Das Passwort: Die einzige Konstante im Leben

[itari]

Lesenswerter Bericht zu einer Forsa-Umfrage. http://www.heise.de/newsticker/meldung/Das-Passwort-Die-einzige-Konstante-im-Leben-1030313.html

Regel 1:

Verwende nie ein Kennwort zweimal im Leben. Domino-Effekt.

Regel 2:

Wenn du dein Kennwort auswendig kannst, ist es zu schwach. Verwende eine Kennwortkarte.

Regel 3:

Denke ans Zähneputzen und an den letzten Zahnarztbesuch, wenn du ein Kennwort eingibst. Je häufiger du putzt (Kennwort wechselst), desto geringer der Schmerz ...

Tipps:

http://www.passwortkarte.de/
http://de.savernova.com/

Itari

 

[Trolli]

Sehr schöner Artikel. Aber das mit der Passwortkarte scheint mir auch nicht wirklich praktikabel.

Und ich wage zu behaupten, dass es auch sichere Passwörter gibt, die man sich merken kann.

 

[jahlives]

Und ich wage zu behaupten, dass es auch sichere Passwörter gibt, die man sich merken kann.

Auf jeden Fall: Einfach die Anfangsbuchstaben der Worte eines gut zu merkenden Satzes, gespickt mit 2 Zahlen und/oder Sonderzeichen

 

[PatrickS3]

Wie sicher wäre eigentlich zum Beispiel die Fahrgestellnummer vom eigenen Auto?

Beispiel, nein das ist jetzt nicht meines. Ich habe nur durch meinen Job zugriff auf einige hundert Fahrgstellnummern.

WAUZZZ4BZWN058179

 

[Trolli]

Wenn Du niemandem erzählst, dass Du als PW die Fahrgestellnummer Deines Autos benutzt, halte ich die schon für recht sicher...

 

[itari]

Natürlich kann man sich auch 'sichere' Passworte merken. Aber wenn man 20 Passworte jede Woche ändern muss, dann wird es einfach schwierig Auch sollten die Kennworte schon ein wenig länger sein können (also so 100 Zeichen ) und da wird es auch für gute Mnemotechniker schwierig sich jedesmal das passende Gedicht zu suchen oder sich eine gute Geschichte zu auszudenken.

Deswegen finde ich den Einsatz solcher Kennwortkarten (auch wenn das erst einmal eine Umstellung ist, man seine Abneigung dagegen überwinden muss und auch fest daran glauben muss, dass das gut so ist) besser als alles andere, weil man damit Ansprüche an Kennworte erheben kann, die sonst als illusorisch abgetan werden.

Und Kennwortkarten (und ich zähle mal die Bibel, das BGB und andere Literatur im weitesten Sinne dazu) sind die einzigen mir bekannte Alternativen zu elektronischen Verfahren, die man als sicher einstufen kann. Natürlich gehört auch ein regelmäßiger Wechsel der Kennwortkarte zum Gebrauchsprinzip.

Itari

 

[Trolli]

...ist aber eine aufwändige Sache bis Du dein 100-stelliges Passwort per Kennwortkarte rekonstruiert und eingegeben hast. Bis Du damit fertig bist, musst Du ja schon fast wieder das Passwort wechseln.

Deshalb halte ich das für nicht praxistauglich. Und wie der Autor in dem von Dir verlinkten Artikel schon sagt:

Ob nun besonders lange und kryptische Passwörter und regelmäßige Wechsel ein Konto länger schützen, als kurze, aber nicht leicht erratbare, kommt auf den jeweiligen Anwendungsfall an.

 

[jahlives]

Desweiteren funzen 100-stellige Passworte sehr oft nicht. Oft liegen die Grenzen bei 256 oder 512 Bit. Viele Webanwendungen erlauben nichtmal das. So z.B. ein Online-Banking einer Grossbank in der Schweiz --> PW maximal 10 Stellen lang

 

[itari]

Der praktische Nutzen von einer Verschlüsselung und einer Kennwort kann man eh sehr unterschiedlich beurteilen. Es geht bei dem Thema 'Passworte' ja hauptsächlich um den psychologischen Effekt, dass ein Benutzer auf seiner eigene Unzulänglichkeit hingewiesen wird - er also Mitschuld trägt, wegen seines lasterhaften Umgangs mit Passworten (moderne Erbsünde). Egel wie er nun argumentiert, man kann immer etwas finden, was er nicht berücksichtigt hat.

Und dann zeichnet sich die Diskussion durch das sogenannte 'Helfersyndrom' aus, wo Leute versuchen sich zu profilieren, in dem sie behaupten, dass man gar nicht so viele unmögliche Passworte verwenden kann und wozu das überhaupt gut sei. Sie wollen lediglich die (Mit-)Schuld mindern oder gar aufheben, sozusagen das prinzipiell Schlechte als menschlich verharmlosen. Und das ohne Buße. Meist geht das einher mit einer Nutzenargumentation ... als wenn es je um einen Nutzen ginge. Das stammt natürlich bei genauer Analyse aus dem protestatischen Wertschöpfungsideal: 'Wem Gott etwas gegeben hat, der soll es annehmen und nicht in Zweifel ziehen'. Daraus wird verkürzt geschlußfolgert, dass wenn jemand 'zu wenig' hat, auch damit zufrieden sein soll. Wenn also jemand nicht den innere Schweinehund überwinden kann, dann müßte er halt mit dem Makel seiner Begrenzheit leben und man befindet einfach, dass das völlig normal wäre. Ein Buddhist würde an dieser Stelle empfehlen, sich auf die Transzendenz des Passwortes zu konzentrieren und es in den Mittelpunkt des Lebens (Verzicht auf eine Leben ohne Passworte) stellen.

Weil mir das aber alles zu kompliziert wird, finde ich, jeder sollte mit einer Passwortkarte ausgestattet werden (man kann ja schon mal mit der Führerscheinnummer anfangen) und ihre Nutzung üben bis die neuen Personalausweise das eh überflüssig machen werden ... (one-card-bb-principle) auch wenn wahrscheinlich bis dahin eh alle mit eine iPhone ausgestattet sind und die Identifikation und die Passwortzugangsverwaltung darüber erfolgen wird.

Itari

 

[itari]

Desweiteren funzen 100-stellige Passworte sehr oft nicht. Oft liegen die Grenzen bei 256 oder 512 Bit. Viele Webanwendungen erlauben nichtmal das. So z.B. ein Online-Banking einer Grossbank in der Schweiz --> PW maximal 10 Stellen lang

Das ist ja nicht wirklich ein Problem ... per Zufallszahl wird z. B. die 2., 8., 93. und 6. Stelle als Passwort verwendet.

Itari

 

[jahlives]

Das ist ja nicht wirklich ein Problem ... per Zufallszahl wird z. B. die 2., 8., 93. und 6. Stelle als Passwort verwendet.

Itari

Das ändert dann aber nichts daran, dass zu wenige Stellen einfach nicht sicher sein können.

 

[itari]

Das ändert dann aber nichts daran, dass zu wenige Stellen einfach nicht sicher sein können.

Man kann ja alle 3 Minuten ein neues Passwort verlangen ... dann werden auch kleinere Passworte sicherer.

Itari

 

[jahlives]

Man kann ja alle 3 Minuten ein neues Passwort verlangen ... dann werden auch kleinere Passworte sicherer.

Itari

Das stimmt. Je kürzer die Lebensdauer eines PW ist, desto kürzer darf es auch sein

 

[thedude]

Als recht nützlich hat sich auch folgende Methode erwiesen. Die Kombimethode.

Man denke sich ein kompliziertes Passwort aus, welches man sich gut merken kann. Dabei hilft u.U. die voeher genannte Methode mit den Anfangsbuchstaben.in Kombination mit etwas "l33t" slang z.B. so:

WHi3d4! für "Walter Hucke ist ein dummes Arschloch!" - wobei man das kleine e durch 3 und das grosse A durch 4 ersetzt. Damit hat man auch Zahlen drin.

Bitte verzeiht den Kraftausdruck. Aber je eingängiger desto leichter zu merken.

So, damit hat man sein recht sicheres Masterpasswort. Damit man dieses nicht überall verwendet hängt man daran einfach den Namen des Dienstes an wo man das Passwort gearde einsetzt. z.B.

WHi3d4!Twitter für Twitter
WHi3d4!Syno fürs Forum

Damit hat man für jeden Dienst bzw. jede Seite ein individuelles Passwort welches man sich trotzdem recht leicht merken kann.

gruss
dude

 

[crick]

Ich benutze selbst seit ca. zwei Jahren das: http://www.passwordsafe.de/

 

[Trolli]

Ich halte so eine Passwortdatenbank auch für eine gute Sache. Zumindest für die verschiedenen Internetdienste, die man so hat. Ich selber nutze KeePass.

 

[thedude]

Wenn jemand gerne Software einsetzen will, würde ich auch auf jeden Fall empfehlen hier auf Opensource zu setzen. Bei KeePass träfe das zu. Bei allem was closed source ist, wäre ich misstrauisch. Backdoors, Masterschlüssel usw. usw. man weiss nie was die Hersteller da einbauen. Bei Opensource ist das Risiko wesentlich geringer.

Klar das klingt nach Paranoia^10 aber besser Vorsicht als Nachsicht.

gruss
dude

 

[itari]

So schön Passwort-DBs sind und auch in vielen Fällen nützlich, so wenig helfen sie mit am Terminal meiner Bank oder am Autoschalter bei Mac-Donalds. Auch wenn ich in 5 oder 6 Firmen berate, werde ich wohl kaum mit einem Stick überall die Authentifikation durchführen können. Da wäre es einfache, ich hätte die Passworte im Internet und würde sie abrufen können (und das gibt es ja schon ... )

Aber das Problem liegt eigentlich woanders ... wozu gibt es Passworte? Gäbe es keine Geheimnisse und jeder könnte alles ... dann hätte man eine Menge Probleme weniger ... Die Verwendung eines Passwortes ist ja eigentlich nur dann legitim, wenn man unterstellt, dass es Leute gibt, die Neid, Missgunst, Machtgelüste, Geldgier, Schadensfreude und andere schlechte Eigenschaften haben und deswegen keinen Zugang zu etwas haben sollen ... also schaffen wir die Eigenschaften ab und gut ist es

Es gibt da die Geschichte von der Schließanlage. Jeder hat einen speziellen Schlüssel, der genau definierte Bereiche in einem Gebäude öffnet. Alles wird dokumentiert und nach festgelegten Verfahren abgewickelt. Hunderte von Schlüsseln sorgen auf diese Weise für die 'berechtigten' Verhältnisse. Allerdings gibt es eine Ausnahme, den Generalschlüssel. Der Hausmeister hat einen, die Putzen haben welche und der Sicherungsdienst hat einen ... einer ist sogar bei der örtlichen Feuerwehr hinterlegt worden ... die 20 PCs hat man nicht wieder gefunden ... die anderen Dinge wurden der Versicherung nicht gemeldet ... hätte nur noch mehr Ärger gemacht ...

Itari

 

[Trolli]

Sind die Big Mäcs jetzt seit neustem verschlüsselt oder wozu braucht man bei McD seit neustem ein Passwort?

 

[itari]

Sind die Big Mäcs jetzt seit neustem verschlüsselt oder wozu braucht man bei McD seit neustem ein Passwort?

Bist du nicht bei der Junior-Tüte angemeldet? Dann wird's Zeit http://www.mcdonalds.de/familie_und_kids/junior-club.html

Itari