Die Essenz eines guten Passworts
Fassen wir zusammen: Um den Schutz vor dem Datenklau möglichst hoch zu halten, müssen im Umgang mit Passwörtern vor allem drei Grundsätze beachtet werden: Das Passwort sollte mindestens 12 Zeichen enthalten, schwer zu erraten sein, also keine persönlichen oder allgemeinen Rückschlüsse zulassen (siehe Liste der schlechtesten Passwörter), und für jede Plattform individuell sein. Wie also lassen sich viele unterschiedliche und zugleich sichere Passwörter generieren, ohne dass sie schriftlich festgehalten werden müssen? Hier ist eine Schritt-für-Schritt-Anleitung:
1) Starkes und unpersönliches Masterkennwort wählen
Im ersten Schritt sollte ein sicheres Masterkennwort generiert werden, das keinen direkten und offensichtlichen Bezug zum Nutzer hat (wie z.B. Name, Wohnort, Geburtsdatum, usw.). Hierfür eignet sich die eingangs erwähnte Methode der Zeichenkette, die sich aus einem Merksatz, einem Zitat, einer Stelle aus dem Lieblingsbuch, einem Songtext, o.Ä. ableitet. Das Masterkennwort wird dadurch beliebig, unpersönlich und einprägsam. Um die Länge von 12 Zeichen im Endpasswort sicherzustellen, sollte das Masterkennwort bereits aus einem langen Satz abgeleitet werden. Anstelle der Abkürzung eines Satzes könnte man auch den Satz selbst als Masterkennwort verwenden. In diesem Fall könnte der Satz kürzer sein, damit man auf mobilen Geräten noch immer in vernünftiger Zeit eine Eingabe durchführen kann. Aus den Anfangsbuchstaben des Merksatzes «Bei Stromausfall ist die Gelegenheit günstig, um mit dem Fön zu baden» ergibt sich beispielsweise das folgende Masterkennwort:
BSidGgmdFzb
Um die Stärke des Passworts zu erhöhen, sollte mindestens ein Sonderzeichen angefügt werden, z.B. ein Ausrufungszeichen:
BSidGg!mdFzb
2) Variationen des Masterkennworts kreieren
Der zweite Schritt besteht darin, das Masterkennwort für die einzelnen Services und Plattformen zu modifizieren. Das Konzept dazu ist denkbar einfach: Im Masterkennwort werden beliebige, aber fest gewählte Stellen mit unterschiedlichen Buchstaben und Zahlen ergänzt, die je nach Plattform variieren.
Schritt 1: Zum Beispiel könnte an der 3. Stelle immer eine Zahl eingefügt werden, die von der Länge des Namens des aktuellen Service abgeleitet ist. Bei LinkedIn wäre das eine 8, da «LinkedIn» aus acht Zeichen besteht, bei Google und Zühlke eine 6. Die Modifikationen lassen sich je nach gewünschtem Schwierigkeitsgrad beliebig verändern. So können beispielsweise die Zahlen noch zusätzlich um einen beliebigen, aber festen Faktor multipliziert werden, oder eine beliebige, aber feste Zahl kann addiert werden. Nehmen wir also an, wir addieren die Zahl 3 dazu, ergeben sich folgende Zwischenpasswörter:
LinkedIn: BS11idGg!mdFzb
Google: BS9idGg!mdFzb
Zühlke: BS9idGg!mdFzb
Schritt 2: Das Zeichen an der X-ten Stelle des Zwischenpassworts wird durch ein frei wählbares, aber festes Symbol ersetzt. Die Stelle X ist dabei zum Beispiel die Anzahl der Konsonanten im Namen der Plattform, für die das Passwort generiert wird, multipliziert mit 2. Für LinkedIn wäre X also 10, da «LinkedIn» aus fünf Konsonanten besteht, für Google wäre es 6, für Zühlke wäre es 8. Das ersetzende Symbol könnte beispielsweise ein «@» sein. Man erhält also:
LinkedIn: BS11idGg!@dFzb
Google: BS9id@g!mdFzb
Zühlke: BS9idGg@mdFzb
Auch hier ergeben sich zahlreiche Variationsmöglichkeiten, zum Beispiel könnte die Stelle um ein paar Zeichen nach links oder rechts verschoben werden. Auch sind andere Zeichen oder sogar Zeichenabfolgen denkbar.
Schritt 3: An der letzten Stelle des Passworts wird die Anzahl der Vokale im Namen des Services angefügt. Zur höheren Sicherheit könnte man die Zahl 1 subtrahieren. Für LinkedIn würde die Zahl 3-1=2 angehängt, da das Wort «LinkedIn» drei Vokale enthält.
LinkedIn: BS11idGg!@dFzb2
Google: BS9id@g!mdFzb2
Zühlke: BS9idGg@mdFzb1
Je nach persönlichem Sicherheitsbedürfnis können und sollten weitere Schritte dieser Art ergänzt werden. Wichtig ist, dass die Ableitungsschritte ausschliesslich vom Namen des Services abhängen, für das ein Passwort generiert werden soll. Je komplexer die Regeln und je mehr Variation sie hervorrufen, desto sicherer sind die resultierenden Passwörter. Die Addition, Multiplikation oder Subtraktion von Zahlenwerten kann weggelassen werden, wenn man nicht nach Konsonanten oder Vokalen fragt, sondern nach anderen kreativen Eigenschaften, beispielsweise nach der Zahl an «runden» Buchstaben (o, p, b, g, e) oder nach Buchstaben, die hinter einem bestimmten Buchstaben im Alphabet stehen (zum Beispiel hinter dem Buchstaben «r» stehen s, t, u, v, …).
Hier gibt es zahlreiche Möglichkeiten, welche die Individualität und somit die Sicherheit des Systems erhöhen. Die Ableitungsregeln dürfen – allerdings nie zusammen mit dem Masterkennwort – an einem sicheren Ort aufgeschrieben werden.