Home Sicherheit Oma Enigma – wie meine Großmutter perfekte Passwörter erfunden hat

[Dies ist ein Gastartikel vom Host Europe Blogger Thomas von Mengden]

Durch die Aufdeckung der jüngsten NSA-Gepflogenheiten ist Phishing von sensiblen Konto- und Identitätsdaten aktuell ein populäres Thema. Aber nicht nur Datenspionage im ganz großen Stil, auch kleinere mögliche Hackerangriffe sorgen für ein gesteigertes Sicherheitsbedürfnis hinsichtlich der E-Mail-Korrespondenz und anderen privaten Daten.

Daher möchte ich die aktuelle Situation zum Anlass nehmen, anhand eines einfachen Beispiels darzustellen, wie man seinen eigenen Beitrag zur Sicherheit der persönlichen Daten leisten kann.

Hierfür möchte ich Euch auf eine Zeitreise mitnehmen. Als ich noch ein kleiner Junge war und meine Großmutter zu häufig nach Süßigkeiten fragte, vergaß ich ab und zu die ihr förmlich gebührende Höflichkeit. Wodurch ich natürlich einen Korb mit den Worten erntete: „Wie heißt das?“ oder „Wie lautet der Zauberspruch?“ Ich glaube ein simples „Nein!“ hätte ich damals bereits verstanden. Allerdings hätten diese Worte auch keine so weitreichenden Folgen gehabt.

Anfangs dachte ich nämlich tatsächlich ab und zu angestrengt darüber nach, ob ich wirklich eine geheime Beschwörungsformel vergessen hatte, die das Süßigkeiten-Glas aufschrauben würde, so dass meine Großmutter hineingreifen konnte. So etwas wie „Simsalabim!“, „Abracadabra!“ oder „Sesam öffne Dich!“

Dann half mir Oma auf die Sprünge und ich verstand, dass in meiner Frage das „bitte“ gefehlt hat. Also nahm ich mir vor, diese Floskel fortan in meine Fragen einzubauen. Das funktionierte eingangs auch gut. Vermutlich hat mein Großvater ihr aber irgendwann untersagt, mich weiter mit dem süßen Kram zu füttern, so dass trotz des Zauberwortes kein Bonbon den Besitzer wechselte.

Als sie später einmal mit der Zubereitung des Mittagessens beschäftigt war, stand das Glas verlockend auf dem Regal und schien mich quasi anzubetteln, dass ich mir selbst den Zugriff gewähren solle. Ein Stuhl, ein Plan! Doch dieser ging leider nicht auf so dass ich mit einem lauten Getöse auf meinem Hinterteil landete und mir neben der Schelte meiner Großmutter einen riesengroßen blauen Fleck ein handelte. Dann sagte sie etwas zu mir, was mich nachhaltig beeindruckte:

„Et jitt kein jrößer Leid als wat d’r Minsch sich selvs andeit!“

Sie kam aus dem Herzen von Köln und sprach daher mit entsprechendem Dialekt. In das Hochdeutsche übersetzt heißt dieser Satz so viel wie „Es gibt kein größeres Leid, als was sich der Mensch selbst antut!“ – sie meinte damit meine törichte Idee, nach dem Glas zu klettern. Wegen dem kurzfristigen Genuss einer kleinen Kamelle (Bonbon).

Sie hatte Recht. Das musste ich – wenn auch nur ungern – zugeben. In diesem Zusammenhang wirkten Ihre Worte allerdings so wichtig und gleichzeitig einprägsam, dass es mir schien, als hätte sie ihrerseits eine Beschwörungsformel für ein besseres Leben ausgesprochen. Und so merkte ich mir diesen Satz bis heute. Dass meine Oma damit ein perfektes Passwort geschaffen hatte, wusste Sie damals natürlich nicht:

Ej0jLawdM$$a

Was hat jetzt Omas nachhaltige Standpauke mit diesem kryptischen Zeichensalat zu tun? Eine ganze Menge! Reiht man nur die Anfangsbuchstaben von Omas Ansage hintereinander, setzt für „kein“ eine Null ein und tauscht alle „S“ gegen „$“, hat man bereits alles, was man für die Erstellung eines hochsicheren Passwortes braucht:

• Diese Zeichenkette steht so in keinem Wörterbuch und ist auch nicht Bestandteil eines möglicherweise dort befindlichen Begriffs.
• Sie besteht aus Groß- und Kleinbuchstaben plus Zahlen und Sonderzeichen.
• Sie besteht aus mindestens 11 Zeichen, wodurch nach aktuellem Stand eine Bruteforce-Attacke selbst aus der Cloud heraus unwirtschaftlich lange brauchen würde.
• Das Prinzip dahinter ist denkbar einfach und jeder kann es sich persönlich gut merken.

Jeder hat vermutlich einen solchen Satz zur Verfügung. Entweder handelt es sich um eine Weisheit, die ein geliebter Mitmensch von sich gegeben hat, ein ehemaliger Lehrer oder andere, berühmtere Persönlichkeiten. Das funktioniert natürlich auch mit dem Lieblingstitel einer CD der nach eigenem Empfinden besten Rockband oder dem ersten Satz auf der Rückseite des Einbands eines favorisierten Bestsellers.

Um die Sicherheit seiner Passwörter zu erhöhen, sollte nicht etwa ein Passwort für alle Gelegenheiten herhalten, sondern das eine Passwort um eine dynamische Komponente erweitert werden. So könnte beispielsweise der „Minsch“ (Mensch), also das „M“ in der Phrase durch den entsprechenden Domainnamen ausgetauscht werden, beispielsweise „Ej0jLawdGMX$$a“, für die das Passwort benötigt wird. Diese Dynamik ist leicht zu merken und man verwendet auf diese Weise nie das gleiche Passwort.

Grundlage für JEDES sichere Passwort ist natürlich, dass man es zu keinem Zeitpunkt weitergibt, weder an den Partner, Kollegen oder besten Freund. Gerade im aktuellen Zusammenhang mit der NSA-Affäre möchte ich diesen Gedanken mit allen Menschen teilen, die ein verstärktes Interesse daran haben, die eigenen, privaten Daten zu schützen. In diesem Sinne danke ich meiner Großmutter ganz besonders für das Zitat und grundsätzlich natürlich für diese Strategie!


5 Antworten zu diesem Blogbeitrag
  1. Wieder ein Betrag zur Verkomplizierung der Merkvorgänge von Passwörtern – entweder man nimmt solch ein erzeugtes Passwort, weil es aber schwer zu merken ist, nimmt man es gleich an zig Stellen – die Sicherheit geht dahin.
    Besser gleich auf Randall Munroe hören:
    http://xkcd.com/936/

    😉

  2. Ich habe auch vor langer Zeit meine wichtigsten Passwörter auf solche „Sätze -> substituierte Wörter“ umgestellt. Allerdings habe ich dabei nie für zwei Seiten einen gleichen Satz verwendet, denn wenn ein Angreifer eines der Passwörter im Klartext in die Finger bekommt und dann feststellt, dass dort die Domain drin vorhanden ist (wie in deinem Beispiel mit GMX), dann hat er im Grunde für alle Konten das Passwort. Ich habe mir eher für jeden Dienst einen passenden Satz überlegt. Hier ein Beispiel für Online-Banking (wie ich es natürlich nicht aktuell verwende): „Hier verwalte ich meine ganzen Euros und Überweisungen“ -> Hv1mg€uÜ. Das Konzept soweit klar?

    Natürlich muss ich mir auch diese Passwörter trotzdem noch merken. Da das auch mir manchmal schwer fällt, habe ich alle in einer KeePass-Datei gespeichert und diese Datei mit drei Passwörtern, die ich hintereinander hänge gesichert.

    Ich muss aber eingestehen: Für wirklich unwichtige Seiten, die aber ein Passwort verlangen, verwende auch ich noch Passwörter, die absolut unsicher sind und mit Sicherheit auf diversen Passwort-Listen stehen. Denn auch ich habe keine Lust mir für meine hunderten Logins immer wieder neue Sätze zu überlegen.

  3. Das Problem ist eben nur, dass die meisten Websites das noch nicht verstanden haben und komplexe Passwörter verlangen und zu lange ablehnen.

  4. Netter Artikel. Die Idee finde ich super.
    Um sichere Passwörter zu erstellen und auch zu SPEICHERN empfehle ich LastPass. Man muss sich lediglich noch ein super sicheres Passwort merken. Den Rest erledigt LastPass.
    …mein momentanes facebook-Passwort weiß ich nicht einmal auswendig, sondern lasse es direkt von LastPass einfügen.