private Homepage von Thomas Groß

Sicherheit

Übersicht
  1. Einführung
  2. Sicherheitsstufen
  3. Lösungsansätze

Lösungsansätze

Die Variante mit dem Zettel unter der Tastatur ist ganz sicher kein empfehlenswerter Lösungsansatz. Eine Textdatei im Handy oder auf dem Computer ist ebenfalls nicht empfehlenswert. Aber welche Möglichkeiten gibt es dann, sich die vielen verschiedenen Paßwörter zu merken?

Dienste im Internet

Es gibt Dienste im Internet, denen man ein Paßwort schickt und die einem Tips geben, wie man sich dieses merken kann. Auch wenn ich die Idee an sich sinvoll finde, den Menschen zu helfen, sich sichere Paßwörter zu merken, wäre das für mich nie eine Option - ein Paßwort, das noch jemand kennt, ist kein sicheres Paßwort mehr.

Paßwortmanager

Paßwortmanager gibt es in vielen verschiedenen Formen und Varianten. Manche beschränken sich auf das sichere Speichern von Paßwörtern, andere bieten zusätzlich die Möglichkeit, das Paßwort gleich in den Browser zu übertragen oder haben Programme enthalten, die sichere Paßwörter erzeugen können.

Auch wenn viele dieser Zusatzfunktionen ganz gut und sinnvoll erscheinen - je mehr Funktionen ein Programm hat, um so größer ist die Gefahr, daß es darin Programmfehler gibt, die sich ausnutzen lassen. Besonders die Funktion zur Synchronisation der Paßwörter über das Internet finde ich sehr gefährlich.

Und mal ganz ehrlich: Wer legt jeden Tag 20 neue Paßwörter an und braucht diese Synchronisation daher wirklich? Also ich nicht. Wenn ich ein neues Paßwort brauche, dann synchronisiere ich meine Datenbanken manuell - zur Not habe ich mal einen Tag einen Zettel mit dem neuen Paßwort bei mir - ohne Nutzername, ohne Webseite dazu (das kann ich mir noch merken).

Sollte ich den Zettel mal verlieren, nun gut. Dann hat jemand ein Paßwort gefunden, von dem er nicht weiß, wozu es gehört. Soll er Spaß haben damit. Ich verwerfe es spätestens am nächsten Tag und ersetze es durch ein neues.

Zweifaktor-Authentifizierung

Eine Zweifaktor-Authentifizierung bietet einige Möglichkeiten, die auch sinnvolle Kompromisse zwischen Sicherheit und Bequemlichkeit ermöglichen. Zwei mögliche Ansätze möchte ich hier vorstellen.

Paßwortkarte
Die Paßwortkarte ist eine einfache Variante, sich mehrere gute Paßwörter zu merken, auch wenn einem kryptische Zahlenfolgen nicht liegen. Das ganze sieht etwa so aus:Beispiel PaßwortkarteBei 12 Zeilen und 6 Spalten ergeben sich 72 Blöcke aus je 6 zufälligen Zeichen. So eine Karte kann man sich in der Größe einer Scheckkarte ausdrucken und laminieren.
Jetzt merkt man sich statt dem Paßwort nur noch einen Startpunkt auf der Karte und eine Regel, nach der die Folgeblöcke gesucht werden. Beginnt das Paßwort beispielsweise im obersten Feld und die Folgeblöcke werden im Rösselsprung-Verfahren (Zugrichtung des Springers im Schach) ergibt sich im Beispiel folgendes Paßwort: -n5S_* 8-z_{L s-_:2M
Natürlich sind auch alle anderen Richtungen und Arten möglich. Ein Paßwort sollte aus mindestens drei Blöcken bestehen, um einigermaßen sicher zu sein. Wer es noch etwas weiter treiben will, druckt auf die Rückseite Blöcke, die nur aus Buchstaben bestehen und hat so (bei gleicher Block-Strategie wie auf der Vorderseite) auch noch verschiedene Nutzernamen für die verschiedenen Dienste....
Datentresor
Während die Paßwortkarte auch im Internetcafe funktioniert, sind Datentresore mehr oder weniger an ein Gerät gebunden, wenn man hier die Zweifaktor-Authentifizierung nutzen will. Um diese zu nutzen, gibt man beim Erstellen des Tresors nicht nur ein Paßwort an, sondern auch eine Reihe von Dateien.
Wer sich nicht die Namen oder Nummern der Bilder merken kann, hat hier noch die Möglichkeit, Bilder auszuwählen, die ein gemeinsames Merkmal haben, das auch in der Vorschau erkennbar ist: ein einzelner Baum, ein großes Gebäude, Kinder.... Der Vielfalt sind keine Grenzen gesetzt. Wichtig ist hierbei nur, daß es in dem Verzeichnis, aus dem man die Bilder auswählt, noch genug andere Bilder gibt, die nicht verwendet werden.

Natürlich gibt es noch eine Vielzahl weiterer Lösungsansätze, die ich hier nicht alle aufführen kann. Ich denke aber, daß auch mit den hier vorgestellten Verfahren einige Verbesserungen der Sicherheit möglich sind. Jeder Schritt zu mehr Datensicherheit, auch der kleinste, ist ein Schritt in die richtige Richtung.

zurück: Sicherheitsstufen weiter: