Überlegen Sie mal – wie viele Passwörter haben Sie heute schon eingegeben? Bei mir waren es mindestens vier – und zwei davon habe ich erst einmal falsch eingegeben. So langsam wächst sich dieses Thema hier zum Aufreger Nr. 1 aus. Und zwar unter anderem, weil die Unternehmen sich nicht einigen können, wie ein gutes Passwort auszusehen hat.
Es wird ja immer gefordert, dass für jede Website ein anderes Passwort verwendet wird, aber das ist völlig praxisfremd – es geht ja bei den meisten, die viel im Internet unterwegs sind, um zwei- bis zweistellige Zahlen von Logins. Zusätzlich sollen Passwörter keine realen Worte enthalten, sondern sinnfreie Zahlen-/Buchstaben-Kombinationen. Das kann sich kein Mensch merken.
Eine Lösung hat die c’t schon 2011 vorgestellt: Man kombiniert einen komplexen sinnfreien Teil, der bei allen Websites gleich ist, mit einem Website-spezifischen Teil zu Passwörtern, die alle unterschiedlich und komplex sind. Der sinnfreie Teil wird aber oft benutzt und lässt sich dadurch gut merken. Die c’t schlägt vor: Erster und letzter Buchstabe der Website plus die Zahl der Buchstaben des Namens, gefolgt vom sinnfreien Teil:
Website | spezifischer Teil | Sinnfreier Teil | Passwort |
www.ebay.de | ey4 | fe!gRf3 | ey4fe!gRf3 |
www.amazon.de | an6 | fe!gRf3 | an6fe!gRf3 |
www.google.de | ge5 | fe!gRf3 | ge5fe!gRf3 |
Das funktioniert wirklich gut und ich benutze ein ähnlich aufgebautes Passwort seit dem Lesen dieses Artikels. Nun kommen aber zwei Probleme hinzu: Ich habe schon seit langem zwei Passwörter, ein recht sicheres nach obigem Muster für wirklich relevante Sites – beispielsweise die, auf denen man Geld ausgeben kann – ebay, Paypal, Amazon usw. – sowie ein sehr einfaches für die vielen sonstigen Logins – Foren, Webshops, bei denen ich nur einmal einkaufe, usw. Im Zuge der Sicherheitsüberlegungen änderte ich nun das zweite Passwort.
Zweites Problem: Manche Websites erlauben keine Sonderzeichen, manche Websites keine Zahlen, bei anderen geht es nicht ohne. Mindest- und Maximallänge schwanken zudem zwischen 5 und 8 beziehungsweise zwischen 10 und 18. Irgendwie gibt es immer Websites, auf die meine Passwörter nicht passen. Zudem habe ich natürlich verschiedene Logins bei meinem Änderungsfeldzug vergessen. Hinzu kommen Websites, bei denen ich ein Passwort zugewiesen bekomme oder das Passwort mehrere kennen. Zum Beispiel ist das Passwort für dieses Blog nicht nur mir bekannt, sondern auch der Online-Abteilung des Henrich-Verlags. Da habe ich natürlich keines meiner „privaten“ Passwörter vergeben.
So habe ich also nun einen ganzen Wust von Passwörtern zur Auswahl:
- Ganz sicheres Passwort
- Altes, ganz unsicheres Zweitpasswort
- Neues Zweitpasswort mit Sonderzeichen
- Neues Zweitpasswort ohne Sonderzeichen
- Mehrere Spezialpasswörter
- …
Zudem wird ja eigentlich auch noch gefordert, das Passwort regelmäßig zu wechseln – das fügt dieser Liste noch mehr Variablen hinzu, denn es wird immer Websites geben, die man vergessen hat und die noch das alte Passwort erwarten.
Einige Websites sperren nun – richtigerweise – beim dritten Fehlversuch den Login, man muss ein neues Passwort anfordern – darf aber natürlich das eben kompromittierte Passwort nicht mehr verwenden – oder anrufen. Seit zwei Monaten habe ich fast jeden Tag das Problem, dass ich ein Passwort falsch eingebe oder neu anfordern muss.
Es wird mir kaum etwas anderes übrigbleiben, als nochmal von vorn anzufangen, am besten ein Passwort nach obigem Muster einmal mit, einmal ohne Sonderzeichen – und dann am besten irgendwo aufschreiben, an welchen Websites man angemeldet ist. Ich weiß jetzt schon, dass das nicht klappen wird. Der Passwort-Alptraum wird uns allen wohl erhalten bleiben.