von Christian Schorno
Wie Futurezone berichtet, war «123456» das beliebteste Passwort im vergangenen Jahr. O.K. Das ist schockierend, aber wenn man ehrlich zu sich selbst ist, überrascht es einen dann doch nicht so sehr. Was mich mehr wundert, ist, wie um alles in der Welt man das wissen kann. Ist nicht das Wissen darüber doppelt beunruhigend? Die Quelle, die Futurezone angibt, ist Gizmodo, wo uns ein Blogger zurecht und mit der gehörigen Portion Empathie als Idioten beschimpft. Gizmodo verweist wiederum auf eine Security-Firma mit dem Namen SplashData, deren Webseite grad unten ist (falls Sie es probieren möchten, hier der Link). SplashData würde, so heisst es, gestohlene Passwörter sammeln, auswerten und zu einer Hitparade der menschlichen Unzulänglichkeit aufbereiten.
Lassen wir die methodischen Fragen nun beiseite und ziehen die Lehre aus der Sache: Gehen Sie die folgende Liste aufmerksam durch, erkennen Sie die Muster und verwenden Sie diese Muster bitte in Zukunft NICHT mehr!
- 123456 (Unchanged)
- password (Unchanged)
- 12345678 (Up 1)
- qwerty (Up 1)
- 12345 (Down 2)
- 123456789 (Unchanged)
- football (Up 3)
- 1234 (Down 1)
- 1234567 (Up 2)
- baseball (Down 2)
- welcome (New)
- 1234567890 (New)
- abc123 (Up 1)
- 111111 (Up 1)
- 1qaz2wsx (New)
- dragon (Down 7)
- master (Up 2)
- monkey (Down 6)
- letmein (Down 6)
- login (New)
- princess (New)
- qwertyuiop (New)
- solo (New)
- passw0rd (New)
- starwars (New)
Was aber sollen wir tun? Welche Passwortstrategien empfehlen uns Profis?
Ich fasse mal zusammen, was Healthy Passwords empfiehlt, eine Seite die sich anpreist, dass sie «Technical advice for non-technical people» gebe. Vier Passwortstrategien seien besser als «123456»:
- Verwenden eines Passwortmanagers – das ist eine Software wie z.B. Lastpass oder Roboform, die alle Passwörter, die Sie verwenden, für Sie verwaltet. Sie brauchen lediglich ein sehr starkes Passwort, um sich in die Software einzuloggen. (Nachtrag: Futurezone hat am 24. Januar 2016 einen Artikel zu Passwortmanagern nachgetragen.)
- Schreiben Sie die Liste mit allen starken Passwörtern, die Sie sich nicht merken können, in einem Notizbuch auf. Denken Sie dran, dass ein Passwortbuch eine Sicherheitslücke darstellt. Lassen Sie das Notizbuch nicht herumliegen.
Was die zitierte Webseite nicht nennt, was ich aber seit Jahren mache: Ich führe eine solche Liste als Textfile auf dem Computer. Die Datei ist mit einem sehr starken Passwort verschlüsselt. Ich verwende dazu eine Software wie FileWard. - Verwenden Sie den Stanford Passwort Hasher. Diese Lösung können Sie als Browser-Addon einrichten – bei Firefox, Chrome oder Opera. Damit können Sie schwache Passwörter verwenden, an die Sie sich leicht erinnern. Die Passwörter werden vom AddOn in starke Passwörter verwandelt.
- Schliesslich gibt es mnemotechnische Methoden mit denen Sie schwache Passwörter nach gewissen Regeln, die nur Sie kennen sollten, in starke verwandeln. Nicht genug stark ist das, was viele machen: aus einem «e» eine «3» machen, aus einem «O» eine Null. Aber dies ist das Prinzip.
Und sonst noch wichtig ist: Melden Sie sich nie über öffentliche Computer bei Services an, die mit sicheren Passwörtern geschützt sind. Falls Sie – wie ich – gerne mit Google-Produkten arbeiten, schauen Sie sich die Option «Anmeldung in zwei Schritten» an. Schalten Sie diese ein, müssen Sie wie z.B. beim eBanking ein zweites, übers Telefon zugesandtes Passwort eingeben. Die Passwörter der UZH verwalten Sie über ITIM. Sodann: Ändern Sie Passwörter regelmässig. Daher sollten Ihre einfachen Passwörter, die Sie auf mnemotechnischem oder softwaretechnischem Weg stark machen, einen Datumsanteil haben, der sich verändert («MeinTwitterpasswort1Quartal16» oder ähnlich). Sie sehen, eine Passwortstrategie ist und bleibt eine interessante Knobelaufgabe, mit der wir uns nicht unterfordern sollten.
Über Facebook hat sich Luzius Thöny (Germanistik, Uni Bern) gemeldet. Er hat vor anderthalb Jahren einen Blogpost managing passwords geschrieben (abgerufen 21.1.16.). Eine wichtige Ergänzung, die ich seinem Text entnehme und die ich nicht behandelt habe, betrifft Passwörter und Emails: Senden Sie nie ein Passwort über Email und speichern Sie die Paswörter nicht im Mailaccount. Das wäre ja sehr bequem, ist aber hochgradig unsicher. Mails sind wie Postkarten. Jede oder jeder, der sie in die Hand kriegt, kann sie lesen.