So alt sind die noch gar nicht, meine Passw\u00f6rter. Die Idee eines Passworts \u00fcberbrachte mir mein Kinderheld Kalle Blomquist, indem er seine Mitdetektive erst nach Nennung einer korrekten Losung (heute: Shared Secret = alle wissen es) ins Baumhaus einlie\u00df. Um sich dann mit ihnen in der sog. \u201eR\u00e4ubersprache\u201c (basiert auf Konsonantenverdopplung mit eingeschobenem Vokal) zu verst\u00e4ndigen. Kryptografie auf Kinderbeinen. Danke, Astrid Lindgren!<\/p>\n
Ziehen wir den fr\u00fchen 80er-Jahre-Weihnachtsvorhang nochmal auf, hinter dem die neue digitale Welt wartete: Der erste C64 wies auf seinem Mono-GW-Monitor exakt denselben Farbraum auf wie ein nackter Tannenbaum im Schnee. Er konnte mit Passw\u00f6rtern noch nichts anfangen. Wo im ROM sollte er sie auch speichern? Nein, man h\u00e4tte das Vergleichs-Passwort zun\u00e4chst samt dazu programmierter Anwendung von Floppy oder \u2013 Gott bewahre \u2013 Datasette laden m\u00fcssen.<\/p>\n
<\/p>\n
Auch die nachfolgenden drei Musketiere, nennen wir sie Amiga, Schneider und Escom, waren eher auf das Prinzip Single-User angelegt. Es schlossen sich nahtlos Windows 3.1 und die 9.x-Schiene an, erst die NT-basierten Nachfolger erlaubten einen sch\u00fctzenswerten MultiuserMitPasswort-Betrieb.<\/p>\n
Auf die dicken unixoiden Maschinen w\u00e4hrend der Ausbildung hingegen kam kein noch so verpickelter Jungnerd ohne Passwort. Wobei die \/etc\/passwd nat\u00fcrlich f\u00fcr jeden lesbar war und es zu den \u00fcblichen Gepflogenheiten h\u00f6herer Semester geh\u00f6rte, f\u00fcr neue Anwender ohne gesetzten Hash zwischen den Doppelpunkten selbst per \u201epasswd\u201c ein solches anzulegen. Macht sich gut in einem IT-Studiengang, mit so einem Problem (\u201eIch habe ein Passwort, aber ich wei\u00df es nicht.\u201c) beim Netzwerkadmin vorstellig werden zu m\u00fcssen.<\/p>\n
Die einzige Strategie damals lautete: Denk dir ein Passwort aus und vergiss es niemals! (d.h.: \u00c4ndere es nicht, das bringt Unordnung in dein und unser Leben). Schreib es dir in eine Textdatei und speichere diese sofort auf deinem Homelaufwerk ab.
\nDas erinnerte mich an meinen Opa, der mir empfahl, den Ersatzschl\u00fcssel f\u00fcr meine Geldkassette immer in dieser selbst zu lagern: \u201eDaf\u00fcr ist die da und dort ist er sicher, mein Junge!\u201c Hmmm.<\/p>\n
Nun begab es sich, dass zeitgleich irgendwo anders auf der Welt irgendjemand anders das Internet erfand. Und das Internet erfand viele mehr oder weniger seri\u00f6se Dienste, bei denen man sich auch anmelden wollte. Mit \u201eseinem\u201c K\u00fcrzel (Kollisionen mit anderen Usern vollkommen ausgeschlossen) und \u201eseinem\u201c Passwort (immer dasselbe, wir erinnern uns).<\/p>\n
Die Duplizierung dieser Geheiminformationen auf allen m\u00f6glichen Servern der Welt macht selbige attraktiv und die Geheiminformationen nicht eben sicherer. Eine neue Strategie musste her. So beschritt man den zaghaften Ausweg, das eigene Passwort nach festgelegtem Schema mit dem Namen des Dienstes zu verkn\u00fcpfen. Was zu Leichtgewichten wie \u201epass4web.de\u201c, \u201epass4ebay\u201c und \u201epass4amazon\u201c f\u00fchrte. Schlimmer, die Anleitung im Internet hatte noch Autorit\u00e4tsstatus, da wurden die Beispiele dort w\u00f6rtlich abkopiert. Glauben Sie nicht, [Please enter your name]? Example.com hatte niemals so viel Traffic wie damals.<\/p>\n
Kein haltbarer Zustand und \u00fcberdies h\u00e4uften sich F\u00e4lle, wo \u201eTron\u201c, \u201eR2D2\u201c oder \u201eFury, das Pferdchen\u201c als DIE eindeutige Benutzerkennung doch tats\u00e4chlich schon vergeben waren. Siegeszug und Seligsprechung der E-Mail-Adresse verdr\u00e4ngten den Nickname. Wechsle nie deinen (Mail)provider, bzw. pr\u00fcfe, wessen Identit\u00e4t du selbst beim Provider oder neuen Arbeitgeber in Form deiner dir zugewiesenen E-Mail-Adresse erbst.<\/p>\n
Zur\u00fcck zu den einfachen Passwort-Schemata. Man suchte nach Auswegen und meinte diese in der F\u00e4higkeit des Menschen entdeckt zu haben, komplexe Dinge durch Transferleistung auf einfache bekannte Geschichten herunterbrechen zu k\u00f6nnen. Wir kennen Extrembeispiele noch als schaumstoffbebrillte Wettkandidaten einer beliebten Samstagabend-Sendung, die durch einen angetrunkenen Prominenten willk\u00fcrlich herausgefischte Abschnitte einer 3 km langen Zahlenkolone m\u00fchelos rezitieren konnten. Er helfe sich damit, so ein Wettkandidat, aus den (wiederkehrenden) Informationen\/Mustern m\u00f6glichst einfache Bilder zu erzeugen, die er im Gesamtverlauf zu einer Geschichte mache. In seinem Fall etwas mit Bauernhof.
\nNun war ich \u2013 um beim Bild zu bleiben \u2013 leider schon als Kind in Sachen Mathe ein Rindvieh und \u00fcberdies eher urban sozialisiert, so dass ich zu Zahlenmustern und Landwirtschaft bis heute kein harmonisches Verh\u00e4ltnis aufbauen konnte. Aber prinzipiell d\u00fcrfte eine fortlaufende Geschichte zur (unterschiedlichen) Passwortwahl gut funktionieren. So lange die Fortl\u00e4ufigkeit nicht darin besteht, einfach nur eine fortlaufende Zahl an einen festen lexikalischen Begriff anzuh\u00e4ngen. sommer1, sommer2, sommer3 \u2026 dann lieber sommer96-malle, sommer97-ibiza, sommer98-regen.<\/p>\n
Was man nicht im Kopf hat, hat man auf der Platte. Im Verlauf der Zeit nahmen uns die Browser das Erinnern ab, indem sie sich Website bzw. Domain und die dort im <input type=password> eingegebene Zeichenkette in ihrem kleinen Safe abspeicherten. Leider noch in der Endphase einer Zeit, in der der (Medion)-PC wie der Fernseher fr\u00fcher als zentrales Wohnzimmer-Element der ganzen Familie geh\u00f6rte. Login gleich Admin.<\/p>\n
Das Prinzip des Passwort-Safes entwickelte sich, jedoch zun\u00e4chst nur in Form von Insell\u00f6sungen. \u201eM\u00f6chten Sie, dass Ihr Passwort gespeichert wird?\u201c Ja, m\u00f6chte ich. Aber woanders geht\u2019s dann nicht mehr, weil dort die Anwendung nicht installiert bzw. das damals gespeicherte Passwort in der Zwischenzeit vergessen wurde. Und drankommen kann man auch nicht mehr.<\/p>\n
Hier zeichnete sich schon eine Entwicklung ab, die heute l\u00e4ngst noch nicht den Zipfel der Fahnenstange erreicht hat: Wir haben jetzt schon jeder f\u00fcr sich mehr Rechner und Smartphones, mehr \u201eDevices\u201c, als ein Chefarzt Zweitwagen. Insofern ist die Herausforderung eher, sich einen zentralen Passwort-Safe zu halten und den \u00fcber alle Devices zu syncen. Das muss vor allem unabh\u00e4ngig vom einzelnen Programm (B\u00e4umchen wechsel dich), unabh\u00e4ngig vom Betriebssystem (Keychain) und unabh\u00e4ngig vom aktuellen Online-Status (vom Netz) sein.<\/p>\n
Ich habe dazu lange einfach Gnu-gpg verwendet, bin aber vor einiger Zeit auf (Mini)-Keypass umgestiegen. Das ist in etwa dieselbe L\u00f6sung wie 1-Password, Alle meine Passw\u00f6rter u.\u00e4., die einen Katalog aller Passw\u00f6rter von allen m\u00f6glichen Webdiensten, SQL-Datenbanken oder Zugangsdaten f\u00fcr Server in sich tragen. Die Passw\u00f6rter selbst kenne ich nicht, sie werden von dem Tool per Random in Form einer wirren Zeichenkette erzeugt (Nein, ich erzeuge dabei selbst keine Entropie, indem ich wild mit der Maus wedelnd den Kaffee \u00fcber die Tastatur kippe). Lediglich das Masterpasswort wird zum Entsperren der Datei im Ged\u00e4chtnis ben\u00f6tigt. Und das ist ziemlich lang und random.<\/p>\n
Damit die Passw\u00f6rter immer verf\u00fcgbar sind, greifen die Minikeypass-Apps auf Windows, Linux, MacOs und iOS auf ihr Masterfile zu, welches bei \u00c4nderungen per Dropbox-Sync auf die jeweils anderen Devices verteilt wird.<\/p>\n
Wo sind die Schwachpunkte? Die GUI von Minikeypass ist weit entfernt von jeder \u00c4sthetik, die Sortier- und Kategoriefunktionen sind noch ausbauf\u00e4hig und man kann sich bei Unachtsamkeit ein bestehendes Passwort durch den Generator \u00fcberschreiben (zum Gl\u00fcck kein Autosave).
\nAber das Prinzip, besser, diese Strategie funktioniert f\u00fcr mich. Und darauf kommt\u2019s an. So long!<\/p>\n","protected":false},"excerpt":{"rendered":"
So alt sind die noch gar nicht, meine Passw\u00f6rter. Die Idee eines Passworts \u00fcberbrachte mir mein Kinderheld Kalle Blomquist, indem […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-344","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/344","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=344"}],"version-history":[{"count":5,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/344\/revisions"}],"predecessor-version":[{"id":399,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/344\/revisions\/399"}],"wp:attachment":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=344"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=344"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=344"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}