„Ihr Passwort sollte mindestens acht Zeichen lang sein und sowohl Groß- und Kleinbuchstaben sowie mindestens eine Zahl und ein Sonderzeichen enthalten. Vermeiden Sie Begriffe, die in einem Wörterbuch zu finden sind. Verwenden Sie bei zwei verschiedenen Diensten nicht das gleiche Passwort. Ändern Sie ihre Passwörter regelmäßig.“
Wir kennen diese gut gemeinten und richtigen Ratschläge zum Einrichten eines Online-Accounts. Und wir befolgen sie beim ersten, zweiten, dritten, vierten Account, den wir im Lauf der Jahre anlegen. Und spätestens beim fünften drehen wir durch. Denn wie viele Passwörter kann man sich ernsthaft nach der oben beschriebenen Art ausdenken und vor allem merken?
Na klar, wir benutzen Passwort-Manager oder Browser-Erweiterungen, die „sichere“ Passwörter generieren und alle von uns benutzten speichern können. Es gibt dann nur noch ein Master-Passwort, das Zugriff auf alle anderen gewährt. Tolle Sache, so lange man sich auf einem einzigen Rechner befindet, immer den gleichen Browser und nicht die Smartphone-Apps der betreffenden Dienste nutzt. Kann man mit wenigen Einschränkungen leben, ist ein Passwort-Manager eine gute Wahl, es sei denn, es geht euch wie mir: Ich möchte meine Passwörter ganz gerne im Kopf haben. Und habe mir deswegen eine eigene Passwort-Strategie zugelegt.
Bei dem ganzen berechtigten Wahnsinn rund um alle Sicherheitsthemen darf man nämlich ruhig ab und zu einen Realitätsabgleich machen und sich dabei fragen, wie verletzlich unsere Daten bei den einzelnen Diensten tatsächlich sind. Und wie hoch die Wahrscheinlichkeit ist, dass sich jemand für unser Passwort interessiert.
Ich habe dabei für mich selbst drei „Gefahrenstufen“ ausgemacht. Die erste Stufe ist die, bei der es erstens sehr unwahrscheinlich ist, dass Dritte Interesse an einem Zugang haben, und bei der es mir zweitens völlig schnuppe wäre, wenn jemand mein Konto „gehackt“ hätte. Eigentlich gehören dazu die meisten Accounts. Zum Beispiel Online-Dienste, die ich nur temporär ausprobiere, und die, bei denen weder Zahlungsdaten noch andere persönliche Informationen hinterlegt sind. To-Do-Listen, Online-Notizen, browserbasierte Grafikprogramme und andere Accounts ohne Community-Funktionen. Diese Tools haben bei mir alle das gleiche, einfache und recht kurze Passwort. Würde dieses in fremde Hände fallen, könnte genau gar nichts Schlimmes passieren. Weshalb ich mir um die Sicherheit nicht ganz so viele Gedanken mache.
Die zweite Stufe sind Dienste, bei denen es mich ärgern würde, wenn jemand Unfug damit triebe. Zum Beispiel, weil man mit dem Konto Teil einer Community ist, jemand also unter meinem Namen etwas veröffentlichen könnte. Twitter gehört dazu, Facebook auch. Ich fänd es zwar nicht toll, wenn Dritte meine privaten Nachrichten in diesen Kanälen lesen könnten. Da ich aber den Diensten in Sachen Sicherheit eh nicht vertraue, gibt es dort nichts, was ich als kritisch einstufen würde. Diese Dienste haben ein zweites Passwort bei mir, das den eingangs beschriebenen Richtlinien folgt, aber nicht besonders lang ist. Um die Dienste voneinander zu trennen und zu verhindern, dass jemand im Fall eines Hacks dieses Passworts auch Zugriff auf andere Accounts bekommt, wird das Passwort nach einem bestimmten System durch Dienst-bezogene Kürzel ergänzt.
Das könnte in der Praxis so aussehen: Angenommen, mein Passwort für die zweite Sicherheitsstufe wäre „EiD0ntL;k3IT“, eine verschrobene Version des Satzes „I don’t like it“. Bei Twitter könnte man „twi“ davor und „tter“ dahinter setzen und bei Facebook ähnlich verfahren. Die beiden so entstandenen Passwörter „twiEiD0ntL;k3ITtter“ und „facEiD0ntL;k3ITebook“ wären verhältnismäßig okay, im Kern muss man sich aber nur eins merken — und seine eigenes Zusatz-System entwickeln. In dieser Version könnte man sich das Kernpasswort sogar irgendwo notieren, im Beispiel würde der Satz „I don’t like it“ genügen, denn ein eigenes Chiffrierungssystem der Schreibweise (Null statt O etc.) vergisst man nicht so schnell.
Als dritte Sicherheitsstufe betrachte ich alle Accounts, bei denen Zahlungsdaten oder anderes Persönliches hinterlegt sind. Amazon. iCloud. E-Mail. Bei diesen Accounts verfahre ich im Grunde genauso wie bei Stufe zwei, aber mit einem weiteren, komplizierteren und längeren Passwort. Außerdem nutze ich bei diesen Accounts, wenn vorhanden, die Zwei-Wege-Authentifizierung (jeder Login muss mit einem via SMS empfangenen Code bestätigt werden).
Mit diesem System gibt es eigentlich nur drei Passwörter, die man sich merken muss. Jedes davon kann man recht leicht hin und wieder ändern (was man dann natürlich in allen Accounts der gleichen „Stufe“ tun muss) und wenn man sich wie oben beschrieben eigene Schreibweisen ausdenkt, kann man sich die zwei wichtigen Passwörter sogar öffentlich notieren. Das Ausdenken eines eigenen kleinen „Systems“ drumherum muss man einmal in Kauf nehmen, aber ich halte das insgesamt für eine relativ elegante Lösung, die so sicher sein dürfte wie Passwörter eben sicher sein können. Bei umfangreichen Angriffen auf ganze Systeme, die per se nicht sicher genug sind, hat man eh verloren. Da kann man sich noch so komplizierte Passwörter ausdenken.
Letzte Woche bei „Digital ist besser“: Jeder soll programmieren? Blödsinn
