Das persönliche Passwort-Management
Nun ist es auch bei mir passiert. Ein Leser unseres Blogs fragte heute kurz nach, ob ich wüsste, dass ich seit einigen Tagen Links zu Seiten mir viel nackter Haut per Twitter-Direktnachricht versende. Ich wusste dies natürlich nicht, da mein Twitter per API gefüttert wird und in den Tweets nichts auffälliges zu lesen war. Aber mein Check zeigte – mein Twitter-Account wurde gehackt!
Dies beschleunigte meine schon in den letzten Wochen begonnene , persönliche Passwort-Management-Strategie. Folgende Anforderungen stelle ich meine Passwörter:
- kein einzelnes Kennwort mehr für mehrere Anwendungen
- mind. 11 Stellen
- das Passwort soll in keiner Weise einen Sinn ergeben
- es soll aus Sonderzeichen, Groß- und Kleinbuchstaben und Zahlen bestehen
- Das Wichtigste! Es muss leicht zu merken sein!!
Und diese Anforderungen machen mir das persönliche Passwort-Management nicht einfacher.
Mein erster Gedanke war es, sogenannte Passwort-Safes zu benutzen. Dabei kommt eine Software zur Anwendung, die mit einem Master-Kennwort geschützt ist und die Passwörter aller meiner Anwendungen verwaltet und stark verschlüsselt. Primär gelten diese Programme als sehr sicher. Doch wenn das Master-Kennwort nicht stark genug ist und gehackt wird, sind alle anderen Passwörter auch zugänglich. Außerdem greife ich von unterschiedlichsten Devices auf Anwendungen zu und dafür müsste die Passwort-Safe-Datei auch überall verfügbar sein. Es gibt diese Programme auch für mobile Geräte, aber eigentlich ist mir dies zu umständlich. Dennoch hier einige Beispiele für bekannte Passwort-Safe-Software:
Ich benötige für mich also ein System, mit dem …
- …ich schnell neue, starke Passwörter generieren kann,
- … ich mir die Passwörter gut merken kann,
- und die ich nach einem Schema noch regelmäßig ändern kann, ohne Punkt 1 und 2 zu torpedieren.
Aus verschiedenen Quellen habe ich eine Unzahl von technischen und logischen Lösungen recherchiert und mir folgendes System daraus „gebastelt“. Hier zeige Beispiele, die ich so natürlich nicht nutze und Sie sollten in jedem Fall auch eigene Kennwörter erstellen.
1. Das Passort soll einen starken Stamm erhalten
Das bedeutet, ein Teil des Passworts ist immer gleich, ist aber zugleich auch sehr stark.
Dafür kann man zum Beispiel einen Passwortgenerator nutzen. Damit kann man ein sinnfreies, starkes Passwort erzeugen.
Ich nutze einen einfacheren Weg zur Erzeugung des Basis-Keys. Zuerst denke ich mir einen leicht-verrückten (besser zu merken!) Satz aus:
„Mein Onkel hatte vor 11 Jahren lila Haare“
Daraus nehme ich jeweils die ersten Buchstaben bzw. ganze Zahlen.
„Mein Onkel hatte vor 11 Jahren lila Haare“ ergibt das Stamm-Kennwort „MOhv11JlH“. So allein, ergibt es für andere überhaupt keinen Sinn und ein Brute-Force-Angriff ist deutlich erschwert.
2. Sicherheits-Level der eigenen Anwendungen bestimmen
Als nächstes habe ich überlegt, welche Anwendungen ich so nutze und wie der Sicherheitsbedarf dafür ist. Ich gruppiere dafür die von mir genutzten Applikationen in zwei Gruppen.
Level 1 – niedriger Sicherheitsbedarf
- ein Mißbrauch hat keine ökonomischen, juristischen oder sozialen Folgen für mich
- Beispiele: Spiele
Level 2 – mittlerer bis hoher Sicherheitsbedarf
- ein Mißbrauch hat u.U. ökonomische, juristische oder soziale Folgen für mich
- Beispiele: soziale Netzwerke, Email, Homebanking, berufliche Software
3. Regelmäßige Passwortänderung
Bei Level 1- Anwendungen werde ich das Passwort eher nicht regelmäßig ändern. Diese erhalten von mir ein Sonderzeichen an den Anfang , in unserem Beispiel ein Prozentzeichen –> %MOhv11JlH
Bei Level 2-Anwendungen möchte ich jedes Quartal das Passwort ändern. Dafür setze ich entweder die Quartalszahl (1,2,3,4) oder die Jahreszeiten-Anfangsbuchstaben (F-Frühjahr, S-Sommer, H-Herbst, W-Winter) vor den Kennwort-Stamm –> FMOhv11JlH
4. Passwort-Endung
Nun nehme ich mir den Namen der Anwendung und der Website und selektiere beispielsweise den 2. und 4. Buchstaben und hänge diese an den Kennwort-Stamm an –>z.B. Ebay.de –> FMOhv11JlHby
5. Fertig
Damit habe ich nun für jede Anwendung ein individuelles Passwort erstellt und kann mir dies dazu noch leicht merken. Sicher, den Kennwort-Stamm muss man sich erst einprägen. Aber auch dies geht mit einem Trick sehr schnell. Nutzen Sie einfach das Stamm-Kennwort als das Zugangskennwort für Ihr Betriebssystem. Stellen Sie die automatische Logout-Zeit niedrig ein. Somit müssen Sie sich häufiger als sonst anmelden und prägen sich so sehr schnell den Kennwort-Stamm ein. Wenn das Kennwort „sitzt“, stellen Sie die Logout-Zeit einfach wieder normal ein.
Selbst wenn nun ein Kennwort in die Hände eines Hacker fallen, sind alle anderen Anwendungen noch sicher!
So, nun muss ich erst einmal meine Passwörter ändern 🙂
Über den Autor
