Gute Passwörter sind die wichtigste Grundlage für die Sicherheit Deiner Benutzerkonten und ein gute Schutz gegen Gefahren im Internet. Allerdings sind gute Passwörter auch oft schwer zu merken und kaum zu gut tippen. In den meisten Fällen ist das durch einen Passwortmanager auch gar nicht notwendig.
Aber manchmal gibts halt doch die Situation, wo Du Dir ein Passwort merken musst.
Wie Du Dir solche Passwörter erzeugen kannst lernst Du hier.
Links
[1] Diceware[2] Passhrase Wikipedia
*im Wortlaut: die komplette Folge zum Nachlesen*
Hallo und herzlich willkommen zu einer neuen Folge der Datenwache. Ich bin Mitch und unser Thema heute sind Passwörter, die man sich sowohl merken als auch vernünftig tippen kann.
Bevor wir da jedoch einsteigen, noch mal eine kurze Zusammenfassung dessen, was wir in Folge 11 über sichere Passwörter gelernt haben. Es gibt die 3 Regeln:
1. Passwörter dürfen nie mehrmals verwendet werden.
Für jeden Benutzer-Account habt ihr ein eigenes Passwort und das unterscheidet sich auch ganz deutlich von allen anderen Passwörtern. Und das ist auch schon
2. Passwörter sollen immer zufällig sein.
Das heißt komplett unabhängig voneinander ausgewählt, keine Systeme, keine Ähnlichkeiten, nur eine leichte Änderung hier, eine leichte Änderung da, sondern jedes Passwort komplett zufällig.
3. Passwörter müssen lang sein.
In Folge 11 hatten wir gesagt 24 Zeichen machen ein gutes Passwort aus.
Diese Regeln, diese 3 Regeln, die gelten auch uneingeschränkt weiter. Wir werden sie jetzt gleich ein bisschen anders interpretieren müssen, weil wenn wir über Länge reden und dann unterscheiden zwischen Zeichen oder Wörtern, dann gibt es unterschiedliche Interpretation vielleicht, aber am Ende bleiben die 3 Regeln komplett gültig.
Der Gold-Standard sind komplett zufällige Passwörter
Vielleicht auch schon eins vorneweg gesagt. Alles, was wir uns jetzt gleich anschauen, sorgt dafür, dass Passwörter leichter zu merken und leichter zu tippen sind. Die Passwörter, die wir jetzt gleich kreieren, die können aber nur so gut werden, wie ein rein zufällig ausgewähltes Passwort, auf keinen Fall besser, eher schlechter.
Deshalb die Regel sollte ganz klar sein, wenn es sich nicht irgendwie unbedingt als notwendig erweist, dann macht immer das, was wir in Folge 11 gelernt haben:
- nehmt komplett zufällige Passwörter,
- lasst euren Passwort-Manager die erzeugen,
- 24 Zeichen lang,
- komplett zufällig,
- Sonderzeichen, Großbuchstaben, Kleinbuchstaben, Ziffern,
damit seid ihr auf der sicheren Seite.
Und nur, wenn es wirklich absolut notwendig ist, dann macht ihr die Regeln, die wir jetzt gleich im Folgenden durchgehen.
Wann sind merkbare Passwörter sinnvoll?
Dann ist natürlich auch schon direkt die Frage, was sind denn solche Fälle, wo es wirklich merkbare beziehungsweise gute tippbare Passwörter braucht?
brauchen, nicht wollen
Das ist schon wichtig von der Formulierung her, ich sage explizit, braucht, weil wünschen tue ich mir das auch, dass man weniger tippen muss. Das wäre natürlich schon töfte, wenn man am besten gar kein Passwort mehr braucht, aber bei Sicherheit geht’s nicht unbedingt um Bequemlichkeit, sondern ihr müsst schon gewisse Einschränkungen zwangsläufig in Kauf nehmen und komplizierte gute Passwörter sind natürlich eine Einschränkung im Vergleich zu einfachen kurzen Passwörtern, das ist klar. Aber grundsätzlich geht’s ja drum, es mag Situation geben, wo es wirklich nicht anders geht. Und in den Situationen können wir Kompromisse eingehen, nirgendwo anders.
Was ist jetzt so ein Beispiel für so eine Situation, wo es Not tut ein einfaches Passwort zu haben?
Wenn ihr euch zum Beispiel am Tag X mal in einem Forum einloggen wollt oder ihr wollt jede Stunde eure Tageszeitung online lesen und müsst euch dafür einloggen. Schließt zwischendurch immer den Browser, die Cookies werden gelöscht, dann ist das unter Umständen eine Sache, wo man sagen kann, wenn die Passwörter, die zufälligen Passwörter so kompliziert sind, dass ihr die nicht eingetippt kriegt, dass ihr da jedes Mal 3 Versuche braucht, dann ist euer Account gesperrt, dann hat ja keiner was gewonnen, dann macht ihr es auf Dauer nicht.
Das sind Situationen, wo man eventuell einfache Passwörter verwenden kann.
Und wo ist es nicht sinnvoll?
Wo man es nicht machen sollte, ist zum Beispiel bei sowas, ich werde alle 3 Tage aus meiner webbasierten E-Mail in der Firma ausgesperrt und muss mich dann neu einloggen und dieses 24 Zeichen Ding abzutippen nervt. Natürlich nervt das, aber man kann schon ein 24 Zeichen langes Passwort aus dem Passwort-Manager abtippen, das geht schon.
Schützt Euren Email-Account so gut es geht!
Und euer E-Mail-Account, das habt ihr sicher aus dem letzten Rundschreiben noch in Erinnerung und habt es auch in anderen Podcast-Folgen gehört, euer E-Mail-Account ist fast euer allerwichtigster Account, weil ihr darüber Passwörter, alle anderen Zugänge zurücksetzen könnt.
Also es ist unbequem, es nervt, es ist irgendwie ein bisschen aufwändig, ist keine Ausrede.
Anwendungsfall Passwort-Manager
Wo es interessant wird, ist euer Passwort-Manager.
Wenn ihr Folge Nummer 12 mit dem Passwort-Manager gehört habt und jetzt tatsächlich auch einen verwendet, dann werdet ihr höchstwahrscheinlich so eine Standardeinstellung haben, dass der sich alle paar Minuten, alle 10 Minuten automatisch sperrt. Und das ist auch gut so, weil wenn ihr mal euren Rechner verlassen solltet und euer Passwort-Manager ist noch entsperrt und es geht irgendjemand an euren Rechner, dann hat der wunderbar Zugriff auf eure ganzen Passwörter, das heißt automatisch sperren ist gut.
Das heißt aber auf der anderen Seite auch, dass ihr das Passwort für eueren Passwort-Manager, wenn ihr viel online unterwegs seid, ganz schön oft am Tag eingebt, und zwar nicht nur ein-, zweimal, sondern vermutlich einige zehnmal. Und das sollte schon was sein, was ihr gut tippen könnt. Jetzt ist es aber so, das könnt ihr mir glauben, auch komplizierte Passwörter von 24 Zeichen, wenn ihr die jeden Tag ein paar Mal eintippen müsst, die merkt ihr euch hundertprozentig irgendwann und die gehen euch auch flüssig von der Hand zu tippen.
Aber nichts nichtsdestotrotz, für den ein Passwort-Manager, da kann man tatsächlich über lange Passwörter nachdenken. Man redet dann nicht mehr von Passwörtern, sondern von Passphrases [2] oder Passwort-Sätzen.
Da kann man sowas durchaus machen, dann muss man aber wirklich lange Passwörter oder Passwort-Sätze nehmen und lang heißt dann, viele, viele Wörter.
Da gehen wir aber gleich bei den Verfahren drauf ein, aber das ist so eine klassische Anwendung, wo es geht, wo aber wirklich Regel Nummer 3 Länge extrem wichtig ist.
2 Verfahren für merkbare Passwörter
Ich habe ein Verfahren eben schon angedeutet, es gibt aber 2 Verfahren, die ich hier vorstellen möchte, wie ihr euch merkbare im ersten und gute tippbare Passwörter im zweiten Verfahren erzeugen könnt.
Satz -> Anfangsbuchstaben
Das 1. Verfahren, das empfiehlt auch das BSI, das Bundesamt für Sicherheit in der Informationstechnik, das basiert darauf, dass ihr euch einen Satz ausdenkt, da die Anfangsbuchstaben eines jeden Wortes nehmt, ein wenig vielleicht mit der Groß-, Kleinschreibung spielt, dann Sonderzeichen einfügt oder Wörter, die Sonderzeichen ersetzen, Ziffern einfügt und dann halt diese Folge von Zeichen habt.
Das kann jetzt so ein lustiger Satz sein wie,
“Ich bin ein prima Hampelmann und denke mir jeden Morgen 13 super geheime Passwörter aus, oh ja.”
Ein bisschen peinlich so einen Mist vorzulesen, aber das ist zumindest ein Satz, der nicht schon mal irgendwo auftaucht. Was ihr nicht nehmen müsst als Satz, ist “hasta la vista baby” oder “was tut es, es leuchtet blau” oder irgendwelche anderen Filmzitate.
Und dann fangt ihr an und baut aus den einzelnen Bestandteilen des Satzes euer Passwort. Das ergibt dann
- ein großes I für “Ich”,
- ein kleines b,
- aus dem “ein” würde 1,
- ein kleines p,
- ein großes H,
- ein großes M geben und so weiter.
Das ergibt dann aus dem Satz:
“Ich bin ein prima Hampelmann und denke mir jeden Morgen 13 super geheime Passwörter aus, oh ja.”
als Passwort
“Ib1pHM&dmjM13sgPa,oj.”
Und so baut ihr euch ein Passwort. Und wieder, 24 Zeichen sollten es mindestens sein, das heißt, ihr braucht auch einen relativ langen Satz. Ihr wollte ja nach der 3. Regel 24 Zeichen erzeugen, also braucht Ihr 24 Wörter, die Sätze dürfen jetzt auch nicht zu trivial sein.
Die Wörterbuch-Methode oder Diceware
Die andere Methode ist eine Sammlung von Wörtern, ein Pass Phrase, ein Satz aus Wörtern. Satz könnte jetzt ein bisschen irreführend sein. Das darf hinter keinen Sinn ergeben, sondern ganz im Gegenteil, das muss komplett wirres Zeug sein.
Diceware – Würfeln von Passwörtern
Das heißt, es gibt ein Verfahren, das nennt sich zum Beispiel Diceware [1], das verlinke ich euch in den Shownotes. Dazu gibt es Listen mit Ziffern und ihr erwürfelt euch dann diese Ziffern und wenn ihr das 5-mal gemacht habt, dann habt ihr 5 Ziffern hintereinander und jeder Ziffernfolge ist ein Wort zugeordnet, und so würfelt ihr euch Wörter zusammen und hängt die dann einfach hintereinander.
Die Duden-Methode
Das könnt ihr auch ein bisschen einfacher machen, ihr nehmt euch einen Duden ,keinen Roman, weil Romane haben einfach natürlich ein viel kleineres Spektrum an Wörtern als ein Wörterbuch.
Nehmt euch also ein Wörterbuch oder ein Lexikon und dann schlagt zufällig Seiten auf und nehmt irgendwelche Wörter, komplett zufällig.
Wenn das Ergebnis inhaltlich einen Sinn ergibt, macht ihr was verkehrt, dann fangt ihr an kreativ zu sein, und wenn es zufällig Sinn ergibt, na ja, mei, aber ihr wollt auf jeden Fall da den Zufall nicht austricksen.
Länge in Wörtern statt in Zeichen
Und dann hängt ihr ein paar Wörter aneinander, 6 ist das absolute Minimum, 8 ist besser, 10 ist schon verdammt gut, und dann hängt ihr vielleicht noch so ein paar Sonderzeichen dazwischen zwischen die einzelnen Wörter, Beispiele findet ihr natürlich wieder in den Shownotes, und dann habt ihr zum Beispiel solche Wörter wie
Mond, Gelage, Abgabe, Indien, Akzent, Tupel
Und da hängt ihr dann noch irgendwelche Ziffern dazwischen, schreibt mal groß schreibt mal klein, das könnt ihr euch prima merken.
*Mond1Gelage!Abgabe-Indien+Akzent,Tupel....
Vor allen Dingen, das könnt ihr auch wirklich prima tippen. Wichtig ist auch hier, es darf keinen Sinn ergeben und natürlich darf es 3-mal kein Zitat sein.
Ich meine, das wäre ja kompletter Selbstmord, wenn ihr jetzt hier irgendwie, was weiß ich “hasta la vista baby” als Satz nehmen würdet. Ich meine, dann braucht ihr ja fast gar kein Passwort mehr, dann seid ihr ja mit 123 schon fast wieder auf der guten Seite.
Also ganz klar, komplett zufällig und wichtig ist, Länge.
Jetzt reden wir hier und das ist diese unterschiedliche Interpretation von Regel Nummer 3, der Länge. Wir reden jetzt hier nicht mehr von den Zeichen, weil jetzt geht’s darum, wie viele Wörter nehmt ihr aus einem Sammelsurium von möglichen Wörtern.
Und wenn ihr euch jetzt zum Beispiel ein Passwort nehmt, wo ihr ein Zeichen habt und ihr nehmt nur Kleinbuchstaben, dann hättet ihr 26 Möglichkeiten. Wenn ihr euch jetzt ein Wörterbuch nehmt mit 100.000 Wörtern, dann habt ihr für 1 Wort 100.000 Möglichkeiten. Das Wort ist aber vielleicht 6, 7, 8, 9 Zeichen lang, das heißt, 1 Buchstabe 26 Möglichkeiten, 1 Wort 100.000 Möglichkeiten, aber das Wort ist natürlich deutlich länger.
Das heißt, wenn ihr Passwort-Sätze macht, dann dürft ihr euch nicht mehr die reine Zeichenlänge angucken, sondern ihr müsst gucken, wie viele Wörter ihr nehmt.
Und da sind wir bei dem, was wir eben gesagt haben. Das sollten mindestens 6 Wörter sein und wenn ihr es für euren Passwort-Manager verwendet, dann macht auf jeden Fall 10 Wörter. Das können die Passwort-Manager ab, das ist super, das funktioniert.
Nicht alle Online-Anbieter verkraften ganz lange Passwörter
Bei anderen Systemen, da kann es sein, dass lange Passphrases dann irgendwann zu lang werden und nicht funktionieren.
Da dürft ihr dann keine kürzeren nehmen und sagen, dann nehme ich halt nur 3 Wörter, dann passt es ja, weil dann braucht ihr irgendwann kein Passwort mehr. Dann müsst ihr euch ein anderes Passwort-Verfahren suchen. Aber wenn es von der Länge her geht, dann könnt ihr es machen.
Der Tipp:
Und damit kommen wir dann auch schon zu dem Tipp.
Wichtig ist ganz klar, die Verfahren, die ich hier vorgestellt habe, sind Ausnahmen für die Sonderfälle, wo ihr das Passwort entweder nicht vernünftig eintippen könnt oder wo ihr euch unbedingt ein Passwort merken könnt, weil ihr es nicht aufschreiben könnt.
Das sind solche Situationen, da braucht ihr diese Verfahren, aber die Regel sollte das mit dem Passwort-Manager und den richtigen Passwortregeln sein und das Ganze 24 Zeichen lang komplett zufällig.
Und ich kann euch nur sagen, ihr werdet auch besser da drin komplett komplizierte und zufällige Passwörter einzutippen. Wenn ihr dasselbe Passwort fürs Onlinekaufhaus alle 2 Wochen mal braucht, um in der Mittagspause irgendein Gelump zu bestellen, das tippt ihr irgendwann auch vernünftig ein, das prägt sich ein. Das ist am Anfang halt ein bisschen ätzend, aber wenn ihr den Passwort-Manager auf dem Handy habt, ihr entsperrt das Ding da vernünftig und tippt das Passwort dann da ab, dann geht das schon.
Also ganz klar der Tipp, sucht euch euer Verfahren hier aus, aber denkt immer an die 3 Regeln,
- jedes Passwort nur einmal verwenden,
- immer komplett zufällige Passwörter und
- Länge ist wichtig, entweder 24 Zeichen oder mindestens 6 Wörter, lieber 8 oder 10.
Wenn euch das gefallen hat, was ihr hier gehört habt, freue ich mich euch in zwei Wochen wieder zu hören. Ansonsten gibt es zwischendurch auch alle zwei Wochen ein Newsletter von der Datenwache, mit ein paar Neuigkeiten und würde mich freuen, wenn ihr den abonniert, könnt ihr auch jederzeit wieder abbestellen und ist kostenlos unter www.datenwache.de/newsletter. Und dann freue ich mich darauf, dass wir uns in zwei Wochen wieder hören.
Euer Mitch.