Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Das Gedächtnis der Finger
Geschrieben: 07.04.2019
Letzte Überarbeitung: 05.01.2024
Stichwörter: Kennwörter
Das Großhirn hat das Passwort vergessen, aber die Finger wissen es noch. Ist Ihnen das auch schon einmal passiert? Umgekehrt: Sie tippen immer wieder das Kennwort falsch. Das Wissen über diese Effekte kann man nutzen, um zu sicheren Kennworten zu kommen, ohne sich selbst auszusperren.
Das vergessene Hauptkennwort
Ein Freund hatte vor Monaten eine key.matiq-Box eingerichtet, aber noch nicht die Zeit gefunden, all seine Kennwörter einzutragen. Dann wusste er sein Hauptkennwort nicht mehr. Dieses Problem war schnell behoben: Ich half ihm, ein Ticket anzulegen, dass er ein neues Hauptkennwort setzen konnte. Ich schlug ihm vor, eins zu nehmen, dass er täglich verwendet, damit er es nicht wieder vergisst.
Damit konnte er dann wieder in seine Box kommen. Die Kennwörter der wenigen bislang schon abgespeicherten Geheimnissen waren zwar immer noch weg (sie waren ja mit dem alten verlorenden Hauptkennwort verschlüsselt), aber er konnte sich diese neu zusenden lassen und alles war repariert.
Sicherheitshalber schlug ich ihm vor, das Hauptkennwort der Box zu hinterlegen.
Am nächsten Tag rief mich mein Kumpel wieder an: Er könne es sich nicht erklären, käme aber schon wieder nicht in key.matiq hinein. Kein Problem, meinte ich, wir schauen uns das gemeinsam mit dem TeamViewer* an.
Da das Hauptkennwort hinterlegt war, konnte sich der Freund dieses auch zurück holen. Er ließ mich via TeamViewer über die Schulter schauen. Und ich bemerkte, dass er bei verschiedenen Versuchen mit dem Hauptkennwort dieses auf zwei verschiedene Weisen schrieb. Damit war das Rätsel gelöst.
In den Fingern
Mir selbst ist vor einigen Jahren etwas Ähnliches passiert: Ich hatte das Hauptkennwort vergessen. Dann tippte ich es mal unbewusst ein und kam wieder rein. Dann probierte ich es noch einmal und schaute, was ich da tippte, verstand meinen Fehler und wusste mein Passwort wieder.
Die Finger haben ihr eigenes Gedächtnis. Es dürfte eher im Kleinhirn als im Großhirn liegen. Dass wir dies verstehen, sollten wir nutzen. Sowohl um zu sicheren Kennwörtern zu kommen, als auch um die Selbstaussperrung zu vermeiden.
Viele Kennwörter benutzen, nur wenige merken
Im Artikel "Das gute Kennwort" habe ich dargestellt, warum es nötig ist, für die Masse der Kennwörter einen Passwortgenerator zu verwenden, der Kennwörter stark und damit sicher genug macht, um damit den Kopf frei zu haben, die wenigen übrigen gut zu wählen und auswendig zu lernen.
Die generierten Kennwörter sollte man sich nicht merken, sondern einfach in key.matiq und dem Browser-Passwortmanager abspeichern. Die Gründe dafür habe ich in dem Artikel "Passwortmanager sind gut und nicht schlecht" genannt.
Komponenten nutzen
Seit Kurzem unterstützt key.matiq Komponenten, so dass Sie die Möglichkeit haben, die wenigen übrigen Kennwörter (PINs, PC-Logins, Router-Kennwort, Hauptpasswörter für Browser und key.matiq, ...) einerseits noch stark genug zu halten, andererseits aber auch mit vertretbarem Merkaufwand.
Entwickeln Sie Ihr eigenes System: Schauen Sie, welche Kennwörter gleich sein können und welche verschieden sein müssen. Für das regelmäßige (oder auch unregelmäßige) Ändern der Kennwörter bietet sich an, zu einem Zeitpunkt immer nur einen Teil zu ändern.
Er sollte klein genug sein, dass Sie sich die Änderung gut merken und mit den Fingern einüben können.
Er sollte aber auch groß genug sein, dass eine Angreifer*in, die das vorherige Kennwort irgendwie herausbekommen hat, bei dem Versuch verzweifeln würde, Variationen des alten Kennworts auszuprobieren. Also nicht einfach nur ein oder zwei Zeichen ändern, sondern sich schon ein wenig Zeit nehmen, um sich etwas Neues auszudenken.
Wann können Kennwörter gleich sein?
Nähern wir uns der Antwort über die umgekehrte Frage: Wann sollten sie verschieden sein?
Sie sollten verschieden sein, wenn die Kennwörter unterschiedliche Bereiche schützen. Verschiedene Zimmer eines Hauses werden Sie mit verschiedenen Schlüsseln absperren. Haben Sie aber einen Generalschlüssel für alle Zimmer, gibt es keinen Grund, damit nicht auch die Haustür aufschließen zu können.
Denken Sie auch an die Schotten eines Schiffes: Die Teilung des Schiffes in verschiedene einzelne verschlossene Bereiche begrenzt den Schaden im Fall eines Lecks und verhindert das Sinken. Das Problem bleibt beherrschbar.
Es macht aber keinen Sinn zwei verschiedene Schlüssel zu verwenden, sollten zwei Räume mit zwei Türen miteinander verbunden sein.
Das heißt für Kennwörter: Nehmen Sie unbedingt für den Abruf ihrer E-Mails ein anderes Kennwort als für das Anmelden auf ihrem PC. Nehmen Sie auch verschiedene PINs für Kreditkarte und EC-Karte.
Aber: Es kann durchaus Sinn machen, z. B. für das Hauptpasswort des Browsers und für das Hauptkennwort von key.matiq zwei Passwörter zu nehmen, die sich in nur einer Komponente (oder auch gar nicht) unterscheiden: Beide Passwortmanager speichern so ziemlich dieselben Geheimnisse. In beiden speichern Sie womöglich das Hauptpasswort des jeweils anderen. Beide sind auf einem hohen Sicherheitsstandard.
Komplett gleich? Es wäre vertretbar, aber nicht unbedenklich. Denn in key.matiq speichern Sie doch ein paar mehr Geheimnisse ab, als im Passwortmanager des Browsers. Und wer den Passwortmanager des Browsers knackt, hat nicht automatisch schon den Zugang zu Ihrer key.matiq Box. (Sie könnten das Hauptkennwort schon geändert haben.)
Es wäre aber auch nicht unbedenklich, einfach unterschiedliche Kennwörter zu verwenden. Wie eingangs dargestellt, ist es wichtig, insbesondere das Hauptkennwort von key.matiq regelmäßig zu verwenden, damit man es nicht vergisst. (Aufschreiben ist keine Option!)
Das Problem ist klar. Welche Lösungen gibt es?
Eine Lösung ist, das Hauptkennwort von key.matiq im Browser abzuspeichern, aber ein anderes Browser-Hauptpasswort zu verwenden. Falls Sie das key.matiq-Hauptkennwort vergessen, könnten Sie im Browser-Passwortmanager nachschauen.
Denken Sie aber daran, dass ein Systemcrash Ihnen den Zugriff auf die im Browser gespeicherten Kennwörter versperren könnte. Also sollten Sie noch eine zweite Rückfalllösung in petto haben.
Eine gute Möglichkeit ist die Hinterlegung des key.matiq-Hauptkennworts. Allerdings ist diese für den Notfall gedacht (und nicht ohne Aufwand). Sie sollten es unwahrscheinlich machen, auf diese rückgreifen zu müssen.
Wie wäre es, wenn Ihr Hauptkennwort von key.matiq aus zwei oder mehr Komponenten besteht, die sie auch bei anderen täglich benutzten Kennwörtern verwenden? Wenn Sie z. B. für das tägliche PC-Login und für das täglich benutzte Browser-Hauptpasswort unterschiedliche Kennwörter verwenden und das key.matiq-Hauptkennwort aus diesen beiden Kennwörtern zusammengesetzt ist, dann wäre das Merken in Fingern und Großhirn nicht schwer.
Wie die Übersicht behalten?
Das ist insbesondere bei Änderungen von Kennwörtern oder Kennwortteilen wichtig. Wenn Sie Änderungen die mehrere Kennwörter betreffen, nicht konsequent dann auch bei allen betroffenen Kennwörtern durchziehen und einüben, ist es vorprogrammiert, dass Ihnen Ähnliches widerfährt, wie meinem Freund in der anfangs erzählten Anekdote.
Speichern Sie sich also Komponenten in ihrer key.matiq-Box auch als solche ab. key.matiq gibt Ihnen dann auch in einem Extra-Tab eine Liste der involvierten Geheimnisse, so dass Sie sehen, welche von einer Änderung betroffen sind.
So halten Sie Ordnung in Ihren Passwörtern, die auch stark genug sind, dass Angreifer*innen sich daran nur die Zähne ausbeißen können. Aber Sie sperren sich auch selbst nie aus.
Das Vertippen
Wir haben durch die Verringerung der zu merkenden Buchstabensequenzen das Problem reduzieren können, aber für die übrigen bleibt immer noch die Schwierigkeit, dass das Kleinhirn sich manchmal den Tippvorgang schlecht merkt. Wir kennen es vom Vertippen beim Schreiben von Texten. Da sind bei manchen Wörtern leicht Buchstabendreher drin. Bei Texten hilft das Korrekturlesen, bei Kennwörtern muss man, wenn diese nur verdeckt eingegeben werden können, sie dann aber immer wieder neu schreiben, bis es schließlich passt. Und das ist zu dumm ...
... nicht nur weil bei manchen Systemen viele Fehleingaben einen Lockout bewirken, sondern auch weil die mangelnde direkte Kontrolle das Einüben der richtigen Sequenz behindert.
Für die Lösung halten wir uns vor Augen, wie professionelle Musiker*innen mit dem Verspielen umgehen: Sie üben. Aber natürlich brauchen sie das Feedback, indem sie ja den zugehörigen Klang kontrollieren.
Wie können wir es also machen? Wir haben zwei Möglichkeiten: Wir beobachten unsere Finger, um das Feedback zu bekommen. Alternativ können wir in einem geschützten Raum (ohne Kameras und Beobachter) das Kennwort einüben, aber bitte nicht mit einem Editor, der zwischendurch den eingegebenen Inhalt mal "sicherheitshalber" auf der Platte abspeichert. (Platteninhalte lassen sich nur mit Spezialprogrammen wieder komplett löschen).
Wenn Sie in Textfeldern von key.matiq etwas eingeben, wird dagegen nichts gespeichert, solange Sie nicht explizit die Schaltfläche "Speichern" klicken bzw. antippen.
Aber Sie können natürlich auch ein Geheimnis nur zum Üben einrichten, und dort ein Kennwort-Feld, bei dem auch eine Klarsicht-Eingabe möglich ist, für diesen Zweck gebrauchen. Dann passiert selbst beim versehentlichen Speichern nichts Schlimmes.
*) Hinweise zu Marken Dritter:
"TeamViewer" ist eine Marke der TeamViewer AG..