Wie man seine Passwörter verschlüsselt niederschreibt

500x_147579855_baede15ebc_z

Der Programmierer und Mathematiker John Graham-Cumming mit einem Doktortitel für Computersicherheit zeigt hier, warum er seine Passwörter aufschreibt und wie er sie mit einer uralten Verschlüsselungstechnik vor neugierigen Augen schützt.

Bild: Rex Roof

Hier die Ratschläge zu Passwortsicherheit, die sich auf die Meinungen zahlreicher Spezialisten stützen:

1. Aufschreiben und im Portemonnaie aufbewahren, weil wir alle relativ gut auf unsere Geldbörse aufpassen können (Querverweis)

2. Auf jeder Website ein anders Passwort verwenden. Wird eine Seite gehackt, sind dann nicht alle Konten in Gefahr (Querverweis)

3. Passwörter müssen mindestens 12 Zeichen lang sein (Querverweis)

4. Verwendet einen Mix aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen (Querverweis)

Und so funktioniert der Trick mit dem Zettel. Am besten erzeugt man mit einem Programm zufällige Buchstaben, Zahlen und Zeichen und druckt diese dann auf ein Tabula Recta. Das ist eine quadratische Darstellung von Buchstaben. Das Papier kommt in die Brieftasche und in Kopie in einen verschlossenen Umschlag an einen sicheren Ort.

Das Blatt wird folgendermaßen verwendet: Wenn man sich zum Beispiel bei Amazon einloggt, sucht man sich die Spalte M und die Zeile A heraus (der zweite und dritte Buchstabe im Wort Amazon) und liest nun am Schnittpunkt die nächsten 16 Buchstaben – das ist das Amazon-Passwort, das man dann auf der Website verwendet. Wenn man vorher an den Rand kommt, liest man einfach in der nächsten Zeile weiter.

Natürlich kann man sich auch einen anderen Schlüssel zurechtlegen und nicht den zweiten und dritten Buchstaben der Site verwenden. Außerdem kann man die so generierten Passwörter diagonal auslesen, als Spirale oder in der Sprungreihenfolge einer Fibonacci-Sequenz. [John Graham-Cunning / Andreas Donath]

[Via John Graham-Cunning]

Tags :
  1. Hmmm, nun gibt es einige Webseiten/Accounts, die keine Sonderzeichen zulassen,
    andere wollen explizit welche und dann gibt es noch welche die unbedingt grosse und kleine
    Buchstaben fordern…

    All das wird ja beim Anmelden selbst nicht verkündet.

    Aber der Ansatz ist gut :-)

  2. Ich nutze 1Password!

    @ Florian:
    Welche Website lässt keine Sonderzeichen bei der Passwortvergabe zu? Würde mich mal interessieren. Ist doch dann mit Sicherheit nicht die sicherste Website.

    1. Es gibt genug. Administrationsoberflächen von Appliances – auch namhafter – Hersteller weisen nicht selten Beschränkungen auf, die einem die Haare zu Berge stehen lassen. Die Frage nach deren Paßwortsicherheit stellt sich in solchen Fällen nicht, da man schlicht keine Ausweichmöglichkeiten hat. Ganz groß ist beispielsweise die Verwendung von Whitespaces. Das kann zu den lustigsten Effekten führen.

      Ein recht bekannter Webshop erlaubt zwar das Setzen eines bis 12stelligen Paßworts, gestattet aber nur acht Zeichen beim Login, der Rest wird stillschweigend abgeschnitten und man erhält ein „password mismatch“ …

    2. Otto, da hat man maximal 12 Zeichen, und beim Pidgin Forum muss man großbuchstaben verwenden. Das mit den Sonderzeichen ist mir aber auch schon passiert, weiß aber nicht mehr welche Seite das war. Sinnlose Beschränkungen wie ich finde. Statt dem Großbuchstaben nehm ich lieber 5 Buchstaben extra und hab eine vielfache Sicherheit. Nunja

  3. Wenn ich mich nicht total täusche hat sogar das Sparkassen Onlinebanking Konto, eine Begrenzung von 5(!) Zeichen und auch nur zahlen und Buchstaben. War schon etwas länger her, vllt hat sichs ja geändert aber wenn nicht ist das einfach nur Hirnlos…

    1. Geht auch in HTML:


      .headrow th
      {
      border-bottom: 1px solid black;
      }
      .abc_col
      {
      border-right: 1px solid black;
      font-weight: bold;
      }

      var CHAR_CODE_MIN = 33;
      var CHAR_CODE_MAX = 126;

      var AREA = CHAR_CODE_MAX – CHAR_CODE_MIN;

      var ABC_MIN = 65;
      var ABC_MAX = 90;

      function getRandom()
      {
      return Math.round(CHAR_CODE_MIN + (Math.random() * AREA));
      }

      for(h = ABC_MIN; h<=ABC_MAX; h++)
      {
      document.write("“ + String.fromCharCode(h) + „“);
      }

      for(v = ABC_MIN; v<=ABC_MAX; v++)
      {
      document.write("“ + String.fromCharCode(v) + „“);

      for(h = ABC_MIN; h<=ABC_MAX; h++)
      {
      document.write("“ + String.fromCharCode(getRandom()) + „“);
      }

      document.write(„“)
      }

  4. simpel und Effektiv:

    -man Denke sich ein Masterpasswort aus (und die Sicherheitsanfodrungen sindgarnicht mal so groß, auf „1234“ oder „passwort“ sollte man trotzdem verzichten)
    -das Passwort auf jeder webseite sei dann der MD5 Hash von der URL und dem Masterpasswort

    Beispiel: Masterpasswort „gizmodo“,
    Auf http://www.heise.de/ ist das Passwort md5(„http://www.heise.de/gizmodo“)= 76bfbef79d4b536bf44581067c3963a3

    muss man halt jedes mal den hash berechnen, ein wenig aufwendig, aber mMn recht sicher.

  5. selbstverständlich interagiere auch ich mit streng vertraulichen daten (z.b. ebanking, wobei ich darin zwar das passwort zu den 99 verschiedenen passwörtern selbst, diese aber nicht selbst bestimmen kann!) – ansonsten verwende ich genau 2 acht-stellige passwörter: eines mit und eines ohne sonderzeichen. und zu guter letzt bringe ich nur daten in die verschiedenen netzdienste, welche ich jederzeit auch in papierform öffentlich anschlagen könnte.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising