(Hinweis: Dieser Artikel stammt ursprünglich aus unserem internen „Wissensspeicher“ – aber gerade bei diesem Thema teilen wir uns Erfahrungen natürlich gerne!)
Eines gleich vorweg: Am sichersten sind natürlich Passwörter, die aus möglichst vielen, zufällig generierten Buchstaben, Zahlen und Sonderzeichen besteht. In der Praxis brauchen wir aber oft Passwörter, die wir uns gut merken und jederzeit im Kopf wieder herleiten können.
Der individuelle Schlüssel als Passwort
Dieser Schlüssel ist in zweifacher Hinsicht individuell: Nur ich kenne meinen Schlüssel und kann ihn jederzeit im Kopf generieren – und für jedes Login sieht er etwas anders aus. So bin ich in der Lage, auf jeder Website und für jeden Service ein anderes Passwort zu verwenden.
Google empfiehlt folgendes Vorgehen:
„Sie können sich auch einen Satz ausdenken, den nur Sie kennen und der sich auf die spezifische Website bezieht, damit Sie ihn sich leichter merken können. Für Ihr E-Mail-Konto könnten Sie beispielsweise den Satz „Meine Freunde Tom und Jasmin schreiben mir täglich eine lustige E-Mail“ nehmen und dann mithilfe von Zahlen und Buchstaben ein Passwort daraus erstellen. „MFTuJsmt1lE“ ist ein Beispiel für ein sehr sicheres Passwort. Diese Methode können Sie dann auch für andere Passwörter verwenden.“
Ich habe das für mich wie folgt übersetzt/abgewandelt:
- Ein Sonderzeichen, das ich mir gut merken kann: %
- Eine Zahlenkombination, die ich mir gut merken kann: 2908
- Die ersten drei Buchstaben des Namens des Dienstes oder der Domain: dro
- eine Buchstabenkombination, die ich mir gut merken kann: lui
Ergibt für die Dropbox das Passwort: %2908drolui
Oder für Google: %2908goolui
Ihr müsst euch also den 4-gliedrigen Schlüssel merken (natürlich kann noch mehr eingebaut und variiert werden!) und auf den jeweiligen Dienst anpassen.
Und schon vergesst ihr nie wieder ein Passwort, könnt es jederzeit im Kopf herleiten. Gleichzeitig ist es relativ sicher und vor allem für jede Seite und jeden Dienst anders.
Passwortlänge und Passwortsicherheit
Beachtet man die grundlegenden Anforderungen an ein Passwort (kryptische Zeichenfolge), kann gesagt werden, dass je länger ein Passwort ist, desto länger dauert es auch, es zu knacken. Intel hat dazu dieses gif veröffentlicht, das das schön veranschaulicht:
2-Stufen-Authentifizierung verwenden
Inzwischen bieten immer mehr Dienste einen zweistufigen Anmelde-Prozess an. Hierbei genügen nicht nur Benutzername und Passwort für ein Login, zudem muss ein durch eine App generierter oder per SMS zugesendeter Code eingegeben werden.
Selbst wenn euch mal Benutzername & Passwort für einen Dienst abhanden kommen: Die Zugangsdaten sind wertlos, wenn man nicht über die dazugehörigen Codes (App, SMS oder auch auf Papier) verfügt.
Google hat den Prozess nochmal anschaulich dargestellt.
Versand von Zugangsdaten per Mail
Wir speichern Passwörter intern in KeePass, damit wir nicht laufend Zugangsdaten herummailen müssen und jeder Stratege jederzeit auf die benötigten Passwörter Zugriff hat. Gleichzeitig haben wir aber auch immer wieder den Fall, dass uns Kunden und Partner Zugangsdaten zu deren Accounts zur Verfügung stellen möchten/müssen. Wir empfehlen, Zugangsdaten nicht einfach gesammelt in einer Mail zu verschicken. E-Mails sind sicher wie Postkarten und wer vollständige Zugangsdaten verschickt läuft Gefahr, dass unterwegs jemand die Postkarte liest und die Daten mal ausprobiert. Skype macht das zum Beispiel. Das lässt sich einfach umgehen: Der Benutername wird per Telefon durchgegeben, das Passwort kommt per Mail, SMS oder Messenger. Die so bewusst zerstreuten Puzzleteile wieder zusammenzusetzen ist kompliziert und wer Zugangsdaten abgreifen will, sucht sich lieber arglosere Opfer.
Ich hoffe die Tipps helfen euch! Über Anregungen und weitere bewährte Vorgehensweisen freue ich mich in den Kommentaren!