Inhalt

I. Einleitung
II. Viele Passwörter manuell erstellen
III. Viele Passwörter digital erstellen
III. a) KeePass
III. b) LastPass
IV. Einzelne Passwörter manuell erstellen
IV. a) Passwort rein gedanklich entwickeln
IV. b) Manuelles Hilfsmittel: Password Card
V. Hinweis zu Sonderzeichen

I. Einleitung

Passwörter sind ein wichtiger Bestandteil in unserer virtuellen Welt. Passwörter sollen uns Zugriff zu Diensten und Daten ermöglichen, die nur man selbst bedienen können soll. In Kombination mit einem Nicknamen oder einer E-Mail loggt man sich täglich in vermutlich mehrere Webseiten ein. In den seltensten Fällen möchte man, dass auch jemand Fremdes ungehinderten Zugang zu den verborgenen Informationen oder den möglichen Funktionen hat. Dies kann die nervende Witz-Statusmeldung bei Facebook o.ä. sein, Schabernack in unserem Lieblingsforum oder auch alle Informationen die in unseren E-Mails gespeichert sind.
Obwohl Passwörter derart sensibel sind, gewinnt man zunehmendst den Eindruck, dass sie als lästiges Beiwerk angesehen werden. Nicht zuletzt weil im heutigen Web2.0 beinahe jede Seite die Möglichkeit bietet, ein persönliches Konto anzulegen; die meisten verlangen dies sogar, wenn man ihre Funktion nutzen will. Ständig muss ich, wenn ich z.B. etwas aus einem kleinen Webshop bestellen will, mir ein neues Konto anlegen, welches ich nach der Bestellung kaum wieder ansehe. Natürlich muss ich mir dafür auch ein Passwort ausdenken. Selbstverständlich will sich kaum jemand eine solche Menge an Passwörtern merken. Alle Webseiten bieten zumindest eine "Passwort vergessen"-Funktion. Diese funktioniert, solange man seine E-Mailadresse auch noch benutzt. Bequem ist jedoch anders.
Die andere Taktik ist, sich ein Standardpasswort auszudenken und dieses überall zu benutzen. Eine gefährliche Taktik. Ich muss mir nun bei jeder Webseite Gedanken machen, ob sie auch sicher ist. Denn wenn jemand die Datenbank knacken sollte und mein Standardpasswort (und am besten noch die E-Mailadresse dazu) bekommt, kann er sich plötzlich überall einloggen. Unsicher programmierte Webseiten begegnen uns im Netz zu häufig, als dass ich diesen Weg empfehlen würde. Zudem will ich auch nicht Verantwortung für jeden Computer übernehmen müssen, an dem ich mich mal einlogge. Weiß man wirklich gesichert, dass ein/e Freund/in nicht gerade mal eine Schadsoftware (Keylogger1) auf dem Rechner hat? Oder das Internetcafé?
Mehrere Standardpasswörter mit verschiedenen Sicherheitsstufen schaffen dieses Problem nicht aus der Welt, sondern grenzen nur den Schadensradius ein.

Ich möchte hier über drei verschiedene Möglichkeiten schreiben, wie man die Sicherheit seiner Passwörter erhöhen kann:
Nach Oben

II. Viele Passwörter manuell erstellen

Dass das Problem der Standardpasswörter (in der Einleitung erwähnt) kein theoretisches ist, musste ich leider selbst erfahren. Ich habe eine E-Mailadresse bei Web.de. Diese habe ich angelegt, als ich ungefähr 12 war, vielleicht auch früher. Damals habe ich mir kaum Gedanken um Passwörter gemacht. Ich nutzte ein 6-stelliges Wort als Standardpasswort. Einige wenige andere Konten bei anderen Webseiten benutzten ebenfalls lange Zeit dieses Passwort, einfach, weil ich zu faul war es zu ändern. Im Jahr 2010 wurde das Passwort zu meinem Webmailkonto geknackt; um Spam zu versenden. Wie das geschah, weiß ich nicht. Ich hatte keine Schadsoftware auf meinem Rechner, noch auf eine Phishing-Mail reagiert. Ich kann allerdings nicht für andere Rechner bürgen, an denen ich mich je angemeldet habe. Quintessenz ist nur: Irgendwie wurde mein Konto geknackt und wenn dies nicht nur zu simplem Spam geschehen wäre, hätte der Angreifer viele meiner Konten verwenden können. Denn nicht nur mein erwähntes Standardpasswort war aufgedeckt, ich hatte dummerweise auch noch (zu meiner Verteidigung: aus alten Zeiten) einen Unterordner "PW archiv", in dem ältere E-Mails von neuen Konten lagerten, in denen meist das Passwort mitgeschickt wird. Damit hätte man noch nicht einmal Google bemühen müssen, um zu wissen, wo ich ein Konto hätte haben können.
Nach diesem Vorfall habe ich mir etwas Gedanken um sichere Passwörter gemacht. Ich hatte mir bereits ein System ausgedacht, um für jede Webseite ein eigenes Passwort zu haben, jedoch nicht überall benutzt. Der Witz dabei ist, dass dieses System auch ohne eine "Passwort speichern"-Funktion des Browsers auskommen soll, über welche heutzutage eigentlich jeder Browser verfügt:
Google Chrome Mozilla Firefox

Von der Benutzung dieser Funktion rate ich meistens ab. Es gibt im Prinzip nur zwei mögliche Gründe, diese Funktion zu nutzen: Bequemlichkeit und Notwendigkeit.
Bequemlichkeit meint, dass man theoretisch Passwörter benutzt, die man sich merken kann, aber keine Lust hat, diese auf seinem Heimsystem ständig einzutippen. Bequemlichkeit ist eine Ausprägung, der ich mit den einleitenden Worten bereits begegnen wollte. Mein Ziel ist, aufzeigen, dass Passwörter sensible Einrichtungen sind, bei denen etwas Nachdenken keineswegs verkehrt ist. Da ich an dieser Stelle bereits darüber hinaus bin, dass Standardpasswörter verfehlt sind, gehe ich von der Prämisse aus, dass bereits möglichst verschiedene Passwörter genutzt werden. Wenn man sich die Mühe machen sollte, sich verschiedene Passwörter zu überlegen, dann sollte man diese Mühe nicht durch das Speichern im Browser wieder zunichtemachen.
Alle, die an dieser Stelle immer noch nicht überzeugt sind, sollten vielleicht im Kapitel Viele Passwörter digital erstellen weiterlesen. Hier werden Passwortmanager-Programme vorgestellt, die wieder Bequemlichkeit in Verbindung mit Sicherheit liefern sollen.
Notwendigkeit würde bedeuten, dass ich mir sehr sichere Passwörter überlegt habe, die kompliziert sind und die ich mir deshalb nicht merken kann (ich klammere den Fall aus, dass man nicht in der Lage ist, sich simple Passwörter zu merken - aber prinzipiell will ich hier den gleichen Lösungsansatz propagieren). Der Ansatz ist sehr gut, denn sichere Passwörter sind gut. Schlecht ist natürlich, dass man sich nicht merken kann, was man produziert hat. Mit dem System, welches ich hier vorstelle, möchte ich genau dagegen angehen. Es sollen sichere Passwörter entstehen, die man sich allerdings vergleichsweise einfach merken kann.
Bevor ich darauf eingehe, möchte ich aber noch etwas zu "Passwort speichern" sagen. Es gibt einige Bedenken gegen die Nutzung der Funktion. Einerseits sind diese praktischer Natur, andererseits Bedenken der Sicherheit.
Zur Praxis ist zu sagen, dass die Funktion selbstverständlich nur am heimischen, eingerichteten Computer funktioniert. Will man sich mal woanders einloggen, steht man vielleicht vor dem Problem, dass man sich an ein Passwort erinnern muss, obwohl man dieses Erinnern schon aufgegeben hat - weil es ja nicht notwendig ist.
Die Sicherheitsbedenken wiegen dagegen weitaus schwerer. Man baut hier eine Kumulation von Datensätzen auf, die durchaus interessant für Angreifer ist. Anders ausgedrückt serviert man seine Passwörter auf dem Silbertablett. Ganz so wie ich mit meinem "PW archiv"-Ordner im Mailkonto. Nur eben auf dem eigenen Rechner. Schadsoftware könnte die Daten auslesen, schließlich legen die Browser diese immer an gleichen Stellen im Dateisystem ab. Ein physischer Zugriff zum PC reicht ebenfalls aus, um schnell einen Blick zu riskieren: Browser auf, Optionen an, Liste der Passwörter anzeigen lassen. Dies können beliebige Personen aus unserem Umfeld sein, die uns aus irgendeinem Grund schaden oder einen Streich spielen wollen. Keine Minute benötigt es, um kurz einmal das gesuchte Passwort aufzuschreiben. Der dritte Angriffsvektor wären die Webseiten, auf denen man sein Passwort eingeben muss. Hier könnte ein Angreifer durch Cross-Site Scripting (XSS)2 Scripte einbinden, die die Daten auslesen, sobald der Browser automatisch die Formularfelder ausfüllt - ein Vorgang den man dann gar nicht mitbekommt. Auch durch speziell verschleierte Links, die versehentlich angeklickt werden, können entsprechende Effekte simuliert werden.3
Die gespeicherten Passwörter bieten also mehrere Angriffspunkte und man gewinnt nur relativ wenig durch ihre Verwendung. Firefox bietet die Möglichkeit, ein Master-Passwort festzulegen (wie auf dem Bild oben zu sehen). Dadurch räumt man einige Punkte aus dem Weg, gerade der physische PC-Zugriff führt nicht mehr zu den Passwörtern. Das Paradoxe an dieser Funktion ist allerdings für mich, dass ich eine Vielzahl von Passwörtern, die super sicher ausgedacht sind, durch ein einziges ersetze, welches wiederum den Zugang zu allem ermöglicht. Zugegeben, es ist immerhin besser als kein Master-Passwort.
Es gilt jedoch: solange man seine Passwörter irgendwo ablegt, besteht immer die Möglichkeit, dass diese Passwörter in fremde Hände gelangen. Dies ist der schlimmste Fall, der Fall, den es zu verhindern gilt. Es gibt nur einen Ort, wo Passwörter wirklich sicher sind: der eigene Kopf. Merken ist die sicherste Methode. Diese Methode will ich im folgenden so sehr erleichtern, dass sie eine akzeptable Alternative zum Rest darstellt.
Ich gehe davon aus, dass auch die merkstärksten Personen bei 10 sicheren Passwörtern langsam an ihre Grenzen stoßen. Ich will deshalb ein System vorstellen, mit dem man sich nicht jedes Passwort merken muss, sondern dieses aus wenigen Bruchstücken zusammensetzen kann.
Man beginnt dazu mit einer Zeichenkette, die man sich einfach merken kann. Das darf erst mal auch ein Wort sein, Hauptsache man erinnert sich aufgrund persönlicher Umstände daran. Ich starte mit garten. Mein erster Schritt, um dieses Passwort sicherer zu machen, ist Großschreibung: Garten (damit wäre gleichzeitig auch eine häufig anzutreffende Anforderung an Passwörter erfüllt: Groß- & Kleinschreibung verwenden).
Dieses "Standardpasswort" verwendet man als Basis für die neuen Passwörter. Je nachdem, wie sensibel ein Dienst ist, in den ich mich einlogge, passe ich das Passwort durch Zahlen und Sonderzeichen an. Ich verwende drei verschiedene Sicherheitsstufen:
Für alle Webseiten, bei denen es gar nicht so wichtig ist, ob sich mal jemand anderes einloggt, verwende ich nur den Basispasswortbestandteil (Garten). Das sind z.B. Fachforen in denen ich nur eine schnelle Frage loswerden möchte und denen ich nach der Beantwortung keinen Besuch mehr abstatte.
Für die üblichen Dienste, d.h. Foren in denen ich unterwegs bin, Webshops die keine Zahlungsinformationen speichern, Zweit-E-Mailadressen, Facebook etc. füge ich noch eine Zahlenkombination ein, die ich mir leicht merken kann. In diesem Beispiell soll es 95 sein: Garten95 (statt Zahlen sind natürlich beliebige Zeichenkombinationen möglich; allerdings ist auch die Verwendung von Zahlen eine häufige Anforderung).
Die wirklich wichtigen Passwörter werden durch die Zahl und Sonderzeichen erweitert (an dieser Stelle gilt es allerdings den Hinweis zu Sonderzeichen zu beachten). Dieses Passwort ist für sehr wenige Anwendungen reserviert, bei denen ich davon ausgehe, dass auch die Webseitenbetreiber die Sicherheit großschreiben. Meine Haupt-E-Mailadresse, Zugänge zu Uni-Diensten, PayPal oder ähnliche Dienste werden hiermit gesichert. Sparsame Verwendung dieses Passwort garantiert die Sicherheit. Denn wer die erste (Basiskennwort) oder zweite Stufe (Basiskenntwort und Zahl) knackt steht immer noch nicht mit allen Informationen da. Wird das sicherste Passwort gebrochen, sind hingegen alle Informationen verfügbar.
Das Passwort wird also durch Sonderzeichen ergänzt. Denkbar sind z.B. diese Kombinationen: Garten§95, Garten9/5, Garten95% oder irgendwelche Konstellationen, die man sich merken kann. Für dieses Beispiel soll Garten§95 herhalten.
Natürlich kann man sich an dieser Stelle fragen, warum ich Sicherheitsstufen und Komplexität der Passwörter verbinde. Man könnte auch einfach jede "Stufe" als Kombination des Wortes, einer Zahl und eines Sonderzeichens darstellen. Solange man eine strikte Trennung beibehält und das wichtigste Passwort selten verwendet, spricht nichts dagegen. Ich finde es nur wesentlich einfacher, Sicherheits- und Komplexitätsstufen zu verbinden, denn ich kann mir die Stufen leicht merken. Ich weiß, dass die erste Stufe "keine Modifikation" bedeutet, mittel dagegen "Zahl anhängen" und stark "Zahl und Sonderzeichen anhängen". Wenn ich jede der drei (oder beliebig viele, wie viele eben gebraucht werden) Stufen jetzt sehr komplex darstelle, drohe ich schnell den Überblick zu verlieren. Ich finde es z.B. verwirrend, wenn locker Garten9/5, mittel Garten95% und stark Garten§95 sind. Sollte ich auch noch anfange, die Zahlen zu variieren, bin ich persönlich auf der Strecke geblieben. Wer sich dieser Denkaufgabe gewachsen sieht, kann die Situation natürlich anders beurteilen. Ich fahre mit o.g. drei Stufen fort, denn letztlich sind diese für das zu erklärende Prinzip egal.
Bisher ist noch nichts besonderes an unseren Passwörtern dran. Jetzt folgt der individuelle Teil, der sich bei jeder Webseite unterscheidet.
Man nimmt einen Teil des Webseitennamens in das Passwort auf. Beispiele: facebookGarten95, amazonGarten§95, twitterGarten95.
Das sind für jede Webseite einzigartige Passwörter. Fertig? Nein! Dieses System ist sehr leicht zu durchschauen. Man möchte die Idee hinter den Passwörtern noch etwas verschleiern, damit ein Angreifer auf einer Seite nicht sofort kapiert, dass er nur den Namen der Seite einfügen muss, um sich anderswo einzuloggen. Ein üblicher (und sinnvoller) Typ bei der Passworterstellung lautet zudem, den Namen der Webseite niemals in das Passwort aufzunehmen. Denn auf diese Idee sind schon viele gekommen und Angreifer stellen sich hierauf ein. Deshalb bleibt es nicht dabei, dass die Webseite im Namen auftaucht.
Man fährt beispielsweise damit fort, dass man den Namen der Webseite etwas ändert, aber immer noch so, dass man sich diesen leicht merken kann. Einige Beispiele:
Facebook: face, faceb, fbook, bookface.
Amazon: ama, mazon, zon.
Twitter: twitt, tweet, itter.
...man versteht, worum es geht. Wenn ein Angreifer jetzt ein Passwort knackt, muss er bei anderen Seiten immer noch erraten, welche Modifikation des Namens gewählt wurden. Das ist gut, reicht aber als Schutzfaktor noch nicht ganz.
Zur Perfektion setzt man noch eine einfache Verschiebechiffre an. Die bekanntesten Beispiele hiervon sind Caesar-Verschiebung4 und ROT13.5 Man verschiebt also die Buchstaben im Alphabet. Z.B. eine Position nach oben: aus a wird b, aus b wird c. Bis zum Caesar, also dreifache Positionsverschiebung, empfinde ich die Methode noch als relativ simpel (damit meine ich etwa den Vergleich zu ROT13; dreizehn Verschiebungen schaffe ich nur durch längeres Abzählen).
An dieser Stelle fragen vielleicht einige, was das soll. Immerhin sind Verschiebechiffren alles andere als komplexe Verschlüsselungen. Es geht hier allerdings nicht darum, wasserdicht zu verschlüsseln, sondern darum, das System möglichst angenehm zu verschleiern. An dieser Stelle hat man bereits einige Schritte unternommen, um die Passwörter sicherer zu machen. Man muss in jedem Falle gegenüber stellen, dass man die Passwörter auch selbst noch flüssig eintippen muss. Man braucht also ein Verschleierungsverfahren, welches ein durchschnittlicher menschlicher Kopf auch fix hinkriegt. Fortgeschrittenere Verschlüsselungstechniken sind nicht praktikabel, sofern man nicht gerade einen Taschencomputer mit sich herumträgt, der die Verschlüsselung schnell durchführen kann (und dann hat man den Fall, dass man einen Gegenstand, der verloren gehen könnte, als Gedächtnisstütze verwendet).
Sollte ein Angreifer eines der Passwörter bekommen, müsste er sich schon die Mühe machen, sich mit diesem Passwort zu beschäftigen. Dies setzt vorangestellt voraus, dass er überhaupt auf die Idee kommt, hinter dem Passwort verbirgt sich ein System. Ist der Angreifer tatsächlich soweit gekommen, dass er die Verschiebechiffre geknackt hat, greifen die anderen Sicherheitsmerkmale, die man eingebaut hat. D.h. man hat den Namen der Webseite verändert (statt facebook "fbook", statt amazon "azon" - der Angreifer kann vom einen nicht auf das andere schließen) und man hat unterschiedliche Sicherheitsstufen durch Zahlen und Sonderzeichen eingefügt.
Dieses System ist zweifellos nicht perfekt. Aber es bietet mehr Sicherheit als die häufige Verwendung von Standardpasswörtern. Egal wie geschickt diese erdacht sind, sobald sie einmal bekannt sind, bieten sie keine Sicherheit mehr. Mit dem hier vorgestellten System kann man zumindest darauf vertrauen, dass ein Angreifer nicht ohne Weiteres alle anderen Konten plündern kann. Sollte man Kenntnis erlangen, dass ein Konto geknackt wurde, empfiehlt es sich natürlich, das System zu ändern und die Passwörter neu zu vergeben.
Dass man sich kaum davor schützen kann, dass Passwörter einmal bekannt werden, zeigt der Fall von "lulzsec delivers". Die Hackergruppe lulzsec hat Anfang Juni 2011 eine Liste mit über 62.000 Kombinationen aus E-Mailadressen und Passwörtern online unter der Bezeichnung lulzsec delivers zur Verfügung gestellt.6 Die Herkunft dieser Daten ist unbekannt. Es ist nicht sicher, ob dies Erfolge aus Phishing-Mails waren oder ob teilweise die Datenbanken der E-Maildiensteanbieter gehackt wurden.
Wird die eigene E-Mailadresse kompromittiert, ist auf jeden Fall höchste Vorsicht geboten. Denn die "Passwort vergessen"-Funktion, die ich weiter oben noch lobend erwähnt habe, bietet jedem Angreifer jetzt die einfache Möglichkeit, sich alle Passwörter zukommen zu lassen. Gegenmaßnahmen sind kaum zu treffen.

Aber genug der Worst Case Scenarios. Abschließend will ich noch einige Tipps geben, wie man sein neu gewonnenes Passwortsystem verbessern kann:
Noch einige Worte zum Schluss: Alle Ausführungen, die ich hier gemacht habe, mögen zuerst abschrecken. Viele, teils neue Denkschritte werden nötig, um mit dem neuen Passwortsystem umgehen zu lernen. Aus eigener Erfahrung weiß ich aber, dass das Verarbeiten der Passwörter mit der Zeit leichter von der Hand geht.
Nach Oben

III. Viele Passwörter digital erstellen

Passwörter können auch digital, d.h. mittels einer speziell dafür entwickelten Software gespeichert und abgerufen werden. Damit ist jedoch nicht die "Passwort speichern"-Funktion eines Webbrowsers gemeint. Zu dieser sind weiter oben im Abschnitt Viele Passwörter manuell erstellen bereits einige Schwachstellen dargestellt. Wenn man also schon die Bequemlichkeit einer Software ausnutzen möchte, dann sollte diese Software wenigstens speziell für den Einsatz als Passwort-Manager entwickelt sein und den speziellen Problemen richtig begegnen.
Man sollte sich allerdings nicht darüber hinwegtäuschen lassen, dass selbst mit einem solchen Programm, immer noch manche Passwörter unter gewissen Umständen selbst eingetippt werden müssen. Man braucht ein laufendes Betriebssystem zum Betrieb des Programms, daher müssen alle Passwörter, die vor dem Hochfahren einzugeben sind (Anmeldekennwort für das Benutzerkonto, ggf. ein Passwort für eine Verschlüsselungssoftware) immer noch selbst eingegeben werden. Auch an Systemen, auf denen man keine Programme ausführen darf oder kann, bringt eine solche Software natürlich nichts.
Spezielle Passwortmanager stellen eine zentrale Passwortdatenbank dar. D.h. sie speichern die Kombinationen von Benutzername und Passwort, sowie natürlich den Einsatzort (z.B. die URL). Diese Datenbank wird verschlüsselt auf der Festplatte (oder dem verwendeten Datenträger) abgelegt. Ein Zugriff ist nur mittels des Programms möglich, wenn man zuerst ein Masterpasswort eingegeben hat. Danach hat man über das Programm Zugriff auf seine Datenbank. Vernünftige Programme bieten nun die Möglichkeiten, das Passwort entweder direkt in die Zwischenablage zu kopieren oder in entsprechende Formularfelder automatisch einfüllen zu lassen. Hierdurch wird erreicht, dass Keylogger die Passwörter nicht mitschneiden können.7 Das automatische Einfüllen fördert zudem natürlich die bequeme Nutzung.
Die Manager haben regelmäßig einen mobilen Modus, damit sie leicht auf einem USB-Stick o.ä. mitgenommen werden können. Dies bringt die notwendige Mobilität, die die browsereigenen Funktionen vermissen lassen. Hier liegt jedoch auch ein Nachteil: Ein USB-Stick kann verloren gehen oder gestohlen werden. Damit wäre auch die gesamte Datenbank verloren. Es muss also eine Möglichkeit geben, die Datenbank irgendwie zu sichern oder wiederherzustellen. Außerdem sollte das Masterpasswort sicher sein; dies ist natürlich nur in Kombination mit einer sicheren Verschlüsselung sinnvoll. Das Passwort liefert man selbst, die Verschlüsselung das Programm. Tipps für eine sichere Passwortgestaltung von langen Passwörtern stehen weiter unten im Kapitel Einzelne Passwörter manuell erstellen. Eine simple Methode, um die Datenbank zu sichern, wäre es - ganz unabhängig vom verwendeten Manager - zusätzlich zum mobilen Gerät auf dem heimischen Rechner immer eine Kopie zu lassen (dies bietet sich auch umgekehrt an, wenn man den Manager nur am heimischen Rechner nutzen will; man sollte hier stets für einen Datenverlust durch eine zerstörte Festplatte gewappnet sein). Dafür sollte das Programm eine möglichst gute Methode liefern, die Datenbank zu synchronisieren.
Für optimalen und bequemen Einsatz sollte ein Manager auf möglichst vielen Plattformen verfügbar sein. Arbeitet man häufig an verschiedenen Betriebssystemen (Windows, Linux, Mac OS und vor allem Smartphonesysteme wie Android, iOS oder Windows Mobile), sollte hierauf besonders geachtet werden. Zwar kann man nicht erwarten, dass ein Datensatz des Programms überall läuft, aber es wäre gut, wenn wenigstens eine Version für das betreffende System zum Download bereit gehalten wird. Kann man auf seine Passwörter gar nicht zugreifen, kann man sich oft auch nicht einloggen, weil das Programm das Merken der Passwörter ja überflüssig machen soll. Man ist also aufgeschmissen, wenn die Datenbank nicht immer verfügbar ist.
Manche Manager bieten die Option eine Schlüsseldatei zusammen mit oder anstelle des Masterpassworts zu verwenden. Dies kann eine eigens erstellte oder beliebige Datei sein. Sie wird in den Verschlüsselungsprozess einbezogen und ein Entschlüsseln ist nur möglich, wenn die Datei zur Verfügung steht. Dies eignet sich vor allem für eine stationäre Nutzung des Managers. Hierbei ist die Schlüsseldatei entweder eine von tausenden auf dem Rechner (und damit quasi nicht zu finden) oder wird lediglich auf einem USB-Stick abgelegt (hier ist wiederum ein Verlustproblem angelegt, was den Wert der Schlüsseldatei mindert). Für den mobilen Einsatz ist die Schlüsseldatei ungeeignet. Denn entweder liegt die Datei zusammen mit unserem Manager auf dem mobilen Datenträger, wodurch die Möglichkeiten stark eingeschränkt werden und sie leichter zu entdecken ist oder man benötigt zwei Datenträger. Hier, wie auch beim stationären Einsatz, gewinnt man allerdings einen zusätzlichen Sicherheitsfaktor, wenn man Schlüsseldatei und Masterpasswort kombinieren kann. Diese Variante ist in jedem Falle die sicherste.
Zuletzt haben viele Programme eine automatische Funktion, um sich lange und zufällige Passwörter zu generieren, die zudem einen definierbaren Zeichensatz verwenden.
Zwei Programme sollen nun hier vorgestellt werden: KeePass und LastPass.
Natürlich gibt es noch weitere Programme dieser Art, die sich im Internet finden lassen. Für den eigenen Gebrauch sollte man in jedem Fall dasjenige auswählen, welches die benötigten Features bietet. Man sollte nur darauf achten, dass adäquat über die Sicherheit informiert wird. Sicherheit ist ein wesentliches Merkmal einer solchen Software und eignet sich deshalb gut für Werbung. Wird damit nicht geworben, kann man daraus nur schließen, dass die Sicherheit mangelhaft ist.

a) KeePass

KeePass ist eine OpenSource-Software8 und damit frei (kostenlos) und nicht-kommerziell. Es wurde von Dominik Reichl entwickelt und steht unter der GNU/GPL 2.0.9 Die Webseite lautet www.keepass.info (engl.). So viel zu den formalen Angaben.
Es folgt eine Liste an Vor- und Nachteilen, die ich aus den Informationen der Webseite und einem Test des Programms zusammengetragen habe. Die ersten Betrachtungen betreffen die bereits festgestellten Anforderungen an einen Manager. KeePass steht zudem in zwei Versionen zur Verfügung, die sich inhaltlich unterscheiden. Sollte dies der Fall sein, weise ich gesondert darauf, ob ein Feature wie beschrieben nur in der Classic Edition (1.x) oder der Professional Edition (2.x) zur Verfügung steht. Professional Edition heißt in diesem Kontext übrigens nicht - wie man vielleicht erwarten könnte - dass sie kostenpflichtig ist. Es ist einfach eine andere Version (die in der Regel mehr Features bietet).

b) LastPass

LastPass ist im Gegensatz zu KeePass nicht OpenSource und wird mit kommerziellem Interesse von der Firma LastPass vertrieben. Trotzdem ist die Grundversion des Programms erst einmal kostenlos, nur die Premium Variante kostet $ 1 pro Monat. Die Webseite lautet www.lastpass.com
Bei einer ClosedSource-Software steht man zunächst vor dem Problem, dass man dem entsprechenden Unternehmen vertrauen muss. Man kann nicht überprüfen, ob die Verschlüsselungsalgorithmen korrekt umgesetzt wurden und ob nicht Backdoors eingefügt wurden, um die Verschlüsselung zu knacken (z.B. um behördlichen Auskunftsansprüchen nachzukommen; problematisch, da die Firma ihren Sitz in den USA hat und man sich mit dortigen rechtlichen Vorschriften nicht auskennt). Im Gegensatz dazu könnte man allerdings auch anführen, dass bei OpenSource Sicherheitslücken viel schneller entdeckt und ausgenutzt werden könnten. ClosedSource bietet also den Vorteil "Security throught obscurity".14 In letzter Zeit (2017) ist LastPass, was die gesunde Vertrauensbasis anbelangt, etwas in Verruf geraten: Zero-Day-Lücke in Passwort-Manager LastPass, Passwort-Manager Lastpass von mysteriösen Ausfällen geplagt.
Um mit LastPass zu arbeiten, reicht es nicht aus, dass man sich nur das Programm runterlädt. Zusätzlich muss ein Benutzerkonto bei LastPass eingerichtet werden, welches mit dem Programm zusammenarbeitet.
Es folgt wiederum die Liste der Vor- und Nachteile mit erstem Augenmerk auf die genannten Mindestvoraussetzungen für Passwortmanager. Diese beiden Beispiele sollen ein Eindruck darüber vermitteln, wie unterschiedlich Passwortmanager aufgebaut sein können und welche Ansätze verfolgen. Wie jedes kommerzielle Programm auf dem Markt, versucht LastPass vor allem durch einfache Bedienung und eine bequeme Bedienung zu punkten. KeePass als Vertreter der OpenSource-Gemeinde unterliegt nicht den selben Qualitätsanforderungen. Da Benutzer von OpenSource-Programmen meistens erfahrener im Umgang mit ihrem Rechner sind und keine Probleme damit haben, längere Einstellungen und Anpassungen in einem Programm zu unternehmen (auch wenn dies in KeePass nicht nötig, aber möglich ist), wird hier das Augenmerk vor allem auf eine vernünftige Einbindung von Sicherheitsfeatures gelegt. Auch ist es hier möglich, den Quellcode anzuschauen und selbst zu überprüfen, ob diese Sicherheit richtig programmiert wurde; auch wenn dies dem durchschnittlichen Nutzer mangels entsprechender Kenntnisse meistens nicht möglich ist. Man muss sich also entscheiden, ob man sein Vertrauen einer Firma oder einer freien Entwickler-Gemeinde schenkt.
Vorher sollte man sich natürlich auch entscheiden, ob man ein solches Programm nutzen will oder nicht. Der Nachteil ist, denke ich, klar: man muss sich immer auf seinen USB-Stick und das Programm verlassen und kann nicht abeiten, wenn eines von beiden nicht möchte.
Nach Oben

IV. Einzelne Passwörter manuell erstellen

Es gibt Passwörter, die nach Möglichkeit besondere Sicherheitsanforderungen erfüllen müssen. Dies können der Zugang zum privaten, verschlüsselten Rechner sein, die Passwörter, mit denen man den Zugang zu den vorher vorgestellten Programmen erlangt oder sonstige Hochsicherheitssysteme, bei denen es nicht möglich oder nicht erlaubt ist, USB-Sticks zu verwenden.
Man hat also nicht die faktische Möglichkeit oder Erlaubnis, digital gespeicherte Passwörter zu nutzen und man sollte nicht das manuelle System für viele Passwörter benutzen, da dieses regelmäßig nicht die Anforderungen an die Passwortstärke erfüllt, die man in diesem Bereich hat.

a) Passwort rein gedanklich entwickeln

Zwei Möglichkeiten kenne ich, wie man sich ein starkes Passwort ausdenken kann. Erstens wäre da die Möglichkeit Satz und dann das Tastatur-Hüpfen.
Satz:
Das Satz-Passwort besteht genau aus dem, was ihm den Namen gibt: ein Satz. Noch sind Bruteforcing-Attacken nicht so weit ausgereift, dass längere Wortketten in angenehmer Zeitdauer geknackt werden würden. Zudem kann man durch ein paar leichte Tricks chaotische Element einbauen. Nach Möglichkeit enthält der Satz sowieso bereits Sonderzeichen und Zahlen: "Herbert erntet jedes Jahr, zur Herbstzeit, etwa 100 Äpfel von seinem Apfelbaum."
Dies soll nur ein einfaches Beispiel darstellen. Es beinhaltet bereits Groß- und Kleinschreibung, drei Sonderzeichen (,,.) und eine Zahl; außerdem ist es 80 Zeichen lang. Gängige Tipps besagen, dass ein starkes Passwort mindestens 30 Zeichen lang sein sollte. Es ist sehr leicht, sich einen kurzen Text zu überlegen, der auch unüblichere Zeichen enthält. Als Beispiel sei hier auf Gesetze verwiesen: "§ 90 BGB: Sachen im Sinne dieses Gesetzes sind nur körperliche Gegenstände." (78 Zeichen).
Die chaotischen Elemente sind hier relativ einfach einzubauen. Man könnte jedes Wort großschreiben oder Leerzeichen durch Zahlen ersetzen, die ihre Anzahl beschreiben ("Herbert1Erntet2Jedes3Jahr4..."). Auch sinnlose Zeichen mitten im Satz wären möglich (z.B. Ausrufezeichen nach jedem zweiten Wort: "Herbert Erntet!Jedes Jahr,!Zur Herbstzeit..."). Auch die Anführungszeichen, die ich hier verwendet habe, um ein Beispiel anzuzeigen, könnten übernommen werden!
Vorteilhaft ist hier auf jeden Fall, dass man sehr schnell auf große Zeichenanzahlen kommt. Als nachteilig hat sich nach persönlicher Erfahrung ergeben, dass gerade durch die lange Zeichenzahl und die chaotischen Elemente das Tippen relativ lange dauert und häufiger Tippfehler auftreten.
Tastatur-Hüpfen:
Alternativ gäbe es ein simples System, bei dem durch einen gewissen Rhythmus ein flüssiges Eintippen einstudiert werden kann.
Es geht zudem an dieser Stelle darum, ein Passwort zu entwickeln, welches eigentlich nur durch Bruteforcing ermittelt werden kann. Dies wird nur dadurch erreicht, dass das Passwort keinerlei logische Komponenten enthält. Also keine erkennbare Worte, keine wichtigen Zifferfolgen usw.
Die Unlogik sowie der Rhythmus in der Kette basieren auf logischen Schritten, die man auf der Tastatur vorangeht. Ich suche mir einen Startpunkt und bewege mich in definierten Schritten auf der Tastatur (ähnlich wie die Anweisungen auf der klischeehaften Schatzkarte: Gehe 100 Schritte nach Osten, 10 nach Norden, usw.). Am einfachsten ist dies an einem Beispiel erläutert: Ich starte meinen Pfad beim M, weil dies die Taste "unten rechts" auf der Tastatur ist (diese Festlegung habe ich völlig willkürlich getroffen; genauso könnte man auch ,. oder - als "außen rechts" definieren). Vom M gehe ich drei Schritte nach links und überspringe dabei jeweils eine Taste: mbcy. Vom Y gehe ich eine Reihe höher, nach außen und hüpfe vom dortigen Buchstaben (A) drei Schritte nach rechts, wobei ich zwei Tasten überspringe: mbcyafjö. Wieder nach oben und außen (Ö), zwei Schritte, drei Auslassungen: mbcyafjöpzw. Vom W nach oben und dieses Mal vier Schritte nach rechts, zwei Auslassungen: mbcyafjöpzw258ß. Um das Prozedere abzukürzen, ich gehe jetzt wieder nach unten (Ü), vier Schritte links, eine Auslassung (E), runter (S), drei Schritte rechts, zwei Auslassungen (Ä) und noch ein letztes Mal nach unten (-), vier Schritte links, keine Auslassung (N). Komplett habe ich nun folgendes Passwort: mbcyafjöpzw258ßüoutesgkä-.,mn. Ich habe jetzt 33 chaotische Zeichen. Um die Shift-Taste noch sinnvoll hinzuziehen, starte ich mit Shift gedrückt und halte es alle drei Tastenanschläge gedrückt: MbcYafJöpZw2%8ßÜouTesGkä_.,Mn. Dieses Passwort gleicht einem zufallsgenerierten ziemlich gut, trotzdem ist es relativ leicht einzutippen.
Dieses System hat zweifelsohne seine Nachteile: Abschließend will ich noch kurz erläutern, warum meine Schritte bzw. Hüpfer auf der Tastatur nicht so willkürlich sind, wie ihre Auswahl erscheinen mag. Ich bin einmal von unten nach oben und wieder unten gewandert. Dabei gelten die drei Buchstabenreihen und die Zahlenreihe. In einer Reihe habe ich an einer Außenseite angefangen und bin mit den Schritten soweit gewandert, wie die Reihe es zulässt. Nur die Schrittlänge ist zufällig gewählt (man könnte jedoch auch hier problemlos etwas wie "eine Auslassung, zwei Auslassungen, drei Auslassungen, zwei, eine" wählen, also zählen). Ich bin nicht stets bis zum möglichen Ende der Reihe gelaufen, sonst hätte z.B. nach dem E noch das Q folgen müssen. Dies ist so, weil ich einfach festgelegt habe, dass niemals mehr als vier Schritte in einer Reihe gemacht werden sollen.
Man sollte übrigens sein System nicht so wählen, dass man die Tasten stets ohne Auslassungen anschlägt! Gängige Bruteforcing-Attacken sehen bereits die Zeichenreihenfolgen der Tastatur (Beispielsweise "asdfg") in ihrem Abläufen als Testparameter vor.
Unbenommen von den voranstehenden Überlegungen sind selbstverständlich jegliche Profi-Systeme, die zum Erinnern genutzt werden (bekannt ist hier z.B. die "Geschichten"-Methode, bei der man sich eine Geschichte zu den zu merkenden Sachen ausdenken muss). Diese erfordern meistens jedoch viel Kopfarbeit, bis man sich einmal gemerkt hat, was zu merken war.

b) Manuelles Hilfsmittel: Password Card

Passwortkarten sind ein Hilfsmittel, um sich recht zufällige Passwörter zu merken. Es sind einfache Karten aus Pappe oder Plastik (teilweise im praktischen Checkkartenformat erhältlich) auf denen sich Raster mit Zufallszeichen befinden. Auf diesem Raster sucht man sich einen Startpunkt und folgt einem selbst definiertem Pfad. Solange der Pfad niemandem sonst bekannt ist, besteht kaum eine Chance, sebst unter Zuhilfenahme der Karte, das Passwort zu knacken.
Passwortkarten habe ich bewusst nicht unter "Viele Passwörter manuell erstellen" einsortiert, weil diese Möglichkeit dort nichts verloren hat. Man merkt sich nicht für jede Webseite einen eigenen Pfad auf der Karte und würde somit nur ein mageres Standardpasswort verwenden, welches nach einem Einbruch in die Datenbank nicht nur wertlos ist, sondern auch die o.g. Gefahren birgt. Allerdings ist es möglich, sich mehrere Passwörter auf einer Karte zu merken, indem man den Pfad auf verschiedene Zeilen anwendet. Teilweise bieten die u.g. Generatoren Hilfsmittel hierfür. Nichtsdestotrotz ist die Anzahl der Passwörter pro Karte endlich; schon das Behalten von zwei Pfaden ist relativ schwierig (vor allem wenn diese entsprechend lang gestaltet sind).
Passwortkarten bieten also den offensichtlichen Vorteil, dass man sich ebenfalls nur noch einen Pfad merken muss. Dieser Pfad kann wesentlich einfacher sein, als beim o.g. unlogischen System, da das Layout der Passwortkarte dem Bruteforcing-Programm nicht bekannt ist - im Gegensatz zum Tastaturlayout (also z.B. 5 nach rechts, 5 nach unten, 5 nach links usw.). Man muss sich natürlich darüber Gedanken machen, was bei Verlust der Karte geschehen muss. Theoretisch wäre es nun möglich, die Karte in ein Bruteforcing-Verfahren einzubinden und die möglichen Pfade durch einen Algorithmus mit steigender Komplexität abzutasten. Dies zu erschweren sollte ebenfalls (neben der Denkerleichterung) Aufgabe des Karten-Pfades sein; man erreicht bereits mit nur einer Lücke, d.h. einem Sprung, einen massiven Komplexitätsanstieg. Auch Kreuzungen fördern diesen Zweck.
Ein solches Verfahren ist zweifelsohne aufwändig und dieser Aufwand lohnt sich natürlich nur bei gezielten Angriffen. Personen, die derart gezielte Attacken nicht zu befürchten haben, müssen sich regelmäßig wenig Gedanken um verloren gegangene Karte machen. Um ganz sicher zu gehen, sollte das Passwort trotzdem geändert werden; der Aufwand ist mit einer neuen Karte sowieso minimal.
Diese Überlegungen führen gleich zu den offensichtlichen Nachteilen der Karte: sie kann verloren gehen oder beschädigt werden. Letzteres ist, was die Sicherheit anbelangt, kein Problem. Auf den Verlust der Karte sollte man wie erwähnt mit einem neuen Passwort reagieren. Beide Situation stellen mich jedoch vor ein ganz simples Problem: Ich muss das Passwort (wenigstens noch einmal, um es zu ändern) rekonstruieren können. Vier Verfahren sind denkbar, um für diesen Fall vorzusorgen: Der letzte Hinweis gilt der eigentlichen Handhabung der Karte. Nachdem man sich dezidierte Gedanken darüber gemacht hat, wie eine Kopie möglichst sicher aufzubewahren ist, sollte man nicht vergessen, das Original richtig zu behandeln. Es sollte immer bei sich geführt werden (also z.B. in der Brieftasche). Denn niemand macht sich die Mühe, eine Kopie zu entwenden, wenn das Original auf dem Schreibtisch liegt und schnell mit dem Handy fotografiert werden kann. Fotohandys bieten leider auch eine zusätzliche Angriffsmethode: Kopien müssen nicht gestohlen werden, sondern können abgelichtet werden. Wie bei der digitalen Kopie gibt es also keinen Verlust zu verzeichnen, was einen in der trügerischen Sicherheit wiegen könnte, alles sei in Ordnung. Kopien sind damit immer kritisch zu betrachten und sollten entsprechend sicher verwahrt werden.
Abschließend beispielhaft aufgeführt eine Webseite, auf der Passwortkarten zu erhalten sind (wie auch bei den digitalen Passwörtern gilt hier, dass man durch eigene Recherche weitere Anbieter finden kann).
Nach Oben

V. Hinweis zu Sonderzeichen

Dieses Kapitel habe ich ausgelagert, da dieser Hinweis an mehreren Stellen in den vorherigen Kapiteln wichtig ist. Ich empfehle bei allen Passwörtern, sofern es vom System her keine Einschränkungen gibt, die Verwendung von Sonderzeichen, da diese den Zeichensatz für Bruteforce-Attacken erweitern und zudem oft völlig sinnlos im Kontext des Passworts stehen, womit die Verwendung von Rainbowtables erschwert wird.
Sonderzeichen haben allerdings die missliche Eigenschaft, bei verschiedenen Tastaturlayouts an verschiedenen Positionen zu sitzen und abweichende Tastenkombinationen zu besitzen. Für Buchstaben und Zahlen gehen wir einfach davon aus, dass die meisten Rechner QWERTZ oder ein QWERTY-basiertes Layout16 verwenden, so dass sich ihre Position nicht ändert (Achtung bei Reisen in Richtung Westen, Frankreich und Belgien nutzen z.B. AZERTY17, auch sonst kann es minimale Unterschiede geben; von einem Worst Case wie vor Dvorak18 zu sitzen darf man sowieso nicht ausgehen). Was Sonderzeichen anbelangt, ist allerdings bereits der Unterschied zwischen QWERTZ und QWERTY gravierend; da im englischen QWERTY die Umlaute am rechten Buchstabenrand nicht benötigt werden (außerdem auch das ß), sind diese Tasten mit Sonderzeichen belegt. Dies führt dazu, dass kaum Übereinstimmungen zwischen beiden Systemen bestehen (von anderen Belegungen ganz zu schweigen).
Sollte man erwarten oder zu erwarten haben, dass man häufig seine Passwörter auf verschiedenen Tastaturlayouts tippen muss, bietet es sich an, auf Sonderzeichen zu verzichten (man muss eben in den sauren Apfel beißen). Alternativ könnte man sich aber noch den Alt-Code19 des Zeichen merken und dieses entsprechend mit Alt und dem Numpad eintippen (solange man nur mit Windows arbeitet). Sowieso erreicht man hierdurch einen riesigen Zeichensatz, der so selten genutzt wird, dass er in kaum einem Bruteforce-Tool verwendet werden wird. Hier sind einige Beispiele solcher Zeichen, die man nur selten zu Gesicht bekommt: ‰ Š † ‡ ž ♂. Auch hier gibt es Schattenseiten: Einige Leser werden vielleicht bemerken, dass die Zeichen bei ihnen nicht korrekt dargestellt werden. Zum Vergleich ist hier ein Screenshot der betreffenden Zeile:
Bild konnte nicht geladen werden!
Anzeigeprobleme sind Probleme im vorhandenen Zeichensatz des Rechners - dieser verfügt einfach nicht über die entsprechenden Zeichen. Dies kann auch dazu führen, dass Passwörter nicht richtig eingegeben werden können. Zumindest lassen sich aber die üblichen Sonderzeichen immer verwenden. Hier ist eine Liste der Kombinationen für die oberste Reihe auf QWERTZ (Shift + 1 bis Shift + ß):
Nach Oben