Stoppt die Vorratsdatenspeicherung! Jetzt klicken und handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken und handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

04 April 2014

Wie erstelle ich für jeden Dienst ein sicheres Passwort, das ich mir merken kann.

Angesichts der neuerlich aufgetauchten Datei mit vielen Millionen E-Mail Konten mit gestohlenen Passworten werden jetzt wieder verschiedene Rezepte herumgereicht, wie man Passworte zu erstellen hat. Aber alle diese Rezepte schützen nicht wirklich, weil sie alle Ihren eigenen Hacken haben.

Bedenken wir zunächst was alles schief gehen kann. Da ist zum einen die das Problem der trivialen Passworte. "Passwort", "123456" oder "qwertz" sind sehr beliebt, und verbieten sich von Selbst.

Aber auch der Name des Freundes oder der Freundin; Sohn oder Tochter; Vater oder Mutter, der eigene Geburtstag ist nicht sinnvoll, weil diese heutzutage im Internet im allgemeinen gut zu recherchieren sind. Es ist ein Passwort zu bilden, das ein nicht zu recherchierendes Faktum aus der Jugend zu benutzen. Beispiel:

Meinen 1. Kuss erhielt ich beim Musizieren auf der elektronischen Orgel

Das ist ein Faktum, das bis heute nur eine einzige weitere Person wusste. Daraus muss jetzt ein Passort werden. Das kann zum Beispiel durch die Verwendung des ersten Buchstaben Ziffer und den Satzzeichen in dem Satz.

Aus "Meinen 1. kuss erhielt ich beim Musizieren auf der elektronischen Orgel." wird dann M1.KeibMadeO. was schon zum Passwort taugt. Es gibt aber noch ein weiteres Problem: Man braucht heutzutage alle möglichen Passworte auch bei Diensten, wo das völlig unnötig ist, weil jeder Depp von Administrator aus Gründen des Werbekommerz mehr von seinen Besuchern wissen will, unter anderem die E-Mail Adresse. Die Gefahr ist groß, das einer dieser Dienste nur schwach gesichert ist.

Mit einem bei einem solchen Service abgegriffen Tripe aus User name, Passwort und E-MAil Adresse lässt sich sehr schnell und automatisiert testen, ob das gleiche Passwort auch für den Zugang zum E-mail Server sichert. Aber auch andere Dienste die von finanziellen Interesse sind, wie zum Beispiel E-Bay oder Paypal, können auf einen funktionsfähigen Login getestet werden.

Es beliebt also nur, jeden Service mit einem eigenem Passwort zu bedenken. Um sich diese Passworte alle Merken zu können bedarf es einer Regel, welche die Passworte erzeugt. Beispiel:

Der erste Buchstabe des Domainname, der Letzte Buchstabe des Domainnamen und der erste Buchstabe der Toplevel Domain.

  • www.facebook.com -> fkc
  • www.web.de -> wbd
  • ...

Damit kann jetzt der obige Satz um einen Selbstbezug zur jeweiligen Anwendung erweitert werden

Meinen 1. Kuss erhielt ich beim Musizieren auf der elektronischen Orgel aber www.xxx.com versteht das Passwort nicht!

Wenn man dieses Satz jetzt benutzt, wobei die Domain der Anwendung nach der selbst geschaffenen Regel codiert wird, dann bekommt man für jeden Dienst ein kryptisches Passwort, das man sich gut Merken kann das aber von anderen auch nicht erraten werden kann.

  • www.facebook.com -> M1.KeibMadeOafkcvdPn!
  • www.web.de -> M1.KeibMadeOawbdvdPn!
  • ...

Noch ein paar Worte zum Schluß: Legasthenikern empfehle ich Dringend entweder nur Kleinbuchstaben oder Großbuchstaben zu benutzen, wobei eine feste Ausnahme verwendet werden sollte. Also statt "M1.KeibMadeOawbdvdPn!" zum Beispiel "M1.keibmadeoawbdvdpn!". Erscheinen die Passworte auf den ersten Blick monströs, so prägt sich der überwiegend gleiche Bewegungsablauf ein und die Eingabe erfolgt im Lauf der Zeit recht schnell. Wenn sie dieses Rezept verwenden, dann sind sie umso sicherer, je Phantasievoller sie das System abwandeln.

1 Kommentar:

Volker Weidmann hat gesagt…

http://www.explainxkcd.com/wiki/index.php/936:_Password_Strength

xykc hat da etwas nettes dazu...