Ein Gastbeitrag von Heike Kurtz

Wir alle brauchen ständig Dutzende Passwörter, denn keine Anwendung kommt mehr ohne sie aus. Sie sollten mindestens 15 Zeichen lang sein, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten und irgendwie kryptisch sein. Außerdem sollen wir für jede Anwendung ein anderes nutzen, sie natürlich am besten alle im Kopf haben und außerdem regelmäßig ändern. Das schafft kein Mensch.

Die Realität: Das beliebteste Passwort in Deutschland ist seit Jahren „123456“, dicht gefolgt von „passwort“, viele Leute benutzen überall dasselbe Passwort und ändern es nie.

Das ist nicht nur für jede einzelne Person gefährlich (man denke nur an die Gefahr des Identitätsdiebstahls), sondern kann uns freiberuflich Tätige auch mit der DSGVO in Konflikt bringen, denn wir sind dafür verantwortlich, „technische und organisatorische Maßnahmen“ zu ergreifen, um die personenbezogenen Daten unserer Kundschaft sicher zu speichern und vor unbefugtem Zugriff zu schützen.

Schlau ist, wer die richtige Balance zwischen den zwei Extremen findet, und das ist kein Hexenwerk.

Geeignete Passwörter erstellen

Es gibt einige so genannte mnemotechnische Methoden, mit denen man selbst einigermaßen sichere Passwörter erstellen kann (Mnemonik = das Gedächtnis durch Hilfsmittel unterstützen). Im Klartext: man reimt sich etwas zusammen, das für Menschen logisch ist, das Maschinen durch Ausprobieren oder logische Algorithmen aber nicht so gut herausbekommen. Kreativschaffende wie wir sind hierbei klar im Vorteil. Du hast eine Lieblingszeile in Goethes Faust? Der zwanzigste Vers im Lied der Glocke war schon immer genial? Du kannst einen Dialog aus Star Wars auswendig? Super.

Da ergeben sich manche Möglichkeiten:

Wir denken uns einen Satz aus und verwenden von jedem Wort den ersten (oder zweiten oder dritten …) Buchstaben.
Meine Ur-Oma ist 1897 in Frankfurt an der Oder geboren und hatte 5 Kinder
Passwort: MUOi1897iFadO*uh5K

Wir schreiben ein Wort und eine Zahl ineinander.
Ur-Oma / 1897
Passwort: U1r-O8m9a7

Wir verwenden Dialektwörter, die nicht im Duden stehen, denn kein russischer oder amerikanischer Computer kennt normalerweise Oachkatzlschwoaf, Töggelichaschte, Breschtlengsgsälz oder Dibbelabbes.^[1] Da noch eine Zahl hineingebaut, z. B. die eigene Postleitzahl oder Telefonvorwahl, schon hat man ein super Passwort.

Ihr seid Sprachexperten, also lasst die Fantasie spielen! Man könnte auch den jeweils ersten Buchstaben der ersten 15 Seiten aus Tolkiens „Herr der Ringe“ oder den jeweils dritten Buchstaben der ersten 20 Wörter aus dem Gedicht vom Erlkönig nehmen – Hauptsache, es ist etwas, das der menschlichen Fantasie logisch erscheint, einem Computer aber nicht.

Aber wie merke ich mir denn den ganzen Mist?

Das ist das eigentliche Problem bei der Sache. Man soll ja für jeden einzelnen Einsatz ein anderes Passwort verwenden, und so spaßig das Ausdenken nach den oben beschriebenen Methoden auch sein kann, steht man dann unter Umständen da und weiß nicht mehr: komme ich ins Onlinebanking jetzt mit der Urgroßmutter, dem Äbiradurchanandr oder mit Schiller?

Eines vorab: Die „speichern Sie ihre Passwörter“ Funktion der meisten Browser ist zwar bequem, aber im Fall sensibler Seiten nicht zu empfehlen, denn auch diese „Passwort-Tresore“ kann man hacken. Sowas also am besten nur für unwichtige Seiten nutzen und regelmäßig prüfen, ob es irgendwo Datenlecks gab, von denen man betroffen ist (z. B. unter https://haveibeenpwned.com/)

Auch zum Speichern von Passwörtern gibt es mehrere Möglichkeiten.

Old School: Das Heftchen

Ich kenne jemanden, der in seiner Schreibtischschublade ein Vokabelheftchen eingeschlossen hat, in dem alle Passwörter notiert sind. Jede neue Anwendung, die eines benötigt, bekommt eine eigene Seite, sodass man bei Passwortänderungen genügend Platz zum Notieren hat.

Vorteil: Kein Hacker kann durch die Leitung kriechen und in die Schreibtischschublade schauen.

Nachteil: Man muss die Passwörter jedes Mal aufs Neue eintippen, man hat das Heftchen unterwegs nicht dabei.

Außerdem könnten potenzielle Einbrecher an das Heft gelangen. Allerdings interessieren die sich normalerweise nicht für irgendwelche Heftchen mit handschriftlichen Eintragungen, und wenn man bemerkt, dass eingebrochen wurde, muss man eben zügig zumindest die wichtigsten Passwörter ändern.

Insidertipp

Einer meiner Bekannten, der in der IT tätig ist, vergibt inzwischen nur noch Passwörter für sehr wichtige Seiten wie z. B. das Onlinebanking. Bei allen anderen (Onlineshops o. ä.) klickt er immer dann, wenn er sie benötigt, konsequent auf „Passwort vergessen“, vergibt dann schnell ein Neues, das er sich genau für diese eine Sitzung per Strg. + C in den Zwischenspeicher lädt, und vergisst es dann wieder.

Passwortmanager können helfen

Eine relativ bequeme Lösung sind Passwortmanager – Softwareprogramme, die man mit einem zentralen, möglichst langen und komplizierten Passwort sichert (siehe oben), und die – einmal „aufgeschlossen“ – sämtliche anderen Passwörter enthalten.

Vorteil: Man muss sich nur noch dieses eine Passwort merken.

Nachteil: Man weiß die anderen Passwörter nach einer gewissen Zeit wirklich nicht mehr, und die gespeicherte Passwort-Datenbank ist natürlich auch ein potenzielles Sicherheitsrisiko.

Der Computerverlag heise.de hat im Februar 2021 Passwortmanager für PC und Smartphone getestet und die Ergebnisse in einem sehr interessanten Artikel zusammengefasst, den ich sehr empfehle.

Aber das Wichtigste ist, sich des Problems bewusst zu sein und zumindest keine Faulenzerpasswörter zu verwenden. Ein wenig Sorgfalt kann man von professionellen Computernutzenden wie uns durchaus erwarten, und ich persönlich würde „12345“ als grob fahrlässig einstufen.

—

[1] Eichhörnchenschweif (bayrisch), Tischkicker (Schweiz), Erdbeermarmelade (schwäbisch), typisches Kartoffelgericht aus dem Saarland