Heute ist mal wieder ein „Ändere Dein Passwort“-Tag. Ich schließe mich der Forderung eines Heise-Foristen an, ihn in „Installiere einen Passwortmanager“-Tag umzubenennen. Bei schwachen Passwörtern hilft das Wechseln wenig bis nichts, und bei starken kommt man um einen Passwortmanager nicht herum.
„und bei starken kommt man um einen Passwortmanager nicht herum“
Sorry, lieber Sven, aber das ist doch Unfug. Guck mal, ein sicheres Passwort:
„IchBinEinSicheresPasswort!“
Warum ist das sicher?
Weil es a) in keinem Wörterbuch der Welt auftaucht, b) Groß- und Kleinschreibung und Sonderzeichen enthält und c) 26 Stellen hat. Per Brute Force: ein paar Millionen Jahre Angriffszeit.
Und wie läuft das in der Praxis? Wenn es beispielsweise ein Sozialnetzwerk namens Gesichtsbuch gäbe, dann nähme ich dafür ein Passwort a la „WerIstDerSchoensteImGanzenLand?“
Das Passwort errät niemand, ist nahezu unknackbar und – der Clou – es ist kontextbezogen, was es total leicht memorierbar macht.
Wenn dein schöner Passwortmanager nämlich eines Tages den Dienst einstellt, dann KENNST du deine Passwörter nicht mal und das ist der SuperGAU.
Okay, stimmt. Starke Passwörter ausdenken geht natürlich auch ohne, und an Deinen Beispielen ist mit Brute Force nicht zu rütteln. (Bei 26 Stellen würde ich zugunsten einer einfacheren Eingabe sogar auf die Großschreibung verzichten).
Aber beim Memorieren hört (zumindest bei mir) der Spaß mit Deinen Vorschlägen oder den von mir gerne verwendeten xkcd-Passwörtern dann auch schnell wieder auf. Auch wenn man sich ein paar davon gut merken kann. Wie viele hast Du denn im Kopf?
In meinem Passwortmanager habe ich momentan rund 150 Passwörter gespeichert – merken kann ich mir die schon lange nicht mehr. Es müsste oben also korrekt heißen: „und bei mehr als einem Dutzend starken kommt man um einen Passwortmanager nicht herum“.
Ein Verlust dieser Datenbank wäre allerdings wirklich ein Super-GAU. Ich hoffe aber, dieses Risiko mit einem täglichen Backup, einem Export in meinem TrueCrypt-Container und einem Ausdruck im Safe einigermaßen minimiert zu haben. ;)
„Wie viele hast Du denn im Kopf?“
Hm… mal überlegen… für
todamax.net
soup.io
laut.fm
2 Mailaccounts
1 Serverbackend
Amazon
Ebay
mein Bürocomputer
mein Homecomputer
Veracrypt
die Bahn
meine Bank
meine Datenbank
mein PGP
und noch die eine oder andere Website, die ich betreue.
Gut, das sind jetzt keine 150, vielleicht habe ich aber auch noch die eine oder andere Site vergessen.
Natürlich kann ich mir nicht ALLE Passwörter merken. Ich für meinen Teil mache das so, dass ich mir jeden neuen Account als Mail-Draft an mich selbst anlege (mit angegebener Mailadresse [weil ich auch für jeden Account eine andere Mailadresse verwende, aber das ist ein anderes Thema], Username und PW) und diese Mail dann PGP-verschlüssele. Dann wird dieser Draft in einen Ordner auf dem Mail-Server gelegt. Darauf kann ich dann von allen meinen Rechnern, die Thunderbird und Enigmail installiert haben, zugreifen und muss mir eigentlich nur das PGP-Passwort merken. Dort sind inzwischen 353 Mails zusammengekommen :-D
PS: ach ja, mir sind noch ein paar eingefallen:
WLAN
Google
Apple
Deezer
o2
Zattoo
Skype
Mayersche Buchhandlung
noch ein Soup Account
Mitfahrgelegenheit/BlaBlaCar
GOG
Xing
LinkedIn
Kickstarter
und das alles eben mit „kontextbezogenen“ Passwörter, das macht es echt einfach. Für ale anderen brauche ich aber auch meine PGP-Mail-Lösung…
Ich bin beeindruckt und könnte mir die nicht alle merken! Die PGP-Lösung gefällt mir sehr gut.
Doch, doch, ich glaube, die könntest du dir auch merken. nur mal so als Beispiel:
Die Bahn: AufDerSchwaebscheEisebahne
Apple: SteveJobsIsGod
Ebay: GeldFuerSperrmuell
usw.
Ist ganz einfach und wenn man sich mal dran gewöhnt hat, auch total intuitiv.
Danke! Deine Überschätzung meiner kognitiven Fähigkeiten schmeichelt mir natürlich. ;)
Aber im Ernst: ich glaube, ich will ohne Not auch gar nicht auf meinen Passwortmanager verzichten. Ich werde aber den Anlass nutzen und noch ein paar häufig genutzte Logins so ändern. Einige sehen auch schon so aus.
PS: nein, das sind NICHT meine echten Passwörter :-D
Das ist wie mit Kopfrechnen: man verlernt es, wenn man alles mit dem Taschenrechner macht.
another safisfied customer :mrgreen: