Sichern von Passwörtern mit dem 3-Kategorien-System
28.01.2009
Nach einem Datendiebstahl bei dem Login-Informationen im Klartext gestohlen wurden, kann die Sorge schnell groß sein, wo man diese Login-Informationen noch genutzt hat. Im Horror-Szenario nutzt man diese Daten bei einem eBay-Account und die Hacker haben jetzt vollen Zugriff auf den eigenen eBay-Account oder gar PayPal-Account.
Nicht ohne Grund raten Profis, auch ich auf dieser Seite, für jeden Account gesonderte Login-Informationen zu nutzen. Aber machen wir uns nichts vor: In der Praxis machen das gerade die “normalen User” faktisch nie. Zu viele Logins hat man heute, und auch eine Software wie KeePass ist dann irgendwann zu nervig. Und im Zweifelsfall auch zu unsicher.
Man kann sich auch selbst mit recht einfachen Maßnahmen jedenfalls rudimentär schützen um Standard-Diebstählen vorzubeugen:
-
Nur registrieren wo es nötig ist: Nutzen Sie bei Zwangsregistrierungen, etwa für Downloads, Wegwerf-Mailadressen wie z.b. von TemporaryInbox.
-
Wenn Sie sich ernsthaft registrieren, nutzen Sie mein 3-Kategorien-System: Überlegen Sie sich drei verschiedene Passwörter, die sie sich merken können und eine Kombination aus Buchstaben und Zahlen sind. z.b. “GThrd45”.
-
Die Kategorien teilen Sie wie folgt ein:
-
Webseiten ohne hegliche persönliche Informationen, ausgenommen Email (typisch sind reine Logins zu Downloads etc.)
-
Webseiten mit persönlichen Informationen, aber ohne Bankdaten
-
Webseiten, auf denen Bankdaten vorhanden sind
-
-
Nutzen Sie in jeder Kategorie das entsprechende Passwort, aber: Beachten Sie Punkt 5!
-
Wenn Sie das jeweilige Passwort einer Kategorie einsetzen, hängen Sie an das Ende (oder stellen sie voran) den ersten Buchstaben des Namens des Dienstes den sie gerade nutzen. Das ist nicht der perfekte Schutz, aber wieder eine Hürde mehr. Wer mag, kann nicht einfach den Buchstaben nehmen sondern wandelt ab, etwa: Immer den X.Buchstaben des Dienstes nutzen, oder immer den letzten aber +1, also anstelle ein “A” wird ein “B” an das Passwort angehängt.
Wenn man sich das einmal angewöhnt hat, kann man nach einiger Zeit problemlos relativ sicher arbeiten, ohne Zusatzsoftware. Bei einem Datendiebstahl der Kategorie 1 sind die Kategorien 2+3 erstmal nicht gefährdet (wenn man wirklich verschiedene Passwörter genutzt hat!).
Beispiele:
Wer in der Kategorie 3 das Passwort “GThrd45” nutzt und sich auf der Seite “PayyBall.tld” registriert, würde im einfachsten Fall das Passwort “GThrd45P” (erster Buchstabe des Dienstes ist “P”) nutzen. Man kann auch immer den zweiten Buchstaben wählen, dann nutzt man hier “GThrd45a”.
Auf der Webseite “emarketbill.tld” (ebenfalls Kategorie 3) registriert man sich dann mit “GThrd45e” (1. Buchstabe) oder “GThrd45m” (2. Buchstabe).
Nochmals: Man nutzt natürlich immer und auf allen Seiten das gleiche System, also z.B. hängt man immer den ersten Buchstaben hinten an, das verinnerlicht man recht schnell 😉
Und wenn man Punkt 5 beachtet, ist selbst innerhalb einer Kategorie alles etwas entspannter. Dabei nutzt man regelmässig unterschiedliche Passwörter, ohne sich ständig alle merken zu müssen. Natürlich ist das System durchschaubar, auch wenn man es abwandelt – im Regelfall aber nutzen Hacker automatisierte Systeme und suchen nicht im Einzelfall nach Möglichkeiten.
Keinesfalls möchte ich hiermit “absolute Sicherheit” suggerieren, die gibt es ohnehin nicht – aber es ist mehr als das, was die Realität zur Zeit bietet und ist zudem merkbar. Und im Notfall, wenn man doch mal ein einzelnes Passwort vergessen hat, gibt es ohnehin fast immer eine “Neues Passwort”-Funktion.