Passwörter

Vorweg zwei unangenehme Fakten zu Passwörtern:

Passwörter, die leicht zu merken sind, sind auch leicht zu knacken.

Praktisch alle Methoden, die das menschliche Gehirn verwendet, um sich Passwörter besser merken zu können, können Computer nachbilden und durch automatisiertes Ausprobieren knacken.

Die Benutzung eines Passwortes für mehrere Dienste ist eine schlechte Idee.

Ist das Passwort noch so kompliziert, wenn man das gleiche Passwort für verschiedene Dienste verwendet, und einer dieser Dienste gehackt wird, steht das Tor zu den anderen Diensten offen.

Zu dem Thema gibt es viel zu erzählen, ein guter Einstieg ist dieses Video von Alexander Lehmann:

Wer tiefer in die Materie einsteigen will, dem sei diese Episode von Chaosradio empfohlen.

XKCD - password strength
Lange Passworte sind sicher klar im Vorteil, allerdings könnte dieses mit Hilfe von eines Wörterbuches weit schneller erraten werden, weil dann nicht alle einzelnen Buchstabenkombinationen ausprobiert werden müssen.

Allerdings: Auch mit der von Alexander Lehmann beschriebenen Methode kann ich mir nicht alle Passwörter merken, die ich so brauche. Gerade wenn man beruflich mit Computern zu tun hat, steigt die Zahl der Accounts bei verschiedenen Diensten und Systemen rapide an. Um dem Problem Herr zu werden, könnte man sich ein Notizbüchlein zulegen (aus Papier!), in dem alle Passwörter aufgeschrieben werden. Das ist zwar sehr sicher, aber nicht besonders komfortabel, außerdem kann es immer noch geklaut werden oder verloren gehen.

Ich halte sogenannte Passwortsafes für die beste Lösung: eine kleines Programm öffnet und verwaltet einen Passwortcontainer. In der Containerdatei sind Benutzernamen, Passwörter und weitere Informationen verschlüsselt gespeichert, und werden beim Öffnen der Datei mit einem Masterpasswort entschlüsselt.

KeePass

Da so ein Passwortsafe eine sicherheitskritische Anwendung ist, habe ich mich für KeePass entschieden, da  bei dieser Open-Source-Anwendung eventuelle Schwachstellen und Hintertüren von der Programmierergemeinschaft leicht entdeckt werden können. Auch ansonsten bin ich rundum zufrieden: KeePass speichert meine Passwörter, generiert neue per Zufall und kann sie bei Bedarf auch automatisch eintragen. Besonders erfreulich: Es gibt das Programm auch in der Portable-Apps-Verison, für Android und auch für Debian-Linux. Sollen die Passwörtercontainer auf Windows- und Linux-Rechner genutzt werden, sollte man (unter Windows) zur 2.x-Version greifen, damit die Container kompatibel sind.

Da die Datei mit dem Passwort-Container verschlüsselt ist, könnte man sie sogar über die einen Dienst wie Dropbox über seine gesammelten Endgeräte verteilen, und hätte sie in der Cloud gleichzeitig vor heimischem Datenverlust geschützt. „Gehimdienstsicher“ ist diese Methode aber wohl nicht unbedingt.