Heute ist “Ändere dein Password“-Tag. Auch wenn ich heute vielleicht nur mal mein Amazon-Password ändern werde, so sollte man heute mal drüber nachdenken wo man noch schwache oder gleiche Passwörter verwendet.

Ich kann die Gelegenheit ja mal nutzen um kurz zu schildern wie ich Password-Management für mich gelöst habe.

merken

Seit einigen Jahren sind mir lustige Phrasen wie “Sgt. Pepper’s one and only lonely Hearts Club Band!” die dann zu Passwörtern wie “SP1aolHCB!” ((ein Beispiel aus einer alten c’t das genauso verbrannt ist wie alle anderen die ich hier oder andere anderswo diskutiert haben)) werden über den Kopf gewachsen und ich kam nicht mehr nach mir ständig neue Passwörter auszudenken und vor allem zu merken.

hashen

Ich habe eine Weile SuperGenPass verwendet. Dabei merkt man sich ein Master-Passwort und generiert aus der Kombination <Master-Passwort> und <Webseiten-Domain zu der das Passwort gehört> einen Hash und diesen verwendet man dann als Passwort. Das gibt es als Bookmarklet oder auch als (mobile) Webseite. So erhält man individuelle Passwörter die zwar immer noch nicht so richtig sicher sind, aber deutlich besser als alles was man vorher hatte ((Sollte einer der Dienste gehackt werden und die Passwörter würden bekannt, dann kann das System das man verwendet durchschaut werden und das Masterkennwort leaked)). Irgendwann wird man es aber leid das diese Konsonanten-Hipster-Startups™ mit Ihren *lr-Adressen dauernd neu gebrandet werden und man sich in einem fort erinnern muss wie die Bude vorher mal hieß oder unter welchem URL ((ja, der(!) URL!)) sie mal zu erreichen waren.

managen

Schlussendlich musste also eine andere, bessere Lösung her und so bin ich vor einigen Jahren schon auf 1Password umgestiegen. Es gibt Versionen für Windows, Mac, iOS und Android – das ganze synced miteinander so dass man alle Passwörter überall zur Hand hat. Die Daten werden mit einem AES-Key verschlüsselt. Ich brauche mir also theoretisch nur noch ein einziges Master-Passwort, das jetzt natürlich möglichst gut sein sollte, zu merken und das wärs.

Es ist tatsächlich eine Befreiung endlich überall unterschiedliche, komplexe Passwörter verwenden verwenden zu können und manchmal kopfschüttelnd vor einer Fehlermeldung zu sitzen und sich zu fragen: “Warum darf ich hier kein 32-stelliges Passwort benutzen – was soll das denn?” Endlich graust es einen nicht mehr vor den teilweise absurden Vorschriften wie komplex ein Passwort sein sollte – man übererfüllt diese Anforderungen in der Regel mit einem Lächeln im Gesicht.

In der Praxis gibt es einige wenige Dienste deren Passwort man sich dennoch so merken sollte. Der zentrale Mailaccount über den man alle anderen Dienste wieder entsperren könnte – sollte dem Passwort-Safe etwas zustoßen – wäre so einer.

Beim Umstieg übernimmt man für die einzelnen Dienste zunächst die eigenen Passwörter und beginnt dann nach und nach sie durch bessere, am besten generierte, Passwörter zu ersetzen. 1Password zeigt einem die Sicherheit der einzelnen Passwörter als Balken von rot nach grün an. An dem Screenshot hier sieht man, dass ich da teilweise auch noch recht viel Handlungsbedarf habe. Nach und nach befreit man sich aber von alten, schlechten Kennwörtern.

Das 1Password Browser-Plugin hilft beim Eingeben der Passwörter auf den Webseiten mit, so ist die Handhabung insgesamt sogar noch komfortabler als vorher. Auf Windows zickt die Browsererweiterung hin und wieder rum, aber insgesamt funktioniert das ganze recht gut. Ich bin zufrieden. Die Integration unter iOS hat seit Version 8 auch große Schritte gemacht über Android kann ich leider keine Aussage treffen.

Die Dienste bei denen ich mir nun also meine Kennwörter noch von Hand im Kopf merken muss sind die folgenden:

• das 1Password Master-Kennwort / ohne das wäre der ganze Artikel hier sinnlos
• Apple-ID / weil man das Passwort oft auf einem iOS-Gerät in eine kleine Box eintippen muss in der keine 1Password-Integration zur Verfügung steht
• User-Account am Mac und PC / weil ich ohne den auch nicht an 1Password rankomme
• PIN des iOS-Geräts und SIM-PIN / weil duh!
• Dropbox-Account – weil ich den gelegentlich auf fremden Rechnern brauche
• Mail-Account / weil damit im Zweifel (fast) alle anderen Passwörter zurückgesetzt werden könnten

Am letzten Satz dieser Liste sieht man auch die Wichtigkeit dieses letzten Passwortes, es muss mindest so stark sein wie das Masterpasswort des Passwort-Safes.

generieren & merken

Also, es bleiben immer noch einige -wenige- Kennwörter die man sich merken muss. Es gibt aber kein Grund dass diese nicht auch gute, starke Kennwörter sein können. Ich benutze dafür Kennwörter nach dem Diceware-Verfahren – die Dinger sind zwar sehr lang, aber dafür einfach zu merken und auch einfach zu tippen – auch auf Touchtastaturen. Ein Passwort sieht dann bspw. so aus:

:) 5 yeti begebe abtei trikot

Es braucht beim Tippen auf einer Touchtastatur einmal die Umschaltung auf Zeichen, einmal auf Zahlen und dann nur noch Kleinbuchstaben. Es braucht aber zum Beispiel nicht mal die Shift-Taste. Das obige Passwort hat mir der Diceware-Passwort-Generator nach 2-3x klicken exakt so ausgespuckt und es hat mir irgendwie gefallen: 5 grinsende Yetis die sich mit einem Trikot in eine Abtei begeben – ich denke das könnte ich mir merken. Fast schade dass ich es jetzt, wo ich es hier veröffentlicht habe, nicht mehr verwenden kann – ihr bitte übrigens auch nicht!

Für die wichtigsten Dienste habe ich dann auch noch 2FA aktiviert – aber das ist sicher nochmal ein eigener Artikel.

Wenn ihr mit eurer Umstellung fertig seid, dann loggt ihr euch, nur um euch zu erden und den Technologiestandort Deutschland besser zu verstehen, bitte einmal bei Eurer Bank ins Online-Banking ein. Dazu eure ohnehin halb-öffentliche Kontonummer und eine 4 bis maximal 6 stellige, rein nummerische PIN raussuchen und dann mal kurz innehalten und sich kurz fragen wie sensibel die Daten sind, die hinter diesem Login lauern. Jetzt aber schnell mit den wichtigen Finanztransaktionen weitermachen. Gehen Sie bitte weiter, bei den hochgradig sicheren und hochmodernen deutschen Banken (*hüstl*) gibts nichts zu verbessern.

Fazit

1Password hat mich gerettet, mit vielleicht 5 Kennwörtern und 2 PINs in meinem Kopf ist fast mein gesamtes elektronisches Leben abgedeckt. Zugegeben weiß ich mit ein paar Serverpasswörtern und PGP-Keys noch ein paar mehr aus’m Kopf ((weil ich sie öfters tippen muss)), aber im großen und ganzen reichen die 5+2. In meinem 1Password-Safe schlummern nahezu 400 Logins für alle möglichen Onlinedienste, Server, Datenbanken, Apps und Social-Media-Accounts – die meisten davon mit schönen fies-komplexen Passwörtern – eigentlich unmöglich zu merken, aber jetzt ganz einfach zu handhaben. Es hat sich für mich bewehrt.