Das Kreuz mit dem Passwort - Was gilt es, zu beachten?

Das Kreuz mit dem Passwort - Was gilt es, zu beachten?
Früher reichten zwei Passwörter, eines für den Internetzugang über eine Telefonnummer, eines für das E-Mail-Konto. Dann kam da ein Chat und hier ein Benutzerkonto und bevor das vergangene Jahrtausend vorbei war, waren es schon ein, zwei Dutzend Passwörter. Und heute? Die genannten, dann noch für die Cloud, Online-Bezahldienste und so weiter und so fort. Es ist ein Kreuz mit den Passwörtern.

Die Anforderungen an ein sicheres Passwort sind klar. Kein Wort, das so im Duden steht sollte es sein, am besten Groß- und Kleinschreibung enthalten, die eine oder andere Ziffer und im Idealfall noch ein Sonderzeichen. Oder besser zwei. Wer kann sich das alles merken?

Kleine Dramen spielen sich regelmäßig ab, immer wieder wenden sich User an uns, die Prophoto, und brauchen Hilfe, weil sie beispielsweise Ihre Fotos mit der netten App „Private Photo Vault“ auf ihrem iPhone verschlüsselt haben. Das ist noch eine vergleichsweise einfach Verschlüsselung, aber wenn das Passwort weg ist, dann ist hier guter Rat teuer. Die einzige Rettung gibt es, indem die Schritte auf der Hilfe-Seite des Herausgebers der App umgesetzt werden. Und das heißt achtmal ein falsches Passwort eingeben und dann wird ein neues Passwort an die hinterlegte E-Mail-Adresse geschickt. Wer dann bei der Einrichtung geschlafen hat und dem Hinweis, man möge unbedingt eine funktionierende Mail-Adresse eingeben, nicht ausreichend Beachtung geschenkt hat, der schaut in die Röhre. Denn selbst mit der Brute-Force-Methode, dem Ausprobieren von Passwörtern, geht’s hier nicht wirklich weiter. Zum einen verweigert die App irgendwann die Annahme neuer Passwort-Vorschläge, zum anderen muss man schon tiefere Kenntnisse von Kryptographie und Programmierung haben, wenn man hinterher die Bilder per Hand wieder entschlüsseln will. In dem Fall hat der User verloren.

Also doch überall einige wenige Passwörter einsetzen und hoffen, dass man immer mit drei Versuchen zum Ziel kommt? Keine gute Idee, denn die Erfahrung hat gezeigt, dass Passwörter und die mit ihnen verbundenen Benutzerkonten beliebte Ziele von Hackern sind und lohnende obendrein. So gelingt es Hackern immer wieder, auf einzelne Server einzudringen und dort Kombinationen aus Mail-Adressen und Passwörtern zu stehlen. Die machen dann die Runde und werden bei anderen Diensten ausprobiert. Was das heißt, kann man sich leicht ausrechnen. Die Schäden sind immens, materielle Schäden durch betrügerische Handlungen auf der einen Seite, aber auch immaterielle Schäden, wenn Archive gelöscht, Benutzerkonten zweckentfremdet werden. Sicherheit geht also vor.

Die Liste untauglicher Möglichkeiten, um den Überblick über einen Wust aus Passwörtern zu behalten, ist lang. Man könnte sie sich ja selbst zumailen und dann die Mails ablegen. Problem eins: Die Mail verlässt den heimischen Computer, man muss also schon einmal seine Mails verschlüsseln. Denn auch wenn deutsche Mail-Anbieter nach dem Bekanntwerden der NSA-Aktivitäten auf verschlüsselte Verbindungen umgestellt haben, das ist nichts als ein Feigenblatt. Denn die verschlüsselte Verbindung besagt nur, dass der Weg der Mail zum Server verschlüsselt ist. Der Nachbar kann also nicht so einfach mitlesen. Aber jeder, der Mails zwischen zwei Servern abfängt oder Zugang zu einem Mail-Server hat, kann die Mails trotzdem lesen. Abhilfe würde nur eine End-to-End-Verschlüsselung mit PGP (Pretty Good Privacy) schaffen. Problem zwei: Die Passwörter liegen alle gesammelt auf dem Computer. Einmal einen Trojaner eingefangen und der Angreifer hat wirklich alles auf dem Silbertablett. Problem drei: Jeder, der den Computer mit benutzt, hat ebenfalls Zugriff auf die Passwörter.

Die nächste Möglichkeit wäre, seine Passwörter per Hand zu notieren und so aufzubewahren. Prinzipiell eine gute Idee, allerdings sollte die Liste dann im Idealfall in einem Safe liegen. Das ist natürlich wenig praktikabel, wer mal eben auf seine Cloud zugreifen will, will ja vielleicht nicht seitenweise Passwörter herauskramen. Und unterwegs? Mitnehmen will diese Listen ja wohl auch niemand. Auch nicht das Gelbe vom Ei, wiewohl die Sicherheitsbedenken hier schon einmal geringer sind.

Bleiben nur noch Passwort-Sammel-Dienste. Apples Keychain kann das, da werden Passwörter auch gleich für verschiedene Geräte zur Verfügung gestellt. Sicher ist das natürlich nur, wenn für die iCloud ein wirklich sicheres Passwort eingesetzt wird. Außerdem sollte unbedingt die angebotene Zwei-Wege-Authentifizierung genutzt werden. Wie bei Apple wird das auch von anderen Diensten wie Google angeboten. Dabei wird jedes Mal, wenn von einem neuen Computer aus auf das Konto zugegriffen wird, ein Zugangscode an eine vorher eingestellte Handy-Nummer gesendet. Und keine Angst vor verlorenen Handys: Man kann fast bei allen Diensten auch eine weitere Telefonnummer für einen entsprechenden Anruf hinterlegen. Diese Methode erscheint derzeit mit am sichersten. Wer der Apple-Cloud nicht traut oder Windows benutzt, kann auf entsprechende andere Anbieter zurückgreifen. Als Beispiele gibt es 1Password (https://agilebits.com/onepassword), Kebab (http://keepass.info/), Dashlane (https://www.dashlane.com/) oder LastPass (https://lastpass.com/).

Bliebe noch der Code für das Online-Backup, 448 Bit stark, Blowfish-Verschlüsselung und bisher noch nie geknackt. Da freuen Sie sich, wenn Ihr Anbieter so eine starke Verschlüsselung bietet, die NSA freut sich auch, denn diese Daten kann sie bislang ebenso wie PGP für E-Mails nicht knacken, wie wir aus Edward Snowden, Dokumenten wissen. Aber eine unknackbare Verschlüsselung bedarf auch besonderer Sicherheitsvorkehrungen. Zum Beispiel sollten Sie den Code keinesfalls per Mail verschicken. Er ist der Zugang zu allen Ihren Daten. Drucken Sie ihn aus und bewahren Sie ihn sicher auf. Bedenken Sie, dass Sie ein Offsite-Backup außerhalb Ihres Hauses haben für den Fall, dass ihr Büro abbrennt. Lagern Sie den Code also auswärts. Als Ausdruck in einem Bankschließfach, bei Ihren Eltern beim Familienstammbuch oder sonst an einen Ort, wo ihn niemand vermutet und findet. Verzichten Sie auf eine Beschriftung, wenn’s soweit ist, wissen Sie schon, was das ist.

Digitalfotografie 06 / 2015

17 Bewerten  |  Drucken  |  Weiterempfehlen
Kommentare

Es wurden noch keine Kommentare zu diesem Artikel abgegeben.

Artikel kommentieren
* Diese Felder müssen ausgefüllt werden