehr Features bietet).

Statt Passwörter abtippen zu müssen, können sie in die Zwischenablage kopiert werden oder per Drag&Drop in das gewünschte Formularfeld eingefügt werden. Keylogger können somit umgangen werden, solange diese nicht die Zwischenablage ebenfalls aufzeichnen. Zudem verfügt das Programm über eine "Auto-Type"-Funktion, die Formularfelder automatisch ausfüllt. Diese ist jedoch in 1.x nicht sicher gegen Keylogger, da sie Tastaturanschläge simulieren soll (und dies tut). Nur in 2.x lässt sich eine spezielle Funktion aktivieren, mit der Keylogger umgangen werden sollen. Ab Version 2.15 bietet KeePass zudem einen "Secure Desktop", eine eigene Systemumgebung, die genutzt wird, um das Masterpasswort einzugeben. Innerhalb dieser Umgebung sollen die meisten Keylogger nicht funktionieren.
KeePass ist grundsätzlich mobil nutzbar (2.x umfasst knapp 4 Megabyte). 1.x und 2.x unterscheiden sich jedoch an dieser Stelle, was auch den Grund dafür liefert, weshalb 1.x noch weiterhin angeboten wird. 2.x benötigt auf dem Rechner installierte Programm-Bibliotheken. Unter Windows bedeutet dies, dass das .NET Framework¹⁰ installiert sein muss (ab Windows Vista jedoch meistens vorhanden), unter anderen Systemen (Linux, Mac OS, ...) entsprechend Mono¹¹, sofern das System von Mono unterstützt wird. Diese Voraussetzungen sind natürlich ein Hindernis, wenn man die mobile Version nutzen will. 1.x hat keine weiteren Voraussetzungen, funktioniert meines Wissens aber nur unter Windows.
KeePass 2.x kann viele Datenbanken von anderen Managern importieren; beide Versionen sind in der Lage, CSV-Dateien zu ex- und importieren.
KeePass 1.x verschlüsselt die Datenbank entweder mit mit 256 Bit AES/Rijndael¹² oder wahlweise mit Twofish.¹³ 2.x liefert leider von Haus aus nur noch AES (was mit 256 Bit allerdings ausreichend sicher ist, zudem werden Verzögerungstechniken benutzt, um Bruteforcing zu erschweren), kann aber über Plugins mit weiteren Algorithmen ausgestattet werden.
Beide Versionen sind unter Linux, Mac OS und Windows verfügbar. Zahlreiche Mobilsysteme sind außerdem unterstützt, allerdings sind nicht alle mit jeweils 1.x und 2.x kompatibel.
KeePass bietet die Möglichkeit eine Schlüsseldatei zu verwenden. 2.x beinhaltet zudem eine Variante, die Datenbank mit dem Windows-Benutzer zu verknüpfen. Zwar wird das Einloggen (im stationären Betrieb) hiermit sehr einfach, allerdings wird diese Möglichkeit im Programm selbst bereits sehr kritisch beschrieben. Der Erhalt des "Passworts" ist nur durch ein kompliziertes Backup des Benutzerkontos zu sichern. Einfach unter einer neuen Installation einen Benutzer mit identischem Namen zu erstellen, reicht nicht aus (wäre auch nicht sehr sicher).
Ein gut konfigurierbarer Passwortgenerator ist vorhanden.
Dank des offenen Quellcodes ist KeePass leicht zu modifizieren. Eine ganze Reihe von Plugins sind vorhanden.
Man kann seine Datensätze in Gruppen ordnen, um diese leichter zu organisieren.
Als Bonus kann man TAN-Listen einspeichern und verwalten.
Es gibt ein "Lock Workspace"-Feature durch das KeePass schnell in einem gesperrten Modus gestellt werden kann, damit das Auslesen der Passwörter im Programm unmöglich wird (um sich vor Dritten zu schützen, die sich am Rechner zu schaffen machen). Reaktivierung ist nur durch erneutes Anmelden mit Passwort/Schlüsseldatei möglich.

b) LastPass

LastPass ist im Gegensatz zu KeePass nicht OpenSource und wird mit kommerziellem Interesse von der Firma LastPass vertrieben. Trotzdem ist die Grundversion des Programms erst einmal kostenlos, nur die Premium Variante kostet $ 1 pro Monat. Die Webseite lautet www.lastpass.com
Bei einer ClosedSource-Software steht man zunächst vor dem Problem, dass man dem entsprechenden Unternehmen vertrauen muss. Man kann nicht überprüfen, ob die Verschlüsselungsalgorithmen korrekt umgesetzt wurden und ob nicht Backdoors eingefügt wurden, um die Verschlüsselung zu knacken (z.B. um behördlichen Auskunftsansprüchen nachzukommen; problematisch, da die Firma ihren Sitz in den USA hat und man sich mit dortigen rechtlichen Vorschriften nicht auskennt). Im Gegensatz dazu könnte man allerdings auch anführen, dass bei OpenSource Sicherheitslücken viel schneller entdeckt und ausgenutzt werden könnten. ClosedSource bietet also den Vorteil "Security throught obscurity".¹⁴ In letzter Zeit (2017) ist LastPass, was die gesunde Vertrauensbasis anbelangt, etwas in Verruf geraten: Zero-Day-Lücke in Passwort-Manager LastPass, Passwort-Manager Lastpass von mysteriösen Ausfällen geplagt.
Um mit LastPass zu arbeiten, reicht es nicht aus, dass man sich nur das Programm runterlädt. Zusätzlich muss ein Benutzerkonto bei LastPass eingerichtet werden, welches mit dem Programm zusammenarbeitet.
Es folgt wiederum die Liste der Vor- und Nachteile mit erstem Augenmerk auf die genannten Mindestvoraussetzungen für Passwortmanager.

LastPass arbeitet als Browser-Plugin und ist kein eigenständiges Programm (Ausnahme: die Pocket-Variante, s.u.). Unterstützt werden derzeit der Internet Explorer, Mozilla Firefox, Google Chrome, Opera und Safari. LastPass ist darauf ausgerichtet, dass das Plugin die Arbeit für den Benutzer übernimmt, d.h. automatisches Ausfüllen von Formularen oder sogar automatisches Einloggen in Webseiten. Zwar ist es möglich, Passwörter per Hand zu kopieren, aber dies erfordert mehrere Klicks im eigenen "LastPass Vault" (so nennt LastPass den Nutzerzugang in dem sich die Datenbank befindet). LastPass bemerkt, wenn der Nutzer sich in eine unbekannte Seite einloggt und bietet das Speichern der Zugangsdaten direkt an. Wenn man sich ein neues Konto anlegt fragt es ebenfalls direkt, ob ein Passwort generiert und eingetragen werden soll. Um Keylogger zu umgehen, bietet es entweder die Möglichkeit eine eigene Bilschirmtastatur zu benutzen oder die Verwendung von Einmalpasswörtern (s. weiter unten). Außerdem wird damit geworben, dass Phishing-Webseiten erkannt und die Zugangsdaten dort nicht eingetragen werden (getestet habe ich dies allerdings nicht).
LastPass verfügt ebenfalls über einige Importmöglichkeiten, z.B. von KeePass oder es ist in der Lage, die gespeicherten Passwörter vom Internet Explorer und von Firefox zu übernehmen. Exportieren geht in eine Textdatei oder Firefox.
LastPass verschlüsselt mit AES 256 Bit. Das Unternehmen verspricht, dass die Onlinedatenbank des eigenen Kontos stets verschlüsselt ist und erst am lokalen Rechner entschlüsselt wird, so dass auch LastPass selbst keinen Zugriff hat (hier muss man LastPass Vertrauen oder man muss sich nach einem anderen Programm umschauen).
Wie schon genannt, ist LastPass unter Windows, Linux und Mac OS verfügbar. Außerdem ist es kostenfrei für das iPad zu haben. Zahlreiche Mobilsysteme sind ebenfalls verfügbar, allerdings ist hierfür immer ein Premium Konto von Nöten. Personen mit Smartphones kommen quasi nicht ohne Premium aus.
LastPass hat kein Schlüsseldatei-Feature. Aber die Verwendung von Einmalpasswörtern ist sehr simpel gestaltet. Diese können entweder schnell erstellt und ausgedruckt werden oder mittels eines Zusatzprogrammes "LastPass Sesame" (benötigt Premium) für dauerhafte und bequemere Nutzung eingerichtet werden. Auch eine Verwendung von YubiKey¹⁵ ist möglich (in KeePass ist YubiKey nur in der statischen Einstellung verwendbar, was dessen Sinn jedoch zerstört).
LastPass bietet einen konfigurierbaren Passwortmanager. Dieser erstellt standardmäßig allerdings nur Passwörter mit 8 Zeichen Länge. Ein konfigurierbarer Dialog erfordert einige Klicks.
Statt nur Passwörter kann man auch sonstige persönliche Daten (Name, Adresse etc.) in LastPass speichern und diese vom Plugin automatisch in Formulare (z.B. der Erstellung eines neuen Kontos auf einer beliebigen Webseite) eintragen lassen.
Weiterhin lassen sich beliebige Texte abspeichern und damit sicher verstauen.
Dadurch dass die Datenbank online bei LastPass gespeichert ist, ist diese bei Geräten mit Internetzugang immer synchronisiert und ein Verlust ist quasi nicht möglich (solange es LastPass gibt).

Diese beiden Beispiele sollen ein Eindruck darüber vermitteln, wie unterschiedlich Passwortmanager aufgebaut sein können und welche Ansätze verfolgen. Wie jedes kommerzielle Programm auf dem Markt, versucht LastPass vor allem durch einfache Bedienung und eine bequeme Bedienung zu punkten. KeePass als Vertreter der OpenSource-Gemeinde unterliegt nicht den selben Qualitätsanforderungen. Da Benutzer von OpenSource-Programmen meistens erfahrener im Umgang mit ihrem Rechner sind und keine Probleme damit haben, längere Einstellungen und Anpassungen in einem Programm zu unternehmen (auch wenn dies in KeePass nicht nötig, aber möglich ist), wird hier das Augenmerk vor allem auf eine vernünftige Einbindung von Sicherheitsfeatures gelegt. Auch ist es hier möglich, den Quellcode anzuschauen und selbst zu überprüfen, ob diese Sicherheit richtig programmiert wurde; auch wenn dies dem durchschnittlichen Nutzer mangels entsprechender Kenntnisse meistens nicht möglich ist. Man muss sich also entscheiden, ob man sein Vertrauen einer Firma oder einer freien Entwickler-Gemeinde schenkt.
Vorher sollte man sich natürlich auch entscheiden, ob man ein solches Programm nutzen will oder nicht. Der Nachteil ist, denke ich, klar: man muss sich immer auf seinen USB-Stick und das Programm verlassen und kann nicht abeiten, wenn eines von beiden nicht möchte.

Nach Oben

IV. Einzelne Passwörter manuell erstellen

Es gibt Passwörter, die nach Möglichkeit besondere Sicherheitsanforderungen erfüllen müssen. Dies können der Zugang zum privaten, verschlüsselten Rechner sein, die Passwörter, mit denen man den Zugang zu den vorher vorgestellten Programmen erlangt oder sonstige Hochsicherheitssysteme, bei denen es nicht möglich oder nicht erlaubt ist, USB-Sticks zu verwenden.
Man hat also nicht die faktische Möglichkeit oder Erlaubnis, digital gespeicherte Passwörter zu nutzen und man sollte nicht das manuelle System für viele Passwörter benutzen, da dieses regelmäßig nicht die Anforderungen an die Passwortstärke erfüllt, die man in diesem Bereich hat.

a) Passwort rein gedanklich entwickeln

Zwei Möglichkeiten kenne ich, wie man sich ein starkes Passwort ausdenken kann. Erstens wäre da die Möglichkeit Satz und dann das Tastatur-Hüpfen.
Satz:
Das Satz-Passwort besteht genau aus dem, was ihm den Namen gibt: ein Satz. Noch sind Bruteforcing-Attacken nicht so weit ausgereift, dass längere Wortketten in angenehmer Zeitdauer geknackt werden würden. Zudem kann man durch ein paar leichte Tricks chaotische Element einbauen. Nach Möglichkeit enthält der Satz sowieso bereits Sonderzeichen und Zahlen: "Herbert erntet jedes Jahr, zur Herbstzeit, etwa 100 Äpfel von seinem Apfelbaum."
Dies soll nur ein einfaches Beispiel darstellen. Es beinhaltet bereits Groß- und Kleinschreibung, drei Sonderzeichen (,,.) und eine Zahl; außerdem ist es 80 Zeichen lang. Gängige Tipps besagen, dass ein starkes Passwort mindestens 30 Zeichen lang sein sollte. Es ist sehr leicht, sich einen kurzen Text zu überlegen, der auch unüblichere Zeichen enthält. Als Beispiel sei hier auf Gesetze verwiesen: "§ 90 BGB: Sachen im Sinne dieses Gesetzes sind nur körperliche Gegenstände." (78 Zeichen).
Die chaotischen Elemente sind hier relativ einfach einzubauen. Man könnte jedes Wort großschreiben oder Leerzeichen durch Zahlen ersetzen, die ihre Anzahl beschreiben ("Herbert1Erntet2Jedes3Jahr4..."). Auch sinnlose Zeichen mitten im Satz wären möglich (z.B. Ausrufezeichen nach jedem zweiten Wort: "Herbert Erntet!Jedes Jahr,!Zur Herbstzeit..."). Auch die Anführungszeichen, die ich hier verwendet habe, um ein Beispiel anzuzeigen, könnten übernommen werden!
Vorteilhaft ist hier auf jeden Fall, dass man sehr schnell auf große Zeichenanzahlen kommt. Als nachteilig hat sich nach persönlicher Erfahrung ergeben, dass gerade durch die lange Zeichenzahl und die chaotischen Elemente das Tippen relativ lange dauert und häufiger Tippfehler auftreten.
Tastatur-Hüpfen:
Alternativ gäbe es ein simples System, bei dem durch einen gewissen Rhythmus ein flüssiges Eintippen einstudiert werden kann.
Es geht zudem an dieser Stelle darum, ein Passwort zu entwickeln, welches eigentlich nur durch Bruteforcing ermittelt werden kann. Dies wird nur dadurch erreicht, dass das Passwort keinerlei logische Komponenten enthält. Also keine erkennbare Worte, keine wichtigen Zifferfolgen usw.
Die Unlogik sowie der Rhythmus in der Kette basieren auf logischen Schritten, die man auf der Tastatur vorangeht. Ich suche mir einen Startpunkt und bewege mich in definierten Schritten auf der Tastatur (ähnlich wie die Anweisungen auf der klischeehaften Schatzkarte: Gehe 100 Schritte nach Osten, 10 nach Norden, usw.). Am einfachsten ist dies an einem Beispiel erläutert: Ich starte meinen Pfad beim M, weil dies die Taste "unten rechts" auf der Tastatur ist (diese Festlegung habe ich völlig willkürlich getroffen; genauso könnte man auch ,. oder - als "außen rechts" definieren). Vom M gehe ich drei Schritte nach links und überspringe dabei jeweils eine Taste: mbcy. Vom Y gehe ich eine Reihe höher, nach außen und hüpfe vom dortigen Buchstaben (A) drei Schritte nach rechts, wobei ich zwei Tasten überspringe: mbcyafjö. Wieder nach oben und außen (Ö), zwei Schritte, drei Auslassungen: mbcyafjöpzw. Vom W nach oben und dieses Mal vier Schritte nach rechts, zwei Auslassungen: mbcyafjöpzw258ß. Um das Prozedere abzukürzen, ich gehe jetzt wieder nach unten (Ü), vier Schritte links, eine Auslassung (E), runter (S), drei Schritte rechts, zwei Auslassungen (Ä) und noch ein letztes Mal nach unten (-), vier Schritte links, keine Auslassung (N). Komplett habe ich nun folgendes Passwort: mbcyafjöpzw258ßüoutesgkä-.,mn. Ich habe jetzt 33 chaotische Zeichen. Um die Shift-Taste noch sinnvoll hinzuziehen, starte ich mit Shift gedrückt und halte es alle drei Tastenanschläge gedrückt: MbcYafJöpZw2%8ßÜouTesGkä_.,Mn. Dieses Passwort gleicht einem zufallsgenerierten ziemlich gut, trotzdem ist es relativ leicht einzutippen.
Dieses System hat zweifelsohne seine Nachteile:

Es funktioniert nur im ursprünglichen Tastaturlayout (hier: QWERTZ). Dieses Problem lässt sich nicht beheben und man müsste im Beispiel bereits beim englischen QWERTY aufpassen und nachdenken, was den Tippfluss beeinträchtigt. Siehe auch insbesondere den Hinweis zu Sonderzeichen
Man wird sich zunächst holprig vorkommen und das Tippen dauert lange. Ich weiß allerdings aus eigener Erfahrung, dass man den Rhythmus dieser Abfolge nach einigen Malen fließend schreiben kann.
Es ist relativ schwierig, sich die Gangart für weit mehr als 30 Zeichen zu merken. Man sollte deshalb selbst abwägen, was einem unter den heutigen Angriffsmöglichkeiten wichtiger ist: Qualität (Tastatur-Hüpfen, weil unlogisch) oder Quantität (logisches oder Satz-System)

Abschließend will ich noch kurz erläutern, warum meine Schritte bzw. Hüpfer auf der Tastatur nicht so willkürlich sind, wie ihre Auswahl erscheinen mag. Ich bin einmal von unten nach oben und wieder unten gewandert. Dabei gelten die drei Buchstabenreihen und die Zahlenreihe. In einer Reihe habe ich an einer Außenseite angefangen und bin mit den Schritten soweit gewandert, wie die Reihe es zulässt. Nur die Schrittlänge ist zufällig gewählt (man könnte jedoch auch hier problemlos etwas wie "eine Auslassung, zwei Auslassungen, drei Auslassungen, zwei, eine" wählen, also zählen). Ich bin nicht stets bis zum möglichen Ende der Reihe gelaufen, sonst hätte z.B. nach dem E noch das Q folgen müssen. Dies ist so, weil ich einfach festgelegt habe, dass niemals mehr als vier Schritte in einer Reihe gemacht werden sollen.
Man sollte übrigens sein System nicht so wählen, dass man die Tasten stets ohne Auslassungen anschlägt! Gängige Bruteforcing-Attacken sehen bereits die Zeichenreihenfolgen der Tastatur (Beispielsweise "asdfg") in ihrem Abläufen als Testparameter vor.
Unbenommen von den voranstehenden Überlegungen sind selbstverständlich jegliche Profi-Systeme, die zum Erinnern genutzt werden (bekannt ist hier z.B. die "Geschichten"-Methode, bei der man sich eine Geschichte zu den zu merkenden Sachen ausdenken muss). Diese erfordern meistens jedoch viel Kopfarbeit, bis man sich einmal gemerkt hat, was zu merken war.

b) Manuelles Hilfsmittel: Password Card

Passwortkarten sind ein Hilfsmittel, um sich recht zufällige Passwörter zu merken. Es sind einfache Karten aus Pappe oder Plastik (teilweise im praktischen Checkkartenformat erhältlich) auf denen sich Raster mit Zufallszeichen befinden. Auf diesem Raster sucht man sich einen Startpunkt und folgt einem selbst definiertem Pfad. Solange der Pfad niemandem sonst bekannt ist, besteht kaum eine Chance, sebst unter Zuhilfenahme der Karte, das Passwort zu knacken.
Passwortkarten habe ich bewusst nicht unter "Viele Passwörter manuell erstellen" einsortiert, weil diese Möglichkeit dort nichts verloren hat. Man merkt sich nicht für jede Webseite einen eigenen Pfad auf der Karte und würde somit nur ein mageres Standardpasswort verwenden, welches nach einem Einbruch in die Datenbank nicht nur wertlos ist, sondern auch die o.g. Gefahren birgt. Allerdings ist es möglich, sich mehrere Passwörter auf einer Karte zu merken, indem man den Pfad auf verschiedene Zeilen anwendet. Teilweise bieten die u.g. Generatoren Hilfsmittel hierfür. Nichtsdestotrotz ist die Anzahl der Passwörter pro Karte endlich; schon das Behalten von zwei Pfaden ist relativ schwierig (vor allem wenn diese entsprechend lang gestaltet sind).
Passwortkarten bieten also den offensichtlichen Vorteil, dass man sich ebenfalls nur noch einen Pfad merken muss. Dieser Pfad kann wesentlich einfacher sein, als beim o.g. unlogischen System, da das Layout der Passwortkarte dem Bruteforcing-Programm nicht bekannt ist - im Gegensatz zum Tastaturlayout (also z.B. 5 nach rechts, 5 nach unten, 5 nach links usw.). Man muss sich natürlich darüber Gedanken machen, was bei Verlust der Karte geschehen muss. Theoretisch wäre es nun möglich, die Karte in ein Bruteforcing-Verfahren einzubinden und die möglichen Pfade durch einen Algorithmus mit steigender Komplexität abzutasten. Dies zu erschweren sollte ebenfalls (neben der Denkerleichterung) Aufgabe des Karten-Pfades sein; man erreicht bereits mit nur einer Lücke, d.h. einem Sprung, einen massiven Komplexitätsanstieg. Auch Kreuzungen fördern diesen Zweck.
Ein solches Verfahren ist zweifelsohne aufwändig und dieser Aufwand lohnt sich natürlich nur bei gezielten Angriffen. Personen, die derart gezielte Attacken nicht zu befürchten haben, müssen sich regelmäßig wenig Gedanken um verloren gegangene Karte machen. Um ganz sicher zu gehen, sollte das Passwort trotzdem geändert werden; der Aufwand ist mit einer neuen Karte sowieso minimal.
Diese Überlegungen führen gleich zu den offensichtlichen Nachteilen der Karte: sie kann verloren gehen oder beschädigt werden. Letzteres ist, was die Sicherheit anbelangt, kein Problem. Auf den Verlust der Karte sollte man wie erwähnt mit einem neuen Passwort reagieren. Beide Situation stellen mich jedoch vor ein ganz simples Problem: Ich muss das Passwort (wenigstens noch einmal, um es zu ändern) rekonstruieren können. Vier Verfahren sind denkbar, um für diesen Fall vorzusorgen:

Physische Kopie: Ich kann selbstverständlich die Karte einfach auf einen Kopierer legen und mir einen Abzug machen. Verlust vorgebeugt. Einige wenige Regeln sollte ich allerdings in jedem Falle beachten.
Den Verlust einer Kopie prüfe ich meistens nicht so häufig, wie das von mir verwendete Original. Ich laufe Gefahr, diesen Verlust erst eine ganze Weile nach dessen Eintreten zu bemerken, sofern ich mir nicht eine regelmäßige Überprüfung angewöhne. Eine Kopie sollte ich daher an einem sicheren Ort (Safe, ein zufälliges Buch in meinem Regal, ...) aufbewahren und in regelmäßigen Abständen prüfen, ob sie noch vorhanden ist. Damit es nicht zu unübersichtlich wird, sollte auch nicht mehr als eine Kopie existieren.
Digitale Kopie: Ebenso wie beim Kopierer kann ich die Kopie scannen und digital abspeichern. Von diesem Vorgehen rate ich scharf ab. Zwar erfüllt die digitale Kopie den gleichen Zweck wie die physische, allerdings gibt es hier keinen "Verlust", den man bemerken könnte. Eine digitale Datei wird kopiert, ohne Spuren zu hinterlassen und der Angreifer hat unendlich viel Zeit, um den Pfad zu ermitteln.
Passwort als Seed: Im Internet findet man sehr viele automatische Generatoren für Passwortkarten. Diese benutzen meistens ein Berechnungsgrundlage für die Zufallszeichen einen sog. Seed. Automatische Zufallsgeneratoren brauchen üblicherweise einen solchen Grundwert, um einen "zufälligen" Wert zu berechnen. Bei einem solchen Generator hat man nun den Vorteil, dass man mit dem gleichen Seed seine Karte wiederherstellen kann (man sollte vorher sichergehen, dass der Generator nicht noch weitere Werte wie z.B. Datum und Uhrzeit in den Seed einbezieht, sofern man Wiederherstellbarkeit erreichen möchte). Alle Probleme werden hierdurch jedoch nicht gelöst. Statt einer Kopie der Karte muss man sich nun seinen Seed merken und das heißt meistens aufschreiben, da man diesen so selten braucht, dass man ihn sich schwerlich merken kann. Für die Aufbewahrung des Seeds gelten die selben Überlegungen wie für die Kopie.

Der letzte Hinweis gilt der eigentlichen Handhabung der Karte. Nachdem man sich dezidierte Gedanken darüber gemacht hat, wie eine Kopie möglichst sicher aufzubewahren ist, sollte man nicht vergessen, das Original richtig zu behandeln. Es sollte immer bei sich geführt werden (also z.B. in der Brieftasche). Denn niemand macht sich die Mühe, eine Kopie zu entwenden, wenn das Original auf dem Schreibtisch liegt und schnell mit dem Handy fotografiert werden kann. Fotohandys bieten leider auch eine zusätzliche Angriffsmethode: Kopien müssen nicht gestohlen werden, sondern können abgelichtet werden. Wie bei der digitalen Kopie gibt es also keinen Verlust zu verzeichnen, was einen in der trügerischen Sicherheit wiegen könnte, alles sei in Ordnung. Kopien sind damit immer kritisch zu betrachten und sollten entsprechend sicher verwahrt werden.
Abschließend beispielhaft aufgeführt eine Webseite, auf der Passwortkarten zu erhalten sind (wie auch bei den digitalen Passwörtern gilt hier, dass man durch eigene Recherche weitere Anbieter finden kann).

PasswordCard: Ein kostenloser Generator, der den Randomseed selbstständig ausgibt. Die Karte ist im Kreditkartenformat und lässt sich zudem rein aus Zahlen aufbauen (für PINs). Die Zeilen der Karte sind unterschiedlich eingefärbt, die Passwörter werden durch eine Abfolge von Pikotgrammen erstellt. Diese muss jedoch im Kopf behalten werden.

Nach Oben

V. Hinweis zu Sonderzeichen

Dieses Kapitel habe ich ausgelagert, da dieser Hinweis an mehreren Stellen in den vorherigen Kapiteln wichtig ist. Ich empfehle bei allen Passwörtern, sofern es vom System her keine Einschränkungen gibt, die Verwendung von Sonderzeichen, da diese den Zeichensatz für Bruteforce-Attacken erweitern und zudem oft völlig sinnlos im Kontext des Passworts stehen, womit die Verwendung von Rainbowtables erschwert wird.
Sonderzeichen haben allerdings die missliche Eigenschaft, bei verschiedenen Tastaturlayouts an verschiedenen Positionen zu sitzen und abweichende Tastenkombinationen zu besitzen. Für Buchstaben und Zahlen gehen wir einfach davon aus, dass die meisten Rechner QWERTZ oder ein QWERTY-basiertes Layout¹⁶ verwenden, so dass sich ihre Position nicht ändert (Achtung bei Reisen in Richtung Westen, Frankreich und Belgien nutzen z.B. AZERTY¹⁷, auch sonst kann es minimale Unterschiede geben; von einem Worst Case wie vor Dvorak¹⁸ zu sitzen darf man sowieso nicht ausgehen). Was Sonderzeichen anbelangt, ist allerdings bereits der Unterschied zwischen QWERTZ und QWERTY gravierend; da im englischen QWERTY die Umlaute am rechten Buchstabenrand nicht benötigt werden (außerdem auch das ß), sind diese Tasten mit Sonderzeichen belegt. Dies führt dazu, dass kaum Übereinstimmungen zwischen beiden Systemen bestehen (von anderen Belegungen ganz zu schweigen).
Sollte man erwarten oder zu erwarten haben, dass man häufig seine Passwörter auf verschiedenen Tastaturlayouts tippen muss, bietet es sich an, auf Sonderzeichen zu verzichten (man muss eben in den sauren Apfel beißen). Alternativ könnte man sich aber noch den Alt-Code¹⁹ des Zeichen merken und dieses entsprechend mit Alt und dem Numpad eintippen (solange man nur mit Windows arbeitet). Sowieso erreicht man hierdurch einen riesigen Zeichensatz, der so selten genutzt wird, dass er in kaum einem Bruteforce-Tool verwendet werden wird. Hier sind einige Beispiele solcher Zeichen, die man nur selten zu Gesicht bekommt: ‰ Š † ‡ ž ♂. Auch hier gibt es Schattenseiten: Einige Leser werden vielleicht bemerken, dass die Zeichen bei ihnen nicht korrekt dargestellt werden. Zum Vergleich ist hier ein Screenshot der betreffenden Zeile:
Bild konnte nicht geladen werden!

Anzeigeprobleme sind Probleme im vorhandenen Zeichensatz des Rechners - dieser verfügt einfach nicht über die entsprechenden Zeichen. Dies kann auch dazu führen, dass Passwörter nicht richtig eingegeben werden können. Zumindest lassen sich aber die üblichen Sonderzeichen immer verwenden. Hier ist eine Liste der Kombinationen für die oberste Reihe auf QWERTZ (Shift + 1 bis Shift + ß):

!: ALT + 33
": ALT + 34
§: ALT + 21
$: ALT + 36
%: ALT + 37
&: ALT + 38
/: ALT + 47
(: ALT + 40
): ALT + 41
=: ALT + 61
?: ALT + 63

Nach Oben