Gibt es eigentlich das ideale Passwort?

Für alle möglichen Dinge, die man im Internet treibt, benötigt man ein Passwort. Auch hier auf dieser Webseite benötige ich eins. Und wenn man den ganzen Experten glauben darf, dann sollen sich alle Passwörter, die man so benutzt, unterscheiden und damit einzigartig sein. Und sie sollen möglichst höchst komplex sein. Die gleichen Experten kommen auch immer wieder auf die Idee, jedes dieser höchst komplexen Passwörter, die sich alle unterscheiden, möglichst in unterschiedlichen Intervallen zu ändern. Ernsthaft, ist das denn notwendig?

Was ist denn bitte ein komplexes Passwort?

In Windows-Umgebungen gibt es eine Richtlinie, die da vorschreibt, dass ein Passwort Komplexitätsvoraussetzungen entsprechen muss. Wenn diese Sicherheitseinstellung aktiviert wurde, muss ein Passwort bestimmte Mindestvoraussetzungen erfüllen. Wer so eine Richtlinie neben relevanten Servern auch auf herkömmlichen Arbeitsplätzen durchsetzt, bringt Anwender schon gern mal ins Schwitzen. Denn hier wird verlangt:

  • Ein Passwort darf keine wesentlichen Bestandteile des Kontonamens des Anwenders enthalten
  • Es muss mindestens sechs Zeichen lang sein
  • Es verfügt über mindestens einen Großbuchstaben (A-Z)
  • Es verfügt über mindestens einen Kleinbuchstaben (a-z)
  • Auch Ziffern sind enthalten (0-9)
  • Das Passwort enthält auch Sonderzeichen (# oder Satzzeichen o.ä.)

Von den letzten vier Aspekten müssen mindestens drei verwendet werden. Und das kann schon für viele Anwender zum Problem werden. Denn solche Richtlinien zwingen den Anwender dazu, ein sicheres Passwort zu erstellen. Und dann kommen Administratoren auch noch die Idee, die Gültigkeit zeitlich zu begrenzen. Spätestens dann bekommt man als Anwender einen Herzkasper. Schnell beschimpft man die Administratoren als “paranoid”. Aber genau das sind dann sichere Passwörter.

Für alles ein eigenes Passwort, und wie merke ich mir das?

Es ist ein Krampf. Für Emails, soziales Netzwerk A, soziales Netzwerk B, den Blog, hier ein Forum, dort eine Plattform, Online Händler etc.: Für alles und jedes soll ich also ein eigenes Passwort erstellen. Nehmen wir mal an, Sie nutzen 20 Dienste. Dann brauchen Sie 20 unterschiedliche Passwörter, von denen jedes solchen Richtlinien wie oben beschrieben entsprechen kann. Das kann sich doch kein Mensch merken, oder?

Na klar, man kann die im Browser speichern. Mittlerweile soll das auch relativ sicher sein. Aber Browser stehen nun einmal mit einem Fuß immer im Internet und sind daher immer höchst gefährdet. Deshalb ist es im Allgemeinen nicht sinnvoll, das zu tun. Sinnvoller ist da schon der Einsatz von Passwort-Managern. Aber auch hier gilt, dass man sich nie zu 100% sicher sein sollte. Denn das ist ein Zustand, der sowieso nie erreicht werden kann.

Man kann sich diesem Zustand nur immer nähern, das ist aber alles. Am Ende bleibt dann aber wohl doch nur die gute, alte Zettelwirtschaft, oder? Wie zur Hölle soll man sich Passwort-Listen merken, wenn alle Möglichkeiten von den Experten als riskant angesehen werden? Lassen wir einfach dieses Internetz komplett bleiben? Denn das ist ja “Teufelszeug”. Nein, ernsthaft, wir schauen mal, ob es nicht besser geht.

Erstellen wir ein sicheres Passwort

Zunächst einmal: Wer das Folgende hier liest, kann es sich sparen, das Ganze hier auszuprobieren. Es wird nicht funktionieren. Ich habe eine ganz einfache Lösung für das regelmäßige Erneuern eines eh schon sicheren Passworts. Und zwar für jede Plattform, die man nutzt. Es ist eigentlich gar nicht so schwierig, wie die Aufgabe eigentlich lautet. Das Schema ist nämlich:

  • Datum im Format MM-JJJJ (also Monat und Jahr)
  • Plattform (2 Großbuchstaben)
  • Initialen eines Lehrers in der Schule in Kleinbuchstaben

Wenn wir nun also sehen, dass wir im Februar 2018 leben, dann gehen wir so vor, wenn wir für Facebook ein sicheres Passwort haben wollen und unser Lehrer in der Schule Paul Schmidt hieß:

  • 02-2018FBps

Das ist wirklich alles. Für Twitter wäre es dann statt FB ein TW, für WordPress WP, für Amazon AM und so etwas. Wichtig ist, dass Sie selbst wissen, welches Passwort sie wo zuordnen. Wir haben in dem Beispiel-Passwort alles enthalten, was oben für ein sicheres Passwort notwendig ist: Wir haben Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben. Und wann immer wir dazu aufgefordert werden, das Passwort zu erneuern, schreiben wir einfach den aktuellen Monat ins Passwort. Den Zeitpunkt des Wechsels kann man sich ja von mir aus in den Kalender schreiben.

Alternativen

Es gibt unzählige Möglichkeiten, ein sicheres Passwort einzurichten, sich zu merken und zu verwalten. Auch hier werden ein paar Beispiele zum gleichen Thema genannt. Das Problem ist halt, dass man sich ernsthaft mit seinen Passwörtern auseinandersetzen muss und sich eine sinnvolle Möglichkeit erarbeiten muss. Selbst wenn man “nur” das Email-Konto verwalten muss, muss man sich mit dem Thema beschäftigen. Und niemand soll sagen, dass ihn das nichts anginge.

8 Kommentare

  1. Habe ein ähnliches System.
    Meine PW sehen in der Regel so aus.
    maGn?
    da kann ich auch eine Liste neben den PC legen, die nützt keinen.
    Jeder Buchstabe steht für etwas was nur in meinem Kopf ist
    ausgeschrieben sind das 14-17 Zeichen.
    Von der Länge sehr sicher.
    Das Hauptrisiko ist doch eher die Autofillfunktion im Browser und wenn jemand unbefugt Zugriff hat auf den eigenen PC, Notebook, oder Smartphone.

  2. Eine gute Methode um PW zu begrenzen ist es tatsächlich nur eine Handvoll zu benutzen und/aber sie in den Diensten nach Wichtigkeit einzusetzen.

    Zuviel System im PW Jungel ist nicht so gut, weil schnell vorhersehbar.
    Also sollte man unvorhersehbar sein.

    Es gibt auch Vertreter die schwören darauf man sollte unbedingt mit einem Sonderzeichen gar beginnen, da dies selten gemacht und vermutet wird, doch funktioniert das warum auch immer nicht bei allen Diensten.

    Wünschenswert wäre ja ein Zentraler Login wie zb. ein Social-login. Einfach über sein Facebook oder Twitter Konto einloggen, denn diese Dienste als Pushdienste sind ja meistens Aktiv. Fraglich ob man Facebook und Co. Vertrauen möchte. Darum bietet zb. Schweden den Zentral-Login über die Steuer-ID.

    1. Naja, ob man die Steuerbehörden wissen lassen will, was man im Internet treibt, sei mal dahingestellt. Auch will ich kein soziales Netzwerk so nah an mich heran lassen. Ja, das mag paranoid klingen. Es ist halt einfach die Wahrheit.

  3. Hi Henning,

    übelst wichtige Thematik, die nun einmal jeden Webuser angeht und ich arbeite seit gewisser Zeit mit dem Passwort-Manager, denn ich habe bei meinen 90 Projekten unterschiedliche Passwörter und obendrein, wo es technisch gesehen möglich war, habe ich alles mit 2-Schritte-Auth abgesichert. Die Codes ändern sich ständig, sodass auch bei Brute Force Attacken das Ganze sicher wäre. Wordfence kennst du doch und das ist Standard bei mir.

    Auch lasse ich mir vom PW-Manager selbst die PWs erstellen, speichere sie kurz zwischen, logge mich erneut ein und schon ist ein neues Konto im PW-Manager entstanden. Anders bekomme ich das nicht hin bei fast 100 Projekten online und noch SocialNetworks, Mail-Konten, Server, Plesk etc. etc. pp.

    Zu 100 Prozent ist ja nichts sicher, aber ich denke, dass du beim PW-Manager schon noch eine gewisse Sicherheit hast oder sehe ich das falsch?!
    P.S. bin heute hier, weil eben alles erledigt online und will mich etwas mit dir austauschen :)

    1. Hallo Alex,

      wieder ein paar Tage verspätet. Aber meine Antwort kommt ja.

      Siehst du, das ist enorm wichtig. Man bekommt das ja gar nicht mehr geregelt, wenn man so viele Passwörter hat. Da muss man sich schon mit solchen Dingen wie dem Passwort Manager beschäftigen. Ich habe ja auch 2FA eingeführt. Dennoch ist es eben so, dass man nie eine absolute Sicherheit gewährleisten kann. Man kann sich ihr nur annähern.

Schreibe einen Kommentar

Mit dem Nutzen des Kommentarbereiches erklären Sie sich mit der Datenschutzerklärung einverstanden.