Und täglich grüßt das Murmeltier: Das Passwort-Dilemma
Zuletzt aktualisiert am 25. Oktober 2016 um 19:13
In Anbetracht der weltweit beträchtlich hohen Nutzungsdauer auf unterschiedlichen Netzwerken sei salopp dahin gesagt: Ein Drittel der Zeit fällt auf das Zurücksetzen von Passwörtern, wiederholte Bestätigungen, wirklich man selbst zu sein und erneute Passwortangaben und Wiederbestätigungen. Und da wäre dann noch die Frage nach dem Namen des Haustieres, bevor ein Passwort überhaupt zurückgesetzt werden kann. Blöd, wenn man etwa nicht mehr weiß, ob man denn das Konto noch zu Zwergkaninchen-, Katzen- oder gar erst in der Hundezeit angelegt hat.
Da lobe ich mir Fragen nach dem Mädchennamen der eigenen Mutter oder dem eigenen Geburtsort. Diese sind nur leider in der standardisierten Auswahl nach der Frage der Frage, für den Fall des Falles, meist nicht vorgesehen. Gut: Noch schlimmer wären Auskünfte wie: Wie heißt dein Partner mit Vornamen? Welche Sportart übst du am liebsten aus? Was ist deine Lieblingsfarbe? Und so weiter.
Passwort-Wiederherstellung: Schlüsselerlebnisse aus dem Leben einer Internet-Nutzerin.
Besonders, wenn man als 76er Jahrgang nun doch schon einen erheblichen Zeitraum konstant auf diversen Online-Plattformen präsent ist, zig Online-Bestellungen aufgegeben hat und dennoch vielleicht einmal den Partner oder die Lieblingsfarbe gewechselt hat. Sport betreibt man vielleicht inzwischen gar keinen mehr.
Und dann wäre da noch die E-Mail-Adresse als User-ID
Super Sache für alle, die sich von Anfang an einen gmx- oder yahoo-Account mit einem Pseudonym wie strolchimaus@xxx.com zugelegt haben und zumeist beim Umstieg auf gmail auch noch eine Strolchimaus geblieben sind.
Was aber tun, wenn man nicht einen Job, sondern – da Medienbranche – innerhalb von 20 Jahren vielleicht mehrere (hundert?) Jobs auf dem CV-Buckel und über jeweils verschiedene Mail-Addys lustig Bestellungen etc. durchgeführt hat, weil es über die Office-Adresse einfach praktischer ist und Zeit spart…
Es handelt sich dabei um eine Zeit, die dir 20 Jahre später in zehnfacher Form wieder gestohlen wird. Schließlich will man doch auf sein altes Konto mit den Bonuspunkten wieder zugreifen können. Und dann das beliebte Procedere: „Nutzer-ID und Passwort stimmen nicht überein. Haben Sie Ihr Passwort vergessen?“
Fotos, die unser Jahrhundert prägten: Frau hat ihr Passwort vergessen und steht vor verschlossener Tür.
Verdammt, ich weiß nicht mal die damalige ID. Und geheiratet habe ich auch noch und ich habe nun mal immer reale Namen benutzt. Wäre ich doch auch eine Strolchimaus geworden, dann würde ich mir jetzt verdammt viel Zeit ersparen und könnte weiterhin meine Möbelhaus-Punkte einlösen, das Service für den Herd in Anspruch nehmen oder beim Sushi-Samurai meines Vertrauens die Gratislollen absahnen.
Jobs & Namen kommen und gehen, das Passwort bleibt
Mit dem Beginn der persönlichen Facebook-Ära im Jahr 2008 sollte alles ein Ende nehmen. Ein neues Passwort musste her und das wird von nun an für alles Zukünftige verwendet.
Guter Plan am Papier, schlechte Ausführung in der Praxis. Meine Wahl fiel auf ein 5-stelliges Passwort, das meines Erachtens sowohl kreativ, als auch undenkbar für Hackangriffe war, da es zu kryptisch schien, um erahnt werden zu können. Facebook mochte es auch, die Sicherheitsstufe war gut und ab sofort sollte das Problem nicht mehr bestehen.
Auch eine Möglichkeit: Das Passwort auf die eigene Hauswand sprayen. Sehr sicher, solange niemand weiß, dass es sich um ein Passwort handelt ;-)
Freilich waren da noch die Altlasten, aber dann mussten eben mit neu angelegten Konten mehr Möbelstücke gekauft werden, mehr roher Fisch bestellt werden und die Versicherung musste die Herdreparatur bezahlen. Hauptsache, das war’s jetzt. Ein Passwort, ein Leben, eine Identität. Und als ID benutzte man jetzt auch ein Synonym.
Astrice hieß das neue Zauberwort. Blöd nur, dass es auf Skype schon einen gleichnamigen Account gab. So musste ich auf Astricelli ausweichen. Okay, halt mal eine Ausnahme machen. Blöd aber auch, dass Passwörter manchmal aus mindestens sechs Zeichen bestehen müssen, gut, Ausnahme Nummer zwei war geboren. Noch blöder, dass Passwörter mindestens eine numerische Ziffer zu beinhalten hatten, Ausnahme Nummer drei kam zum Einsatz. So ging das dann weiter seit 2008.
Dann lernt man auch noch einen Geek kennen, der einem erklärt, dass man niemals nur ein Passwort verwenden darf. Argument klingt verständlich, sollte ein Hacker einmal das Passwort knacken, durchsucht er alle Portale, Foren, Netzwerke etc. damit. Klingt vernünftig, also was tun, Baby?
Finalmente: Die Lösung des Passwort-Problems
Ganz einfach, KeePass Password Safe zog ein, eine Software, bei der man lediglich jedes neue Passwort pro Registrierung einzutragen hat. KeePass ist ein freies, unter den Bedingungen der GNU General Public License (GPL) erhältliches Programm zur Kennwortverwaltung. Es verschlüsselt die gesamte Datenbank, welche auch Benutzernamen und Ähnliches enthalten kann.
Die Datenbank ist durch einen Hauptschlüssel („Master Key“) gesichert, ohne diesen lässt sich die Datenbank nicht entschlüsseln. Das Hauptkennwort („Master Password“) muss manuell eingegeben werden, und es kann eine Schlüsseldatei („Key File“) verwendet werden, die beispielsweise auf einem mobilen Laufwerk, wie USB-Stick oder CD, liegt.
KeePass 2.x unterstützt unter Windows zusätzlich eine Methode, einen geheimen Schlüssel des aktuellen Windows-Benutzers zu verwenden. Die Datenbank lässt sich damit nur öffnen, wenn der Benutzer mit dem richtigen Windows-Account angemeldet ist.
Wer alle Passwörter in eine Kiste sperrt, sollte tunlichst den Hauptschlüssel nicht verlegen.
Und hier begann mein neuerliches Dilemma. Zuerst alles brav in KeePass eingetragen, dann mal ein wenig nachlässig geworden und gedacht: Ach, das mach ich später! Zuerst muss noch dies & jenes erledigt werden. Vergessen, auch gut. Das eine braucht man ja nicht so oft. Darüber hervorragend geschlafen. Bei der nächsten Aufforderung eben eines dieser nicht eingetragenen Passwörter einzugeben habe ich mich wieder selbst an den Ohren gezogen und eine Zeit lang alles konsequent in KeyPass dokumentiert.
Nachdem ich es länger nicht mehr gebraucht habe, hatte ich leider ein kleines Problem: Ich wusste mein KeePass-Passwort nicht mehr, weil das musste ja ein komplizierteres sein laut besserer Hälfte. Mir war nur noch klar, dass es sich um eine Mischung aus diffusen Buchstaben- und Zahlencodes handelte, die ich mir irgendwo notiert hatte. Schließlich meinte mein Geek: „Jetzt brauchst du dir nur noch das eine Passwort merken, sonst nichts mehr!“
Der Rest der Geschichte ist bekannt: „Nutzer-ID und Passwort stimmen nicht überein. Haben Sie Ihr Passwort vergessen?“
Ausblick: Das Passwort-Monster zähmen
Meine letzte Hoffnung lag in einem c’t-Artikel, den ich zufällig am Klo entdeckt habe (ja, bei uns liegen mehr Computer-Magazine als Frauenmagazine auf der Toilette).
Finden Sie den Fehler in diesem Bild! Richtig, auf diesem WC liegen keine Computermagazine.
In der aktuellen Ausgabe 18/14 widmet sich die c’t diesem lästigen Thema und stellt neue vielversprechende Konzepte vor, die das Leben mit den Passwörtern erheblich erleichtern sollen.
So sorgt etwa der MasterPassword-Algorithmus dafür, dass man nur noch mit einem einzigen Passwort hantieren muss. Davon leitet er dann bei Bedarf weitere, sichere Passwörter für die verschiedenen Dienste ab. Anders als bei den klassischen Passwort-Managern werden dabei keine sensiblen Daten auf Rechner oder Smartphone gespeichert.
In dem Artikel sind alle Passwort-Manager, die durch besondere Funktionen aus der Masse herausstechen aufgelistet, darunter auch diverse Apps. Und wer seine Passwörter nicht digital verwalten möchte, der wird schließlich auch noch fündig: Ein Artikel widmet sich dem Passwort-Management mit nichts weiter als Zettel und Stift (auf den kein Trojaner zugreifen kann). Dazu findet man im Heft unter anderem eine Passwortkarte, mit der mühelos neue Kennwörter erzeugt und jederzeit rekonstruiert werden können. Auf 50 Prozent herunterkopiert passt sie exakt auf eine Kreditkarte. Und sowas findet man am stillen Örtchen! Bis auf weiteres euphorisch dachte ich dann: Ich will keine Experimente mehr. 20 Jahre Passwort-Dilemma, enough is enough!
Wem die Idee gefällt, sich einen der sicher sehr coolen Passwort-Manager zuzulegen, der sei auf folgende weiterführende Links aus dem c´t – Sonderthema verwiesen. Ich persönlich habe meine Lösung gefunden: Eine Pinnwand und lauter gelbe Post-its. So mag ich das, so funktioniert das jetzt auch und ich fühle mich so safe. Zumindest, was mein Leben in der virtuellen Welt betrifft, denn selbst meine Einbrecher sind in der Regel keine Hacker und nehmen Post-its mit!
Postit ist gut, ich verwende lastpass und warte auf den Tag an dem das gehackt wird bis dahin brauche ich mich (fast) nicht mehr um Passwörter kümmern. :-)
Andreas Ostheimer Ich hab auch schon lang Lastpass im Einsatz und dazu Keepass als „Backup“.