Heute ist „Ändere dein Password„-Tag. Auch wenn ich heute vielleicht nur mal mein Amazon-Password ändern werde, so sollte man heute mal drüber nachdenken wo man noch schwache oder gleiche Passwörter verwendet.
Ich kann die Gelegenheit ja mal nutzen um kurz zu schildern wie ich Password-Management für mich gelöst habe.
merken
Seit einigen Jahren sind mir lustige Phrasen wie „Sgt. Pepper’s one and only lonely Hearts Club Band!“ die dann zu Passwörtern wie „SP1aolHCB!“ werden über den Kopf gewachsen und ich kam nicht mehr nach mir ständig neue Passwörter auszudenken und vor allem zu merken.
hashen
Ich habe eine Weile SuperGenPass verwendet. Dabei merkt man sich ein Master-Passwort und generiert aus der Kombination <Master-Passwort> und <Webseiten-Domain zu der das Passwort gehört> einen Hash und diesen verwendet man dann als Passwort. Das gibt es als Bookmarklet oder auch als (mobile) Webseite. So erhält man individuelle Passwörter die zwar immer noch nicht so richtig sicher sind, aber deutlich besser als alles was man vorher hatte. Irgendwann wird man es aber leid das diese Konsonanten-Hipster-Startups™ mit Ihren *lr-Adressen dauernd neu gebrandet werden und man sich in einem fort erinnern muss wie die Bude vorher mal hieß oder unter welchem URL sie mal zu erreichen waren.
managen
Schlussendlich musste also eine andere, bessere Lösung her und so bin ich vor einigen Jahren schon auf 1Password umgestiegen. Es gibt Versionen für Windows, Mac, iOS und Android – das ganze synced miteinander so dass man alle Passwörter überall zur Hand hat. Die Daten werden mit einem AES-Key verschlüsselt. Ich brauche mir also theoretisch nur noch ein einziges Master-Passwort, das jetzt natürlich möglichst gut sein sollte, zu merken und das wärs.
Es ist tatsächlich eine Befreiung endlich überall unterschiedliche, komplexe Passwörter verwenden verwenden zu können und manchmal kopfschüttelnd vor einer Fehlermeldung zu sitzen und sich zu fragen: „Warum darf ich hier kein 32-stelliges Passwort benutzen – was soll das denn?“ Endlich graust es einen nicht mehr vor den teilweise absurden Vorschriften wie komplex ein Passwort sein sollte – man übererfüllt diese Anforderungen in der Regel mit einem Lächeln im Gesicht.
In der Praxis gibt es einige wenige Dienste deren Passwort man sich dennoch so merken sollte. Der zentrale Mailaccount über den man alle anderen Dienste wieder entsperren könnte – sollte dem Passwort-Safe etwas zustoßen – wäre so einer.
Beim Umstieg übernimmt man für die einzelnen Dienste zunächst die eigenen Passwörter – und beginnt dann nach und nach sie durch bessere am besten generierte Passwörter zu ersetzen. 1Password zeigt einem die Sicherheit der einzelnen Passwörter als Balken von rot nach grün an – ich hab da auch noch recht viel Handlungsbedarf. Nach und nach befreit man sich von alten, schlechten Kennwörtern.
Das 1Password Browser-Plugin hilft beim Eingeben der Passwörter auf den Webseiten mit, so ist die Handhabung insgesamt sogar noch komfortabler als vorher. Auf Windows zickt die Browsererweiterung hin und wieder rum – aber insgesamt funktioniert das ganze recht gut. Ich bin zufrieden. Die Integration unter iOS hat seit Version 8 auch große Schritte gemacht.
Die Dienste bei denen ich mir nun also meine Kennwörter noch von Hand im Kopf merken muss sind die folgenden:
- das 1Password Master-Kennwort / ohne das wäre der ganze Artikel hier sinnlos
- Apple-ID / weil man das Passwort oft auf einem iOS-Gerät in eine kleine Box eintippen muss in der keine 1Password-Integration zur Verfügung steht
- User-Account am Mac und PC / weil ich ohne den auch nicht an 1Password rankomme
- PIN des iOS-Geräts und SIM-PIN / weil duh!
- Dropbox-Account – weil ich den gelegentlich auf fremden Rechnern brauche
- Mail-Account / weil damit im Zweifel (fast) alle anderen Passwörter zurückgesetzt werden könnten
Am letzten Satz dieser Liste sieht man auch die Wichtigkeit dieses letzten Passwortes, es muss mindest so stark sein wie das Masterpasswort des Passwort-Safes.
generieren & merken
Also, es bleiben immer noch einige -wenige- Kennwörter die man sich merken muss – kein Grund dass diese nicht auch gut sein können. Ich benutze dafür Kennwörter nach dem Diceware-Verfahren – die Dinger sind zwar sehr lang, aber dafür einfach zu merken und auch einfach zu tippen – auch auf Touchtastaturen. Ein Passwort sieht dann bspw. so aus:
:) 5 yeti begebe abtei trikot
braucht einmal Zeichen, einmal Zahlen aber nicht die Shift-Taste. Das Passwort für dieses Beispiel hier hat mir der Diceware-Passwort-Generator nach 2-3 Versuchen so ausgespuckt und es hat mir irgendwie gefallen – 5 grinsende Yetis die sich mit einem Trikot in eine Abtei begeben – ich denke das könnte ich mir merken. Fast schade dass ich es jetzt, wo ich es hier veröffentlicht habe, nicht mehr verwenden kann – ihr übrigens auch nicht!
Für die wichtigsten Dienste habe ich dann auch noch 2FA aktiviert – aber das ist sicher nochmal ein eigener Artikel.
Wenn ihr mit eurer Umstellung fertig seid, dann loggt ihr euch bitte einmal bei Eurer Bank ins Online-Banking ein – mit der Kontonummer, die ohnehin sowas wie halböffentlich ist, und einer 4-6 stelligen PIN. Darüber dann mal kurz innehalten und dann mit den wichtigen Finanztransaktionen weitermachen. Gehen Sie bitte weiter, bei den hochgradig sicheren und hochmodernen deutschen Banken (*hüstl*) gibts nichts zu verbessern.
Des hom mia scho oiwei so gemacht.
Fazit
1Password hat mich gerettet, mit vielleicht 5 Kennwörtern und 2 PINs in meinem Kopf ist fast mein gesamtes elektronisches Leben abgedeckt. Zugegeben weiß ich mit ein paar Serverpasswörtern und PGP-Keys noch ein paar mehr aus’m Kopf, aber im großen und ganzen reichen die 5+2. In meinem 1Password-Safe schlummern nahezu 400 Logins für alle möglichen Onlinedienste, Server, Datenbanken, Apps und Social-Media-Accounts – die meisten davon mit schönen fies-komplexen Passwörtern – eigentlich unmöglich zu merken, aber jetzt ganz einfach zu handhaben. Es hat sich für mich bewehrt.
