Das Passwortdilemma

Editorial des Email-Newsletters 4-2014 vom 06.05.2014

06.05.2014

 

Auf wie vielen Internetseiten, wo Sie ein Passwort eingeben müssen, sind Sie registriert? Bei mir kommen da schon einige zig zusammen. Für mehrere Banken, Verbände, Vereine,
zur Buchung von Reisen bei Fluggesellschaften, Mietwagenfirmen, Hotelreservierungssystemen, zum Online-Einkauf von Büchern, Technik oder Konzertkarten, bei Social Media, den Content Management Systemen für meine Themenportale, zum Datenaustausch mit dem Steuerberater etc.

Natürlich ist mir bewusst, wie sensibel und schützenswert Passwörter sind. Und ich kenne die einschlägigen Empfehlungen zur Passwortsicherheit. Etwa die des Bundesamtes für Sicherheit in der Informationstechnik. Das klingt alles schlüssig und plausibel, doch einmal ehrlich: Wer schafft es, das praktisch umzusetzen?

Ein Passwort sollte mindestens zwölf Zeichen lang sein, aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen. Damit man sich solche Passwörter merken kann, werden Eselsbrücken empfohlen.

Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den 2. oder letzten, etc.). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Beispielsweise: "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die 1. Buchstaben: "MsiaupmmZdMl". "i und l" sieht aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1". Selbstverständlich muss der Satz selbst ausgedacht sein, denn einen aus einem allseits bekannten Text zu nehmen zu nehmen (Grundgesetz, Faust etc.), wäre viel zu riskant.

Nun gibt es aber die weitere Empfehlung, keine einheitlichen Passwörter für verschiedene Zwecke zu verwenden. Das heißt, es gilt viele Esel über viele Brücken zu schicken. Nur: Welcher Esel muss über welche Brücke? Schickt man ihn dreimal über die falsche, dann wird in vielen Fällen der betreffende Account einfach gesperrt.

Und dann sollen Passwörter auch regelmäßig geändert werden. Das heißt, sich einmal im Quartal einen halben Vormittag hinsetzen und sich in all seine Accounts einloggen, um die Passwörter zu ändern. Das lässt sich auch nicht an die Sekretärin delegieren, denn Passwörter sind etwas Persönliches.

Einen Ausweg aus dem Dilemma versprechen Passwortsafes, in denen alle Passwörter verschlüsselt abgelegt werden und nur ein einziges Passwort benötigt wird, um den Safe zu öffnen. Nun benötige ich aber meine Passwörter nicht nur an meinem PC sondern auch auf dem Notebook, Tablett und Smartphone, auf unterschiedlichsten Betriebssystemen. Da nutzt mir ein lokaler Passwortsafe nichts, da hilft nur einer in der Cloud. Der Cloud alle Passwörter anvertrauen?

Weitergehende Sicherheitsverfahren wie Smartcard oder Biometrie taugen auch nur dann etwas, wenn sie auf allen Geräten unkompliziert einzusetzen sind. Wenn ich auf dem Bahnsteig mit dem Smartphone noch schnell einen Sitzplatz für den Zug reservieren will, dann kann ich dort im Stehen schlecht ein Smartcard-Lesegerät per USB anstöpseln.

Würde ich gefragt, was mir leichter fällt, ein praktikables Passwortmanagement nach all den gutgemeinten Empfehlungen zu realisieren oder einen Kreis zu quadrieren, ich würde mich spontan für den Kreis entscheiden.
Vielleicht kennen Sie ja die ultimative Passwort-Lösung. Dann lassen Sie uns diese doch bitte wissen.

Ihr Gerhard Schmidt