Nie wieder ein Passwort vergessen – Meine persönlichen Tipps zum Welt-Passwort Tag 2023

Beschreibung von

Link

Mein Beitrag zum Welt-Passwort Tag am heutigen 05.05.2022, inklusive eines persönlichen Tips von mir, um sich komplexe Passwortkombinationen leichter merken zu können.

Der 05.05. steht im Zeichen des Passworts. Dieser vielleicht merkwürdig klingende Gedenktag hat eigentlich eine sehr gute Absicht. Sie soll Menschen daran erinnern zumindest einmal im Jahr sich ihrer Datensicherheit durch die Vergabe angemessener und neuer Passwörter zu widmen.

Die meisten Menschen (weltweit) nutzen nach wie vor einfachste Wörterbuch-Passwörter, wie:

  • qwertzuiopü
  • fußball
  • 123456789

Oftmals fordern Login Mechanismen mittlerweile zumindest Alphanumerisch, Zahlen und Sonderzeichen in Kombination. Doch auch hier sind die meisten wenig kreativ, wodurch dann die immer selben, leicht zu merkenden Kombinationen ergänzt werden.

  • qwertzuiopü123?
  • fußball2022!
  • 123456789A!

Ich verstehe gut, dass sich niemand Kombinationen wie „JKAd782A“!?=SsK8+a#“!1 merken kann, geschweige denn Lust hat, diese regelmäßig einzugeben.

Die Lösung sind Passwort Manager. Beispielsweise gibt es den Passwort-Safe „Bitwarden“ https://bitwarden.com kostenlos für jedes Endgerät und die gängigsten Browser als Erweiterung. Die Passwörter können geräteübergreifend geteilt werden. Für Organisationen lässt es sich ebenfalls fabelhaft einsetzen um beispielsweise eine übergreifende Datenbank mit Kolleg:innen aufzubauen.

Wer auf geräteübergreifende Synchronisation verzichten kann oder verständlicherweise seine Passwörter grundsätzlich nicht in einer Cloud sichern will, kann auch das gute alte keepass nach wie vor hervorragend nutzen. https://keepass.info

Der oder die ein oder andere wird sich nun sicherlich fragen, weshalb man eine zusätzliche Software braucht, wo doch jeder Browser mittlerweile eine Passwort merken Funktion eingebaut hat.

Die Browser Funktion sollte grundsätzlich nicht verwendet werden. Sobald ein Angreifender Zugang zum Gerät hat können diese Daten ausgelesen und genutzt werden. Dazu ist es nicht notwendig „gehackt“ zu werden, ein Gerätediebstahl reicht aus. Manche Browser speichern die Passwort Datenbank vollständig ungeschützt im Profil-Ordner des Betriebssystems, sodass sie bei einem „Rechnerwechsel“ 😉 schnell auf das neue Gerät übertragen werden kann.

Um sich dennoch zu schützen ohne den Monitor voller Zugangsdaten kleben zu haben oder ständig die „Passwort vergessen?“ Funktion in Anspruch nehmen zu müssen, können leicht zu merkende, komplexe Passwörter helfen. Bevor ich diesen Abschnitt erkläre, zunächst ein wenig technisches Hintergrundwissen.

Wenn ein Passwort in ein dafür vorgesehenes Feld, beispielsweise in einem Login Feld auf einer Website eingegeben wird, vergleicht ein Server die Eingabe mit dem hinterlegten Wert in einer Datenbank. Da eine Organisation aber selbstverständlich unter gewöhnlichen Umständen keine Möglichkeit haben soll die Passwörter seiner Nutzenden lesbar einsehen zu können, werden diese bei der Kontoerstellung „gehashed“. Simpel gesagt wird die eingegebene Zeichenkette über einen Algorithmus in eine andere umgewandelt. Grundlage dafür ist, der zugeschriebene Wert eines jedes Zeichen.

Soll heißen: Innerhalb einer Zeichenkette ist es für einen Computer etwas vollständig anderes, wenn nur ein einziges Zeichen ausgetauscht wird.

Das Wort „Digitalisierung“ wird mit SHA-256 gehashed zu:
133388c7ee9bd7aebc854c80aeaced112b5ee77d767b1b7b1f10da1ef3252cb4

Ändere ich nun aber einen Buchstabe, ändern sich nicht nur einige Werte in der Zeichenkette sondern jedes einzelne Zeichen.

Das Wort „Digitalisierugn“ wird mit SHA-256 gehashed zu:
2e61034f2a33ed009f1183f5fc8f784009113e1ebed5c7a5b539629063dfb874

Eine solche Zeichenkette steht also nun in der Datenbank jedes Services bei dem ihr euch jemals angemeldet habt.

Nun zum versprochenen Tip:

  • Denk dir einen Satz aus, den du dir gut merken kannst, in dem der Dienst / Anwendung um die es geht irgendwie vorkommt.

    Beispiel: Das ist ein sicheres Passwort für #makeITsocial_ um zu zeigen wie der Tip funktioniert 2022$%
  • Nehme nun immer das erste Zeichen jedes Wort und schreibe es auf. Ergänze es zum Beispiel mit der Jahreszahl und einigen Sonderzeichen.

    DiesPf#uzzwdTf2022$%

    Gehashed sieht dieses Passwort nun wie folgt aus:
    5500ff4442723158601708e3c46527d02c6136cef32f86ebb769ef13eb0c099a
  • Wenn du nun ein neues Kennwort für den Laptop festlegen möchtest ist es statt der „#“ bei #makeITsocial_ eben ein „L“ für Laptop usw.

    DiesPfLuzzwdTf2022$%

    Gehashed sieht dieses Passwort nun wie folgt aus:
    472b199285f66021572d7c776f60b1f6738fa1b2d91547576e0aceb61fc878f1

Es wird immer nur ein Zeichen verändert. Das macht es einfach sich seine Kennwörter über eine Eselsbrücke zu merken und bietet eine relative Sicherheit. Manchmal haben Anwendungen oder Dienste die selben Anfangsbuchstaben. Ich verwende dann einfach die Selben. Das ist zwar eine kleine Schwachstelle aber es schützt davor durcheinander zu kommen, was mir persönlich an dieser Stelle jedoch wichtiger ist.

Der größte Mehrwert daran ist, dass es nicht mehr so katastrophale Auswirkungen hat, wenn irgendwo auf der Welt mal wieder ein „Software-Problem“ dafür gesorgt hat, dass Nutzungsdaten frei zugänglich im Internet erscheinen.

Wer sich informieren möchte ob die eigene E-Mail Adresse oder Telefonnummer und somit der Account schon einmal Opfer eines solchen Datenlecks gewesen ist, kann dies auf der Seite des Sicherheitsforschers Troy Hunt – „Have I been Pwned“ https://haveibeenpwned.com tun. Auch gehackte Passwörter lassen sich abrufen: https://haveibeenpwned.com/Passwords Die Seite ist kein Scam, wer genaueres Wissen möchte findet alles in der Sektion Who, what & why.

Schönen 05.05. 🙂

Interessiert an einer wöchentlichen Zusammenfassung der neuesten Inhalte per E-Mail?

zur Anmeldung

Andere Beiträge

Mit geballten Fachkenntnissen aus den Bereichen Soziale Arbeit, IT-Beratung, Projektmanagement, Design, Marketing sowie Software- und Webentwicklung helfen wir Euch, Eure Projekte umzusetzen.