So alt sind die noch gar nicht, meine Passwörter. Die Idee eines Passworts überbrachte mir mein Kinderheld Kalle Blomquist, indem er seine Mitdetektive erst nach Nennung einer korrekten Losung (heute: Shared Secret = alle wissen es) ins Baumhaus einließ. Um sich dann mit ihnen in der sog. „Räubersprache“ (basiert auf Konsonantenverdopplung mit eingeschobenem Vokal) zu verständigen. Kryptografie auf Kinderbeinen. Danke, Astrid Lindgren!
Ziehen wir den frühen 80er-Jahre-Weihnachtsvorhang nochmal auf, hinter dem die neue digitale Welt wartete: Der erste C64 wies auf seinem Mono-GW-Monitor exakt denselben Farbraum auf wie ein nackter Tannenbaum im Schnee. Er konnte mit Passwörtern noch nichts anfangen. Wo im ROM sollte er sie auch speichern? Nein, man hätte das Vergleichs-Passwort zunächst samt dazu programmierter Anwendung von Floppy oder – Gott bewahre – Datasette laden müssen.
Auch die nachfolgenden drei Musketiere, nennen wir sie Amiga, Schneider und Escom, waren eher auf das Prinzip Single-User angelegt. Es schlossen sich nahtlos Windows 3.1 und die 9.x-Schiene an, erst die NT-basierten Nachfolger erlaubten einen schützenswerten MultiuserMitPasswort-Betrieb.
Auf die dicken unixoiden Maschinen während der Ausbildung hingegen kam kein noch so verpickelter Jungnerd ohne Passwort. Wobei die /etc/passwd natürlich für jeden lesbar war und es zu den üblichen Gepflogenheiten höherer Semester gehörte, für neue Anwender ohne gesetzten Hash zwischen den Doppelpunkten selbst per „passwd“ ein solches anzulegen. Macht sich gut in einem IT-Studiengang, mit so einem Problem („Ich habe ein Passwort, aber ich weiß es nicht.“) beim Netzwerkadmin vorstellig werden zu müssen.
Die einzige Strategie damals lautete: Denk dir ein Passwort aus und vergiss es niemals! (d.h.: Ändere es nicht, das bringt Unordnung in dein und unser Leben). Schreib es dir in eine Textdatei und speichere diese sofort auf deinem Homelaufwerk ab.
Das erinnerte mich an meinen Opa, der mir empfahl, den Ersatzschlüssel für meine Geldkassette immer in dieser selbst zu lagern: „Dafür ist die da und dort ist er sicher, mein Junge!“ Hmmm.
Nun begab es sich, dass zeitgleich irgendwo anders auf der Welt irgendjemand anders das Internet erfand. Und das Internet erfand viele mehr oder weniger seriöse Dienste, bei denen man sich auch anmelden wollte. Mit „seinem“ Kürzel (Kollisionen mit anderen Usern vollkommen ausgeschlossen) und „seinem“ Passwort (immer dasselbe, wir erinnern uns).
Die Duplizierung dieser Geheiminformationen auf allen möglichen Servern der Welt macht selbige attraktiv und die Geheiminformationen nicht eben sicherer. Eine neue Strategie musste her. So beschritt man den zaghaften Ausweg, das eigene Passwort nach festgelegtem Schema mit dem Namen des Dienstes zu verknüpfen. Was zu Leichtgewichten wie „pass4web.de“, „pass4ebay“ und „pass4amazon“ führte. Schlimmer, die Anleitung im Internet hatte noch Autoritätsstatus, da wurden die Beispiele dort wörtlich abkopiert. Glauben Sie nicht, [Please enter your name]? Example.com hatte niemals so viel Traffic wie damals.
Kein haltbarer Zustand und überdies häuften sich Fälle, wo „Tron“, „R2D2“ oder „Fury, das Pferdchen“ als DIE eindeutige Benutzerkennung doch tatsächlich schon vergeben waren. Siegeszug und Seligsprechung der E-Mail-Adresse verdrängten den Nickname. Wechsle nie deinen (Mail)provider, bzw. prüfe, wessen Identität du selbst beim Provider oder neuen Arbeitgeber in Form deiner dir zugewiesenen E-Mail-Adresse erbst.
Zurück zu den einfachen Passwort-Schemata. Man suchte nach Auswegen und meinte diese in der Fähigkeit des Menschen entdeckt zu haben, komplexe Dinge durch Transferleistung auf einfache bekannte Geschichten herunterbrechen zu können. Wir kennen Extrembeispiele noch als schaumstoffbebrillte Wettkandidaten einer beliebten Samstagabend-Sendung, die durch einen angetrunkenen Prominenten willkürlich herausgefischte Abschnitte einer 3 km langen Zahlenkolone mühelos rezitieren konnten. Er helfe sich damit, so ein Wettkandidat, aus den (wiederkehrenden) Informationen/Mustern möglichst einfache Bilder zu erzeugen, die er im Gesamtverlauf zu einer Geschichte mache. In seinem Fall etwas mit Bauernhof.
Nun war ich – um beim Bild zu bleiben – leider schon als Kind in Sachen Mathe ein Rindvieh und überdies eher urban sozialisiert, so dass ich zu Zahlenmustern und Landwirtschaft bis heute kein harmonisches Verhältnis aufbauen konnte. Aber prinzipiell dürfte eine fortlaufende Geschichte zur (unterschiedlichen) Passwortwahl gut funktionieren. So lange die Fortläufigkeit nicht darin besteht, einfach nur eine fortlaufende Zahl an einen festen lexikalischen Begriff anzuhängen. sommer1, sommer2, sommer3 … dann lieber sommer96-malle, sommer97-ibiza, sommer98-regen.
Was man nicht im Kopf hat, hat man auf der Platte. Im Verlauf der Zeit nahmen uns die Browser das Erinnern ab, indem sie sich Website bzw. Domain und die dort im <input type=password> eingegebene Zeichenkette in ihrem kleinen Safe abspeicherten. Leider noch in der Endphase einer Zeit, in der der (Medion)-PC wie der Fernseher früher als zentrales Wohnzimmer-Element der ganzen Familie gehörte. Login gleich Admin.
Das Prinzip des Passwort-Safes entwickelte sich, jedoch zunächst nur in Form von Insellösungen. „Möchten Sie, dass Ihr Passwort gespeichert wird?“ Ja, möchte ich. Aber woanders geht’s dann nicht mehr, weil dort die Anwendung nicht installiert bzw. das damals gespeicherte Passwort in der Zwischenzeit vergessen wurde. Und drankommen kann man auch nicht mehr.
Hier zeichnete sich schon eine Entwicklung ab, die heute längst noch nicht den Zipfel der Fahnenstange erreicht hat: Wir haben jetzt schon jeder für sich mehr Rechner und Smartphones, mehr „Devices“, als ein Chefarzt Zweitwagen. Insofern ist die Herausforderung eher, sich einen zentralen Passwort-Safe zu halten und den über alle Devices zu syncen. Das muss vor allem unabhängig vom einzelnen Programm (Bäumchen wechsel dich), unabhängig vom Betriebssystem (Keychain) und unabhängig vom aktuellen Online-Status (vom Netz) sein.
Ich habe dazu lange einfach Gnu-gpg verwendet, bin aber vor einiger Zeit auf (Mini)-Keypass umgestiegen. Das ist in etwa dieselbe Lösung wie 1-Password, Alle meine Passwörter u.ä., die einen Katalog aller Passwörter von allen möglichen Webdiensten, SQL-Datenbanken oder Zugangsdaten für Server in sich tragen. Die Passwörter selbst kenne ich nicht, sie werden von dem Tool per Random in Form einer wirren Zeichenkette erzeugt (Nein, ich erzeuge dabei selbst keine Entropie, indem ich wild mit der Maus wedelnd den Kaffee über die Tastatur kippe). Lediglich das Masterpasswort wird zum Entsperren der Datei im Gedächtnis benötigt. Und das ist ziemlich lang und random.
Damit die Passwörter immer verfügbar sind, greifen die Minikeypass-Apps auf Windows, Linux, MacOs und iOS auf ihr Masterfile zu, welches bei Änderungen per Dropbox-Sync auf die jeweils anderen Devices verteilt wird.
Wo sind die Schwachpunkte? Die GUI von Minikeypass ist weit entfernt von jeder Ästhetik, die Sortier- und Kategoriefunktionen sind noch ausbaufähig und man kann sich bei Unachtsamkeit ein bestehendes Passwort durch den Generator überschreiben (zum Glück kein Autosave).
Aber das Prinzip, besser, diese Strategie funktioniert für mich. Und darauf kommt’s an. So long!