Ich hatte einem Kunden ein Tipp gegeben, wie man sich viele Passwörter im Kopf merkt.
Er fragte grade nach, wie das nochmal ging.
Folgendes ist meine Methode. (Natürlich nicht so ;))
Sie benutzen
a) einen Buchstaben der Domain (also den ersten oder z.B., letzten vor dem letzten Punkt
für XING z.B. also
g
eine Zahl (das kann immer die selbe sein)
z.B.
9
immer das selbe Wort, mit einem Großbuchstaben (besser z.B. den 2. als den ersten)
z.B.
gOlf
immer das selbe Satzzeichen oder besser eine Kombi aus 2
z.B.
_/ (das ist ein Golfschläger ;) )
macht
g9gOlf_/ für XING
für ebay z.B
y9gOlf_/
etc.
WICHTIG ist, dass der geistige Aufwand und der Tippaufwand minimal sind und man es auch am Handy gut eintippen kann, d.h. erstmal mit 2-3 häufigen Passworten testen und dann ...
Das 'Wort' sollte immer so lang sein, dass das Passwort zwischen 6 und 12 Stellen hat, nicht mehr (manche Sites lehnen Passwörter mit über 12 Stellen ab... warum auch immer -> zu hart zu knacken für die NSA ;)
Das ebay-Passwort oben z.B. würde laut https://howsecureismypassword.net/ in 20 Tagen von einem PC gecrackt, von einem NSA-Rechner wahrscheinlich in 20 Minuten, oder in 2 Sekunden ;) Eigene Systeme sollte man also so einstellen, dass sie nach 5-10 Fehlversuchen die Loginfunktion für eine Stunde oder so sperren.
So kann man sich Millionen von Passwörtern "merken" ;)
Ja, man kann das komplexer machen. Ich habe es probiert. Es ist gescheitert.
Also sowas wie: (für XING)
- zuerst der letze Buchstabe der Domain um eins verschoben g -> h
- dann der vorletzte, auch verschoben n ->o
- dann der zweite (auch) und erste (auch) i -> j x->y
- dann eine Zahl, die die Position des ersten Vokals nummeriert (2 Buchstabe bei XING also 2, ein Wort ohne Vokal hätte eine 0)
- dann 4 Satzzeichen, die sich nicht wiederholen
Es sind natürlich auch Verfahren denkbar, das das oben beschrieben System minimal komplexer machen und zu mehr verschiedenen Passwörtern führen (Worte, die mit Vokal beginnen haben im Passwort die Satzzeichen vorn o.ä., das Standardwort ändert sich abhängig von der Vokalposition in der Domain etc.)
Also: hojy2,.-#
Ich hatte ein ähnliches System etwa ne Woche im Einsatz. Z.T. konnte ich mir nicht mal zwei Tage lang mein Rezept merken und es dauerte ewig und gab x Fehlversuche, das Passwort einzugeben. Für sehr kurze Domains mit sich wiederholenden Buchstaben wirkten die entstehenden Passwörter auch nicht besonders überzeugend. Und Sonderzeichen sitzen auf Handytastaturen an den doofsten Stellen.
Alternativ setzen viele Leute Passwortverwaltungen ein, aus einer Sicht ist das eher ein Risiko als eine Lösung, da man ALLE Passwörter verliert, wenn jemand EINES crackt.
Das obige System scheitert natürlich auch, sobald jemand 2-3 Passwörter von einem sieht. Deshalb habe ich wichtige Accounts nach einem zweiten System verschlüsselt, das mit dem ersten nichts zu tun hat, also z.B. meinen Mail- und Xing-Account. Oder das Passwort meines Laptops.
Andererseits habe ich durchaus 'geldrelevante' Accounts, die seit über 10 Jahren das selbe Passwort haben, das aus einem nicht schwer zu crackenden Code besteht. Und bisher ist nichts passiert.
Die sichersten Passwörter sind übrigens ganze Sätze aus Lexikonwörtern.
Also sowas wie:
Wer vieles bringt, wird manchen etwas bringen.
"It would take a desktop PC about 113 unvigintillion years to crack your password." sagt der Passwortchecker. Wie viel das auch immer ist.
Er fragte grade nach, wie das nochmal ging.
Folgendes ist meine Methode. (Natürlich nicht so ;))
Sie benutzen
a) einen Buchstaben der Domain (also den ersten oder z.B., letzten vor dem letzten Punkt
für XING z.B. also
g
eine Zahl (das kann immer die selbe sein)
z.B.
9
immer das selbe Wort, mit einem Großbuchstaben (besser z.B. den 2. als den ersten)
z.B.
gOlf
immer das selbe Satzzeichen oder besser eine Kombi aus 2
z.B.
_/ (das ist ein Golfschläger ;) )
macht
g9gOlf_/ für XING
für ebay z.B
y9gOlf_/
etc.
WICHTIG ist, dass der geistige Aufwand und der Tippaufwand minimal sind und man es auch am Handy gut eintippen kann, d.h. erstmal mit 2-3 häufigen Passworten testen und dann ...
Das 'Wort' sollte immer so lang sein, dass das Passwort zwischen 6 und 12 Stellen hat, nicht mehr (manche Sites lehnen Passwörter mit über 12 Stellen ab... warum auch immer -> zu hart zu knacken für die NSA ;)
Das ebay-Passwort oben z.B. würde laut https://howsecureismypassword.net/ in 20 Tagen von einem PC gecrackt, von einem NSA-Rechner wahrscheinlich in 20 Minuten, oder in 2 Sekunden ;) Eigene Systeme sollte man also so einstellen, dass sie nach 5-10 Fehlversuchen die Loginfunktion für eine Stunde oder so sperren.
So kann man sich Millionen von Passwörtern "merken" ;)
Ja, man kann das komplexer machen. Ich habe es probiert. Es ist gescheitert.
Also sowas wie: (für XING)
- zuerst der letze Buchstabe der Domain um eins verschoben g -> h
- dann der vorletzte, auch verschoben n ->o
- dann der zweite (auch) und erste (auch) i -> j x->y
- dann eine Zahl, die die Position des ersten Vokals nummeriert (2 Buchstabe bei XING also 2, ein Wort ohne Vokal hätte eine 0)
- dann 4 Satzzeichen, die sich nicht wiederholen
Es sind natürlich auch Verfahren denkbar, das das oben beschrieben System minimal komplexer machen und zu mehr verschiedenen Passwörtern führen (Worte, die mit Vokal beginnen haben im Passwort die Satzzeichen vorn o.ä., das Standardwort ändert sich abhängig von der Vokalposition in der Domain etc.)
Also: hojy2,.-#
Ich hatte ein ähnliches System etwa ne Woche im Einsatz. Z.T. konnte ich mir nicht mal zwei Tage lang mein Rezept merken und es dauerte ewig und gab x Fehlversuche, das Passwort einzugeben. Für sehr kurze Domains mit sich wiederholenden Buchstaben wirkten die entstehenden Passwörter auch nicht besonders überzeugend. Und Sonderzeichen sitzen auf Handytastaturen an den doofsten Stellen.
Alternativ setzen viele Leute Passwortverwaltungen ein, aus einer Sicht ist das eher ein Risiko als eine Lösung, da man ALLE Passwörter verliert, wenn jemand EINES crackt.
Das obige System scheitert natürlich auch, sobald jemand 2-3 Passwörter von einem sieht. Deshalb habe ich wichtige Accounts nach einem zweiten System verschlüsselt, das mit dem ersten nichts zu tun hat, also z.B. meinen Mail- und Xing-Account. Oder das Passwort meines Laptops.
Andererseits habe ich durchaus 'geldrelevante' Accounts, die seit über 10 Jahren das selbe Passwort haben, das aus einem nicht schwer zu crackenden Code besteht. Und bisher ist nichts passiert.
Die sichersten Passwörter sind übrigens ganze Sätze aus Lexikonwörtern.
Also sowas wie:
Wer vieles bringt, wird manchen etwas bringen.
"It would take a desktop PC about 113 unvigintillion years to crack your password." sagt der Passwortchecker. Wie viel das auch immer ist.
Hat man jetzt z.B. für jeden Domain-Endbuchstaben nun einen separaten Satz oder einen andere Veränderungsvarianz, die nicht TOTAL offensichtlich oder einen Hauch unauffällig ist (Position des Kommas, Komma weglassen, wenn ..., "fehlplatzierte Leerzeichen", | statt I, 0 statt O etc.), dann hätte man wohl ein ideales System.
Hier schlagen ein die Systeme ein Schnippchen, die eben max. 12 Zeichen im Passwort erlauben.
Es bliebt schwierig.
Auf eins kann man sich verlassen: Will die NSA das Passwort haben, finden sie auch so einen Weg. Ein leicht(er) zu ratendes Passwort erspart einem also Folter oder Schlimmeres.
PS: wenn man ganze Sätze benuzt, sollte man nicht wie oben bekannte Zitate oder überhaupt Wortsequenzen benutzen, die im Web vorkommen, da manche Passwortknacker z.B. einfach die ganze Wikipedia 'Satz für Satz' durch die Hackprogramme laufen lassen. Man sollte also zuminest Teilke diese "Passphrase" mal durch eine Suche jagen oder noch besser etwas so unsinniges verwenden, dass es das sicher nicht gibt..Also so etwas wie "The quick brown fox halleluja Schinkenbrot."
Hier schlagen ein die Systeme ein Schnippchen, die eben max. 12 Zeichen im Passwort erlauben.
Es bliebt schwierig.
Auf eins kann man sich verlassen: Will die NSA das Passwort haben, finden sie auch so einen Weg. Ein leicht(er) zu ratendes Passwort erspart einem also Folter oder Schlimmeres.
PS: wenn man ganze Sätze benuzt, sollte man nicht wie oben bekannte Zitate oder überhaupt Wortsequenzen benutzen, die im Web vorkommen, da manche Passwortknacker z.B. einfach die ganze Wikipedia 'Satz für Satz' durch die Hackprogramme laufen lassen. Man sollte also zuminest Teilke diese "Passphrase" mal durch eine Suche jagen oder noch besser etwas so unsinniges verwenden, dass es das sicher nicht gibt..Also so etwas wie "The quick brown fox halleluja Schinkenbrot."
Hi Oliver, danke für den klasse Artikel und deine einzigartige Strategie. Super finde ich auch, dass du am Ende des Artikels noch auf die Passphrase eingehst. Soweit ich weiß, wird diese von immer mehr Sicherheitsexperten empfohlen, da sie sehr lang ist aber trotzdem einfach zu merken.
AntwortenLöschenWas mich etwas gewundert hat: Warum bist du nicht auf Passwort-Manager, wie KeePass oder Bitwarden eingegangen? Die sparen einem einiges an Zeit und Gehirnschmalz, generieren für jeden Anwendungszweck sichere und einzigartige Passwörter und sind bei richtiger Anwendung wahrscheinlich genauso sicher, wie deine Strategie.
Wer mehr darüber erfahren will, kann sich gerne unseren Blog-Artikel ansehen: https://www.privacytutor.de/blog/passwoerter/
Liebe Grüße
Lena
Kann ich dir sagen, wenn irgendwer den Passswort-Vault knackt, dann sind **alle** deine Accounts kompromittiert. Und bisschen Hirngymnansik tut allen gut ;)
Löschen