Passwort-Pflege im Nachhinein ist anstrengend

03.04.2022 21:26
ca. 5 Minuten Lesezeit

Ihr kennt das Dauerbrenner-Thema: „Passwörter“. Da gibt es verschiedene Arten Anwender und wie sie es mit Passworten so handhaben:

Ein Passwort für alles

Es ist der schlimmste User, den man sich vorstellen kann. Ein Standard-Passwort für alles, sei es das E-Mail-Postfach, Online-Banking (wahlweise dort mit dem Geburtsdatum als Log-in-Pin) oder in jedem Online-Shop. Hauptsache man kann es so schnell wie möglich tippen, egal ob auf dem Handy oder der Computer-Tastatur. Und jeder im Freundeskreis kennt das Passwort, weil es natürlich auch das geteilte Netflix-Konto-Passwort ist.
An der Stelle sollte eigentlich erst das WLAN-Kennwort statt Netflix-Konto-Passwort stehen, aber dieser User ändert sein vom Provider vorgegebenen Wifi-Schlüssel erst gar nicht.

Heißt aber auch: fällt dieses Passwort von einer Billo-Website runter, kann sich ein Angreifer bei jeder anderen Website, wo dieser User registriert ist, easy einloggen.

„Warum sollte ich da ein Problem haben?“ Fragt gerne mal den Steam-Support (das sind die, die wahrscheinlich einen Großteil eurer Spiele und damit auch Zugänge zu selbigen verwalten). Wie oft ich inzwischen von Menschen gehört habe, dass ihr E-Mail-Accounts gehacked und dadurch andere Accounts übernommen worden sind, obwohl sie nur überall dasselbe Passwort verwendet haben. Nein, das war kein Hack, das ist einfach eure eigene Dummheit und durch diese Dummheit konnte man ganz simpel ausnutzen!

Drei verschiedene Passwörter

„Ich will ja sicher sein, deshalb habe ich 3 verschieden Passwörter“. Brüller! Je nach angefragter Sicherheit der Website („dieses Passwort benötigt noch ein Sonderzeichen“), wird das passende Kennwort verwendet. Und beim Log-in werden dann alle drei Varianten einfach durchprobiert.

Das „Hacking-Problem“ wie beim Ein-Passwort-für-alles-Nutzer wird hier verkleinert, aber die Chance ist trotzdem noch 1 zu 3.

Drei verschiedene Passwörter in einer Excel-Datei

„Ich kann mir nicht merken, welches Passwort ich wo benutzt habe, deshalb habe ich eine Excel-Datei auf dem Desktop liegen, in der alle Passwörter den Webseiten zugeordnet sind.“ 🙄
Hierzu muss man eigentlich nichts mehr sagen. Hier ist am Ende auch egal, wie viele verschiedene Kennwörter es sind, die Excel-Datei ist hier eigentlich noch die größte Unsicherheit.

Die Hacking-Chance ist keineswegs gesunken zum vorherigen User-Typ.

Schema-Passwörter

Dieser User hält sich für besonders schlau, ist es aber nicht. Dieses Schema besteht dann gerne aus dem Namen des ersten Haustiers, dem Namen der Seite und einer Zahl, die man mehr oder weniger sich selbst zuweisen kann. Also so etwas wie „WuffiOttoVersand2022“. Das hat ungefähr die Sicherheit wie bei den Ein-Passwort-für-alles-Usern. Hat man das Schema herausgefunden, kommt man easy in alles rein.

Passwort-Manager mit generierten Passwörtern und sicherem Master-Passwort

Das hier ist der natürlich genau das, was jeder User haben sollte: auf jeder Website ein anderes, von einem Computer generiertes, Passwort mit einer Mindestlänge, Sonderzeichen und wenn möglich: nicht so einfach tippbar. Der Benutzer kommt am besten weiter, wenn er seine Passwörter gar nicht kennt und sie einfach nur aus dem Passwort-Manager kopiert und im passenden Log-in einfügt. Wenn der Passwort-Manager dann richtig gut ist, löscht er das Passwort nach einer einstellbaren Zeit auch wieder aus der Zwischenablage, damit man es nicht versehentlich woanders einfügt und abschickt, wie in Chats.

Soweit zum Vorwort. Nein, Scherz.

Ich bin eigentlich seit langer Zeit ein Fan von letzterer Variante. Erst mit KeePass (heute eher KeepassXC) als Software, aber die war mir immer zu lokal. Der Sync über Web-Festplatten wie Dropbox oder ähnlichen Tools, damit man die Datenbank auch auf dem Handy hat, war mir immer zu umständlich und teilweise instabil. Geht mir bis heute so.
Danach kam Cloudkeys, ein ursprünglich von Knut und mir 2013 (?) geschriebener Web-Passwort-Manager, der die Daten für damalige Verhältnisse sicher gespeichert hat. Selbst wir hatten keine Möglichkeit, auf die Daten anderer User zuzugreifen oder auf unsere, wenn wir das Passwort vergessen hätten.

Allerdings, und das muss man wirklich deutlich zugeben, haben wir zu wenig Zeit darin investiert, das Tool weiterzuentwickeln. Job und so, ihr kennt das. Deshalb habe ich lange Zeit nach einer guten Lösung Ausschau gehalten, die sicher genug ist, aber die die Daten nicht zentral bei einem Anbieter lagert, wie bei LastPass oder 1password. Allerdings rauschte durch meine Mastodon-Timeline immer mal wieder Bitwarden. Eine Lösung, die es zwar auch zentral bei einem Anbieter gibt, aber die man auch selbst hosten kann und die Open Source ist.

Was soll ich sagen: Finde ich gut. Sie hat auch Features wie TOTP, sodass man keine Software wie Google Authenticator für eine Zwei-Faktor-Authentifizierung benötigt. Außerdem Browser-Extensions, die den Manager direkt in den Browser integrieren. Die restlichen Features lest ihr bitte selbst nach.

Aufräumen ist angesagt

Wenn man seine Daten von einem Passwort-Manager zum Anderen kopiert, hat man ja vielleicht schon mal etwas Arbeit, aber das hält sich in Grenzen. Viel schlimmer wurde es, als ich die über 15 Jahre gesammelten und gespeicherten Passwörter aus meinem Browser importiert habe. Und ja, hier ist das große Problem: Ich war 15 Jahre lang sehr faul. Der Großteil der Accounts war sinnvoll mit Passwort-Manager und generierten Passworten angelegt. Aber eben nicht alles. Manchmal musste es schnell oder auch am Handy gehen und dann wurde ich zum Drei-Verschiedene-Passwörter-Typen. Ganz schlimm. Und ich schäme mich wirklich dafür.

Natürlich sammeln sich in der Zeit auch viele Log-ins von Portalen an, die es schon gar nicht mehr gibt. Und für mich war dieser Umzug der Zugangsdaten jetzt eine gute Gelegenheit, alles mal aufzuräumen. Dass Bitwarden mir auch eine Übersicht bietet, wenn ein Passwort mehrfach verwendet wird, hat mir richtig viel Arbeit beschert. Ich glaube, ich habe mich in den letzten Tagen bei mehr als 100 Portalen angemeldet (oder zumindest versucht), um dort die passenden Passwörter auf Stand zu bringen und dafür zu sorgen, dass keins der „Standard-Passwörter“ mehr überlebt hat.

Daraus folgte dann natürlich auch das große Sterben der Einträge. Von den 1383 aus dem Browser und 412 aus dem alten Passwort-Manager importierten Einträge wurden 430 bereinigte Einträge in der Passwort-Datenbank mit frischen Zugangsdaten. Wo es möglich und noch nicht geschehen war, habe ich natürlich auch direkt mal die 2-Faktor-Authentifizierung aktiviert. Es gab inzwischen deutlich mehr Portale, die es unterstützen, als mir bekannt war, aber Bitwarden hat mir direkt mal davon erzählt.

Außerdem habe ich im Browser auch direkt mal alle gespeicherten und synchronisierten Passwörter gelöscht. Ich habe die Sicherung ohnehin, also kein Verlust und meine Daten werden nicht unverschlüsselt „irgendwo“ gespeichert.

Wenn ich mir vorstelle, dass dies eigentlich fast jeder Mensch mal machen sollte, wird mir direkt schlecht. Und ich denke, ich habe schon eine gute Passwort-Haltung mit leichten Lücken betrieben. Wie sieht das erst bei Otto-Normal-User aus?


Hier gibt es keinen Kommentarbereich. Hast du etwas zu kommentieren? Dann blogge einfach selbst. Oder schreib darüber mit deinem Kommentar in einem sozialen Netzwerk deiner Wahl.