Artikelformat

Sichere Passwörter einfach gemerkt

Zahlenschloss

Ja da haben wir mal wieder einen SKANDAL!!1einself.
Oder fehlt es einfach am Medienkompetenz?

Was war geschehen?

Dem BSI wurde im Dezember eine Liste mit Mailadressen und Passwörtern aus einer noch nicht näher benannten Quelle übermittelt. Erst Wochen später wurden die Nutzer informiert, es gab Berichte in Online und Offline Medien und die eigens eingerichtete Seite des BSI brach unter der Last der aufgescheuchten Nutzer zusammen, was ja verhindert werden sollte durch eine tolle Anwendung auf dem Webserver des BSI.

Auf dieser Seite konnte der Nutzer seine Mailadresse eingeben, bestätigte das es auch wirklich seine Mailadresse war und erhielt einen Code. Danach suchte die Anwendung die 16 Mio Einträge der Datenbank durch und bei einem Treffer wurde eine Benachrichtigung an die betroffene Mailadresse versendet. Diese Mail hat den an den Nutzer bekannt gegebenen Code als Betreffzeile und ist mittels PGP signiert. Ok, die Mail, nicht die Betreffzeile, aber egal passt schon.

Leider war diese Möglichkeit die 16 Mio betroffenen Mailadressen abzugleichen eine sagen wir mal recht blöde Idee, denn eine Gutmeldung wurde nicht versendet. Die betroffenen Mailadressen wurden wenn es funktioniert hat zwar benachrichtigt, der Mailserver musste die Mail erhalten, der Spamfilter die Mails durchlassen, der Transportweg die Nachricht nicht vergessen und der Server des BSI sollte die Auftragsmenge auch abarbeiten können und halt alle Anfragen sauber bearbeiten. Das hat halt nicht geklappt, der arme aufgeschreckte Nutzer ist nicht schlauer als vorher und es wird unter Umständen sogar in einer trügerischen Sicherheit vorgegaukelt wenn keine Mail ankommt.

Zweifel an einen Teil der Internetnutzer.

Dann war da noch die Nichterreichbarkeit der Seite sicherheitstest.bsi.de und der Bericht bei Netzpolitik.org zum selben Thema, die wohl in der Google Suche als erste erreichbare Seite mit dem Suchbegriff angezeigt wurde. Unter diesen Blogbeitrag haben einige Nutzer den Kommentar

“Bitte um Überprüfung meiner Mail Adresse”

hinterlassen. Es scheint das dieses von einigen Kommentatoren auch so ernst gemeint war. Was soll man zu diesen Zeitgenossen dann noch sagen? Klickt nicht auf jeden Link? Öffnet nicht jeden Mailanhang der zugesendet wird? Schaltez euer Hirn ein, wenn ihr die Technig benutzt? Ich kann es nicht sagen. Erschreckende Erkenntnis “Medienkompetenz wird nicht angeboren sondern muss erlernt werden.

Mein Beitrag zur Fortbildung

  • Nutzt bitte für jeden Dienst ein eigenes Passwort!
  • Nutzt sichere Passwörter
  • Schafft euch Mailadressen an die ihr nicht für die private Kommunikation mit Familie und Freunde nutzt.

Die ersten beiden Forderungen sind sehr einfach einzuhalten, denn sichere Passwörter können sehr schnell erstellt werden und mit einem immer gleichen System bleiben die Passwörter auch einfach zu merken.

Beispiel: Setzt euer Passwort aus Teilen zusammen die selber schon ausreichend sicher sind.

[ Basispasswort ] + [ Dienste spezifischer Teil ]

Ein Passwort gilt als sicher wenn es auch 10 – 12 Zeichen besteht, Zahlen Buchstaben in groß und klein so wie Sonderzeichen besteht.

Nehmt als Basispaswort z.B. “Kulturkreis” Das kann man mit etwas Umformen immer noch erkennbar auch so schreiben => “Ku17urkr3!5” schreiben. Diese Passwort ist so schon mal sicher. Es sind 11 Zeichen große und kleine Buchstaben, Zahlen und Sonderzeichen sind vorhanden.

Auf der Seite checkdeinpasswort.de erreicht

Kulturkreis 59 Jahren bis das Passwort geknackt wurde,Ku17urkr3!5 aber schon 45 Tausend Jahren bis es erraten wurde.

Nun nimmt man noch einen Namen des Dienstes dazu z.B. “GoogelPlus” das man dann nach der oben gezeigten Form in “G0o931+P1u5” wandelt. So werden aus 1 Jahr erneut 45 Tausend Jahre und kombiniert nun beide Teile zum entgültigen Passwort.

Ku17urkr3!5#G0o931+P1u5 das ist zwas lang aber mit 24 Quadrilliarden Jahren auch sicher, die gekürzte Variante Ku17urkr3!5#G0o931+ kommt immer noch auf 299 Trillionen Jahren.

Sebst die unverschlüsselte Variante Ku17urkr3!5#Googel+ reicht schon für die 299 Trillionen Jahren bis es geknackt ist.

Wie ihr seht, kurz nachdenken und ein komplexes Passwort das man sich trotzdem merken kann ist erstellt. Damit habt ihr eine unbegrenzte Anzahl von für euch einfachen Passwörtern die ein Angreifer schwer erraten kann.

Eine gute Abhandlung zu dem Thema Passwörter hat Oliver Sperke unter dem Titel Passwortmythen oder „Was Du schon immer über Passwörter wusstest, aber nie zu sagen wagtest” schon 2011 ins Netz gestellt, es ist immer noch aktuell.

 

 

Autor: Radzio Frank

Jahrgang 66, ein Nordlicht das seine Wurzeln im Ruhrgebiet hat und seit 2001 im hohen Norden lebt und arbeitet. Mein Blog findet Ihr unter http://bloglich.de

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.