/usr/home

just some random thoughts

Sichere Passörter - leicht gemacht

Warum das ganze?

In der letzten Zeit sind vermehrt Passwortdatenbanken von verschiedenen Webseiten im Internet aufgetaucht. Es ist also mit ein paar wenigen Passworten die man mehrmals auf verschiedenen Seiten verwendet nicht mehr getan, denn die wahrscheinlichkeit ist hoch, dass eine davon mal gehacked wird. Weil sich solche Passwortlisten dann in windeseile im Internet verbreiten, kann dieses Passwort als verbrannt betrachtet werden. Hast du es auf einer anderen Seite ebefalls verwendet wird es wahrscheinlich bei automaitiserten Angriffsversuchen auf andere Webseiten schnell wiedergefunden. Nun kann sich natürlich kein Mensch ein extra Passwort für jede Internetseit merken. Muss er auch gar nicht!

Wie kann ich es besser machen?

Du musst dir nur ein Basispasswort merken. Am besten geht das mit einem Satz, aus dem du ein Akronym bildest und dann einige Buchstaben durch ähnlich aussehende Sonderzeichen ersetzt:

Satz Akronym mit Sonderzeichen
Ich gehe jeden frische Fische im Supermarkt einkaufen IgjFiSe !gjF1S3

An dieses Basispaswort hängst du nun für jede Internetseite ein kürzel an: z.B. +e.d für ebay.de oder %ebay. Das sieht dann so aus: !gjF1S3+e.d. Übrigens: länger ist besser. Dafür darf dein Passwort dann auch weniger Sonderzeichen und Zahlen enthalten, ich empfehle dann aber schon mindestens 20 Zeichen.

Das ist doch mal ein Passwort!

Dabei Spielt es keine Rolle, was du anhängst, du musst es nur für jede Seite gleich machen, damit du dir dein System auch merken kannst. Nun könnte man natürlich sagen, dass wenn jemand dein Basispasswort kennt, er auch leicht alle deine anderen Passworte erraten kann. Ja, ein Mensch kann das. Ein Computer aber nicht und daher ist das ein relativ sicheres, dennoch aber leicht zu merkendes System. Denn ein Angreifer wird nur solange weitermachen, wie er genügend funktionierende Passwörter in relativ kurzer Zeit erraten kann. Dauert es zu lange, wird die Sache zu teuer (Stromverbrauch, Rechnerressourcen).

Passwortmanager

Wenn du ein Passwort nur sehr selten brauchst, dann kannst du es auch in einem Passwortmanager speichern: Dort hast du in verschlüsselter Form alle deine Passworte und kannst sie jederzeit nachsehen. Einige Passwortmanager können sich auch in deinen Webbrowser einhängen und die Benutzernamen und Passworte direkt für dich eingeben und auch mit deinem Smartphone oder Tablet abgleichen. Enpass ist z.B. so einer und kostet nur 5 € pro mobilem Gerät, für Computer ist er sogar kostenlos. Die Datei wird z.B. via Dropbox zwischen den Geräten ausgetascht. Das ist kein Problem, weil die Passwortdatei gut verschlüsselt ist und nur mit deinem Hauptpasswort auszulesen. Das sollte dann schon komplizierter sein, denn es schütz ja alle deine anderen Passwörter.

Zwei Faktor Authentifizierung

Um deine Accounts noch weiter abzusichern, hilft die Zwei Faktor Authentifizierung. Dabei wird nach dem Login noch ein Zahlencode abgefragt, der enteder per [SMS]{.caps}, E-Mail oder von einem bestimmten Programm (manche Passwortmanager können das) generiert wird. Ähnlich wie eine [TAN]{.caps} beim Online Banking. Ein Angreifer kennt also dein Passwort, aber er kann trotzdem nicht in deinem Namen handeln, da ihm der Zweite Faktor fehlt und er sich daher nicht komplett einloggen kann. Ob eine Webseite dieses Verfahren unterstütz, kannst du z.B. auf der Seite twofactorauth.org nachlesen. Apple, Goolge, Amazon, Facebook und Twitter sind zum Beispiel schon lange dabei!