Jenseits der Regenbogen-Tabelle

5952952920_7465ff3307_o

Wissensarbeiter müssen im digitalen Alltag den Überblick über eine Vielzahl an unterschiedlichen Passwörtern behalten. Diese sollten aus Sicherheitsgründen möglichst lang sein. Der Beitrag zeigt, dass man kein Gedächtniskünstler sein muss, um dieses Problem zu lösen.

Kurze Passwörter sind leicht zu merken. Sie sind aber praktisch nutzlos, denn versierte Angreifer können sie mit Hilfe von so genannten Regenbogen-Tabellen in wenigen Minuten knacken. Wer lange Passwörter oder auch Passphrases verwendet, ist gegen solche Angriffe sehr gut geschützt. Ich habe im letzten Beitrag beschrieben, wie man mit der Diceware-Methode rein zufällige, lange und damit sichere Passphrases erzeugt, die man sich leicht einprägen kann.

Sich für jeden Online-Dienst eine andere Passphrase zu merken ist aber ebenfalls zu kompliziert. Manche Nutzer speichern ihre Passwörter aus diesem Grund in Textdateien, die Sie unverschlüsselt auf ihrem Computer ablegen. Das ist, gelinde gesagt, ziemlich riskant. Wenn eine solche Datei aus irgendeinem Grund in die falschen Hände gerät, stehen sofort alle Türen offen. Genau das ist beim katastrophalen Sony-Hack passiert. Die Eindringlinge fanden auf einem Server, zu dem sie sich Zugang verschafft hatten, eine unverschlüsselte Datei mit dem Namen passwords.doc. Man darf annehmen, dass sie sich in die Arme fielen und vor Freude weinten, als sie die Datei entdeckten.

Wer Angreifern diese Freude nicht machen will, sollte mit einem so genannten Passwort-Manager arbeiten. Passwort-Manager sind Programme, die in der Lage sind, starke Passwörter…

  • … in beliebiger Länge zu erzeugen.
  • … in einer stark verschlüsselten Datenbank zu speichern.
  • … automatisch oder durch wenige Mausklicks des Nutzers in Anmeldefenster einzufügen.

Ich selbst habe ca. ein Jahr lang den kommerziellen Cloud-basierten Service LastPass genutzt und war sehr zufrieden. Inzwischen bevorzuge ich aber das Open Source-Programm keepass, das wie LastPass für alle gängigen Plattformen verfügbar ist.

Egal, ob Du Dich für LastPass, keepass oder ein anderes Programm entscheidest: Die Passwort-Datenbank, die Du erzeugst, ist wie ein Tresor, in dem Du all Deine digitalen Schlüssel aufbewahren kannst. Daraus folgt, dass ein paar wichtige Regeln zu beachten sind:

  • Sorge dafür, dass Du den Tresor nicht verlierst, indem Du ihn regelmäßig auf verschiedenen Speichermedien an verschiedenen Orten sicherst (erfahre mehr über Backups). Bei LastPass musst Du Dich nicht um Backups kümmern, weil der Tresor auf den Servern des Anbieters gespeichert ist.
  • Benutze für den Tresor einen starken Schlüssel. Ich empfehle eine mit der Diceware-Methode erzeugte Passphrase (erfahre mehr).
  • Präge Dir die Passphrase sehr gut ein. Notiere sie keinesfalls unverschlüsselt auf Deinem Rechner, eventuell aber an einem nur Dir zugänglichen Ort auf Papier (nein, die Unterseite Deiner Tastatur ist kein solcher Ort).

Fange also am besten noch heute damit an, Deine unsicheren Passwörter durch neue, sichere zu ersetzen.

  1. Installiere einen Passwort-Manager.
  2. Lege eine Datenbank an und schütze sie mit einer Passphrase, die Du mit der Diceware-Methode erzeugst.
  3. Ändere mit Hilfe des Passwort-Managers das Passwort bei einem Online-Dienst, den Du häufig nutzt.
  4. Benutze in den nächsten 2-3 Wochen ausschließlich den Passwort-Manager, um Dich in diesen Dienst einzuloggen. Mache Dich so mit seinen Funktionen vertraut.
  5. Ändere dann nach und nach auch die Passwörter bei anderen Online-Diensten. Aktiviere wenn möglich bei dieser Gelegenheit immer auch die 2-Schritt-Authentifizierung (erfahre mehr).
  6. Den Passwort-Manager Deines Browsers solltest Du für die neuen Passwörter nicht mehr verwenden und am besten komplett deaktivieren.

Wie verwaltest Du Deine Passwörter? Hinterlass einen Kommentar!

Bildnachweis: Rainbow at Oregon Raceway Park, Grass Valley, OR by Curt Smith on flickr.com (creative commons-Lizenz, bestimmte Rechte vorbehalten: CC BY 2.0)

Hat Dir der Beitrag gefallen? Empfiehl ihn weiter! Einfach einen der unten eingeblendeten Buttons anklicken. Danke!

Dieser Text ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

Creative Commons Lizenzvertrag

19 Gedanken zu “Jenseits der Regenbogen-Tabelle

  1. Hallo Jochen,
    man sollte sich überlegen, ob man allein für sein Haupt-Mailkonto nicht noch ein separates Passwort verwendet – wenn die Passphrase oder die Datenbank vom Passwort-Manager doch mal verloren gehen oder in falsche Hände geraten*, kann man damit ja meist die Passwörter der meisten anderen Accounts zurücksetzen. Sollte natürlich aus genau diesem Grund auch ein langes und zufälliges Passwort sein.
    * Murphys Gesetz 🙂

  2. Hallo Christina, Danke für Deinen Kommentar! Ja, das Problem des Account-Lockouts muss man natürlich ernst nehmen. Mein E-Mail-Passwort kenne ich nicht mehr, das habe ich mit KeePass erzeugt und dort gespeichert. Ich kenne eigentlich nur noch zwei Passphrases auswendig, die ich oft von Hand eingeben muss: Die Login-Passphrase für meinen Rechner und die Master-Passphrase für die KeePass-Datenbank (beide mit der Diceware-Methode erzeugt und > 25 Zeichen). Von der KeePass-Datenbank mache ich natürlich regelmäßig backups. So fühle ich mich vor ungebetenen Gästen, aber auch vor dem Lockout gut geschützt.

  3. Pingback: Adventskalender |
  4. Hallo Jochen, heute bin ich zufällig auf deine Seite gestoßen, gefällt mir, gute Tipps, danke! Ich hebe Cliqz heruntergeladen und bin seit Tagen auch sehr zufrieden damit (Vollbrowser). Nun funktioniert Lastpass jedoch nicht über diesen Browser, fällt dir dazu etwas ein? Danke für eine Antwort, Mako

    1. Hallo Mako, Danke, das freut mich! Was Deine Frage angeht: Da müsstest Du mal direkt bei Cliqz nachfragen. Falls sich LastPass nicht direkt in diesen Firefox-Ableger integrieren lässt, würde ich an Deiner Stelle den normalen Firefox-Browser verwenden und die Cliqz- und LastPass-Erweiterung installieren. Andere Option: Statt LastPass KeePass verwenden, dann brauchst Du die LastPass-Erweiterung nicht und kann weiter mit dem Cliqz-Vollbrowser arbeiten. KeePass ist zwar insgesamt etwas weniger komfortabel in der Benutzung als LastPass, aber dafür Open Source und Du hast die volle Kontrolle über Deine Daten.

Schreibe einen Kommentar zu Jochen Plikat Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert