Sichere und merkbare Passwörter: x!FdD´Px3+UWG8.a

Geknackte SSL-Verbindungen erinnern uns daran: Ein Passwort muss sicher sein. Und man sollte es sich merken können. Wie geht das zusammen?

Und was ist das jetzt wieder für ein umständliches Passwort? Tabelle: taz

Chefredaktion taugt nicht. Auch nicht in den Varianten ChEfRedàKt10n oder 3hEFréD1kt9oN. Chefredaktion taugt nicht, weil ein gutes Passwort mindestens 15, besser noch 16 Zeichen haben soll, die sich zufällig aus groß und klein geschriebenen Buchstaben, Ziffern und Sonderzeichen mischen.

Ein gutes (im Sinne von sicheres) Passwort ist x!FdD´Px3+UWG8.a oder o´FnXE.;h2XJ0P8U bzw. keins von beiden, weil sie hier schon publiziert wurden und damit verbrannt sind. Jeder Passwort-Generator, der auf 16 Stellen ausgerichtet ist, kann passende Antworten geben.

Das Problem an x!FdD´Px3+UWG8.a und o´FnXE.;h2XJ0P8U ist: Das können wir uns nicht merken. Zumindest dann nicht, wenn wir dem Rat von Fachleuten folgen, die sagen, dass alle wichtigen Accounts wie E-Mail, Online-Banking, digitales Shopping etc. mit je einem eigenen Passwort gesichert sein sollten.

Mit Mühe ließe sich x!FdD´Px3+UWG8.a als generelles Passwort lernen, nicht aber auch noch o´FnXE.;h2XJ0P8U und WzIRE"GpyGWubN?h. Was heißt schon wichtige Accounts? Der eine steckt viel Liebe und Fleiß in den eigenen Facebook-Auftritt, die andere kann ohne drei Stunden „Everquest“ am Tag nicht leben.

12345678 und qwertzu

Und nun? Alles im Passwort-Manager des Rechners speichern? Eher nicht. Das ist, als legte man einem Taschendieb im Portemonnaie auch gleich noch eine Tan-Liste, den Fahrzeugbrief und einen Zweitschlüssel für die Wohnung als Service bereit. Kehren wir in den Blütezeiten der Digitalisierung zur Zettelwirtschaft zurück? Das kann machen, wer niemals Zettel verliert oder verlegt und sie stets so aufbewahrt, dass sie tatsächlich immer parat sind. Sicherheit kommt dort an ihre Grenzen, wo das Gedächtnis dem Menschen sagt: Was mir nicht dient, bringt nichts.

Jedes Jahr veröffentlichen Sicherheitsdienstleister Listen mit den größten Passwortdämlichkeiten. In der englischsprachigen Welt heißt ein häufig verwendetes Passwort dann „Password“, in Deutschland „Passwort“. Auch naheliegende Tastaturkombinationen wie qwertzu und 12345678 sind beliebt, ebenso die Namen von Popstars und Fußballvereinen.

Digital Viertelgebildete lachen über solche Listen und jene User, die solche Passwörter verwenden. Sie selbst fühlen sich sicher, weil sie glauben, auf ihr uztrewq und 87654321 komme niemand. Darüber wiederum schütten digital Halbgebildete viel Häme aus. Ihre Kombination aus Merkbarkeit und Sicherheit besteht in Worten aus dem persönlichen oder beruflichen Kontext, die mit Ziffern und Sonderzeichen aufgepimpt werden: aus Chefredaktion wird ChEfRedàKt10n.

Aus lukpssulzm wird ?lUkpSsUlZm14%

Digital Dreiviertelgebildete schmunzeln auch darüber. Sie wissen: Das eine Passwort gibt es nicht. Es gibt nur viele Passwörter, die in einem unregelmäßigen Abstand auch noch gewechselt werden. Als Basis kann beispielsweise dieser Satz dienen: „Lange und komplizierte Passwörter sind sicherer und leichter zu merken“. Aus den einzelnen Wortanfängen wird erst „lukpssulzm“, dann folgt die eingearbeitete Groß-/Kleinschreibung mit „lUkpSsUlZm“, weiterhin werden Ziffern eingefügt, die für einen selbst Sinn ergeben (Geburtsjahr der Mutter; Alter, in dem ich den ersten Joint rauchte; das Jahr, in dem mein Fußballverein sein letztes Spiel gewann) wie in „lUkpSsUlZm04“, schließlich folgen Sonderzeichen, so dass am Ende „?lUkpSsUlZm14%“ steht.

Für unterschiedliche Passwörter muss jede und jeder sein eigenes System finden. Anders geht es nicht. Um beim Beispielsatz „Lange und komplizierte Passwörter sind sicherer und leichter zu merken“ und seiner Abkürzung „lukpssulzm“ zu bleiben: Beim Online-Banking-Passwort wird dann nur die Groß-/Kleinschreibung alle ein/zwei/drei Monate variiert, zuerst werden die ersten beiden Buchstaben in Versalien geschrieben, dann die nächsten beiden usw. Ziffern und Sonderzeichen bleiben gleich.

Bei weiteren Passwörtern bleibt die Groß-/Kleinschreibung gleich, und nur die Ziffern werden verändert. Bei Facebook beispielsweise rücken alle drei Monate die Zahlen um je zwei Positionen von hinten auf oder aber die Ziffern werden nach einem bestimmten System ausgetauscht – von 50 aufwärts um je 3 Ziffern, von 500 abwärts um je vier Ziffern usw. Weitere Accounts werden allein von einer sinnvollen, für den Nutzer und die Nutzerin einfach nachvollziehbaren Änderung der Sonderzeichen geschützt, Groß-/Kleinschreibung und Ziffern bleiben gleich. Da sind Fantasie und Logik gleichermaßen gefragt, statische Systeme verbieten sich auf dieser Ebene von selbst.

16stellige Zufallskombinationen samt Mehrfaktorautorisierung

Digital Ganzgebildete runzeln über die Mühen der digital Dreiviertelgebildeten die Stirn. Sie wissen: Sicherheit gibt auch dieses Verfahren nicht. Ein Algorithmus, der darauf angesetzt wird, ein Passwort zu knacken, dessen Kern etwas anderes als reiner Zufall ist – und der Satz „Lange und komplizierte Passwörter sind sicherer und leichter zu merken“ samt seiner Abkürzungen und Verfremdungen ist ja eben kein Zufall –, wird es auch knacken. Die Frage dabei ist nicht ob, sondern wann. Dem entgegengesetzt werden 16stellige Zufallskombinationen, am besten versehen mit einer sogenannten Mehrfaktorautorisierung.

Das bedeutet, das lange Zufallspasswörter noch einmal anders bestätigt bzw. ergänzt werden müssen. Bei der Passwortabfrage wird eine verschlüsselte E-Mail mit einem Code an ein anderes Gerät verschickt, dieser Code wiederum kann nur per SMS bestätigt werden. Den meisten Nutzern ist das mTan-Verfahren bei elektronischen Banküberweisungen bekannt, auch hier dient ein anderes Gerät der Authentifizierung.

Ebenso können biometrische Merkmale wie Fingerabdruck- oder Irisscan zur Anwendung kommen. Denkbar für die Mehrfaktorautorisierung sind zudem komplexe körperliche Merkmale wie DNS-Informationen. Und ebenso denkbar ist, dass damit aus mittelgroßen Problemen des Datenschutzes riesige Probleme werden.

Der Unterschied von Wahrscheinlichkeit und Sicherheit

Absolute Sicherheit von Passwörtern geht auf Kosten der Merkbarkeit und umgekehrt. Eine Lösung, die beiden Aspekten gerecht wird, ist nicht in Sicht. Man mag sich in der Sicherheit wiegen, die Wahrscheinlichkeit, dass jemand einen Algorithmus ausgerechnet auf mein Passwort(-System) ansetzt, sei im Vergleich zu Angriffen auf die IT-Systeme der Deutschen Bank, des Europäischen Parlaments oder einer Rüstungsfirma gering. Wahrscheinlichkeit ist gut, endgültige Sicherheit sieht anders aus.

Ein großer Vorteil der digitalen Welt bestand bislang darin, das Leben der Menschen einfacher zu machen. Die nicht einfache Antwort auf die einfache Frage, wie ein Passwort zugleich sicher und merkbar sein kann, zeigt: Der Vorteil schwindet. NSA, GCHQ und Verfassungsschutz, die nach eigenem Bekunden angetreten sind, das Leben der Menschen sicherer zu machen, machen es im Alltag unsicherer. Und schwieriger.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.