Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Der Dreh mit dem Zahlenschloss
Geschrieben: 23.06.2019
Letzte Überarbeitung: 18.08.2021
Stichwörter: Kennwörter
Ein Kettenschloss für ein Fahrrad mit einstellbarer Zahlenkombination. Was sollte man beachten, damit das Fahrrad nicht doch bald fort ist? Was lehrt uns dieses anschauliche Beispiel für den Umgang mit Internet-Kennwörtern?
Das neue teure E-Bike ...
... will gesichert sein. Wer schon einmal einen Fahrradschlüssel in den Bergen verloren hat, denkt schnell an ein gutes Kombinationsschloss, mit dem man in der Stadt auch das Bike an einen Laternenpfahl anketten kann. Zumal im Fernsehen berichtet wurde, dass professionelle Diebe Fahrräder einfach in Lastwägen abtransportieren, um sie im Ausland zu verscherbeln. Einfache Wegfahrsperren mit Schlüssel sind also nicht immer sicher genug.
Ein Biker scheut nicht das Risiko ...
... und daher erscheint das Folgende vielleicht übertrieben. Nehmen Sie es dann einfach nur als Beispiel dafür, dass Sicherheit nicht nur eingekauft werden kann (ein robustes Schloss), sondern auch viel davon abhängt, wie man selbst mit diesen Hilfsmitteln umgeht. Aber vielleicht radeln Sie auch tatsächlich in einer Gegend, wo Ihnen die nachstehenden Hinweise nützlich sein können ...
Die Nummer ...
... (Sie erraten es) kann natürlich bestens in einer key.matiq-Box gespeichert werden. So brauchen Sie im Vergessensfall nur Ihr Handy zu zücken, um sich den Code zu holen. Dass Sie Handy und Zahlencode gleichzeitig verlieren, ist wesentlich seltener. Aber auch dieser Fall lässt sich handhaben: Sie können jemand bitten, Ihnen das Handy zu leihen, um sich bei key.matiq anzumelden. Ein vergessenes Hauptkennwort lässt sich wieder holen, wenn sie es hinterlegt haben. Eine fehlender zweiter Faktor für die Anmeldung lässt sich ebenfalls über ein Support-Ticket beschaffen ...)
Welche Nummern Sie meiden sollten ...
... sind alle nicht zufällig gewählten Nummern, z. B. "5555", "1234", "4711", "0815" oder auch Ihr Geburtsdatum. Denn letzteres könnte vor der Freinacht das Nachbarsmädchen in Erfahrung gebracht haben, um Ihnen einen Streich zu spielen. Wenn dabei das gute Stück unbeschädigt bleibt, ist das vielleicht nur lustig, sonst aber womöglich teuer und ärgerlich.
Falls Sie auf die Idee kommen sollten, einfach die PIN Ihrer EC-Karte zu nehmen: Lieber nicht!
Diebe wissen in der Regel, auf was für Ideen die Leute so kommen. Wenn Sie also auf diese Idee gekommen sind, rechnen Sie damit, dass ein Dieb auch auf diese Idee kommt und Ihnen nicht nur die EC-Karte sondern, wenn möglich auch gleich Ihr Zahlenschloss klaut.
Denn der Code eines mechanischen Zahlenschlosses mit vier Ziffern ist leichter zu knacken als die PIN einer EC-Karte. Letztere sperrt sich nach drei Fehlversuchen, während das Zahlenschloss beliebig viele Versuche zulässt. Und dann könnte die Dieb*in diesen Code ja auch bei der EC-Karte versuchen ...
Erzeugen Sie also die Nummer am besten mit dem Kennwort-Generator von key.matiq.
Ein Geheimnis, dass mehr als drei Personen teilen ...
... ist kein Geheimnis mehr. Denn einer quatscht immer und keiner will es gewesen sein. Diese Regel kann man gut beobachten bei politischen Koalitionsgesprächen, bei denen immer etwas an die Presse durchgestochen wird, sobald mehr als zwei oder drei Personen beteiligt waren, auch wenn Vertraulichkeit vereinbart wurde.
Was ist in der Politik vielleicht ganz gut ist, sollte jedoch bei Geheimnissen, die der Sicherung vor Diebstahl dienen, nicht passieren. Auch den Code vom Fahrradschloss sollten nur diejenigen kennen, die ihn kennen müssen. Dann kann der Sohnemann im schwierigen Alter gar nicht erst in Versuchung kommen, vor seinen Klassenkameraden damit zu prahlen, was er alles weiß ...
Bei einem unbeaufsichtigten offenen Schloss ...
... kann jeder den Code ändern. Wenn das jemand tut und Sie später Fahrrad und Schloss benutzen, können Sie das Schloss selbst nicht mehr aufsperren, der Spitzbube, der den Code geändert hatte, aber schon. Schließen Sie also auch Ihr unbenutztes Kettenschloss immer ab!
Das Verdrehen der Ziffernräder zum Absperren ...
... sollte nicht zufällig erfolgen. Denn, was Sie für zufällig halten, ist es vermutlich gar nicht, sondern es ist viel wahrscheinlicher, dass Sie die Räder so verdrehen, wie es alle machen. Und das wissen natürlich die Diebe auch. Das heißt: Die brauchen nur ein paar Rückwärtsdrehungen ausprobieren und erzielen damit eine gute Trefferquote.
Stellen Sie Sie einfach zum Abschließen auf "0000". Da der Aufsperrcode ja zufällig gewählt wurde, kann ein potentieller Dieb mit "0000" gar nichts anfangen. (Der Einfachheit halber diskutiere ich hier nur 4-stellige Codes, aber natürlich gibt es auch Schlösser mit mehr Ziffern.)
Codes wie "0001", "0100", "9000" ...
... wären ja nur um eine winzige Drehung von der Absperrstellung "0000" entfernt. Sollte man diese nicht vermeiden? Oder eine andere Absperrstellung verwenden?
Letzteres würde ich eher nicht tun. Wenn Sie z. B. "5555" als Absperrstellung verwenden, könnte dies eine Dieb*in als Hinweis auffassen, dass Ihr Code sehr dicht an der "0000" liegt.
Die Absperrstellung "0000" sollten Sie natürlich als Aufsperrcode vermeiden. (Die Dieb*in wird diesen wohl in jedem Fall überprüfen, weil sie ja vergessen haben könnten, überhaupt die Ziffernräder zu vertrehen.) Ob Sie Codes wie "0001" vermeiden ist ein wenig Geschmacksfrage und hängt auch etwas von dem Schloss ab. Wenn jeder Code ungefähr gleich viel Zeit benötigt, um ausprobiert zu werden, könnten Sie (bis auf die "0000") jeden Code, den Ihnen der Kennwortgenerator vorschlägt, nehmen.
Wenn Sie bestimmte Codes aussortieren, schwächt dies die Stärke, die Sie durch die Zufälligkeit gewonnen haben. Solange es aber nur ganz wenige sind, ist das unwesentlich. Was Sie aber nicht machen sollten ist aber, z. B. nur noch Ziffern zwischen "3" und "7" zu verwenden (weil diese wenigstens drei Stellungen von der "0" entfernt sind). Es würde die Anzahl der möglichen Kombinationen von 10.000 auf 625 reduzieren.
Pragmatisch ist vermutlich, die 8 Kombinationen, bei denen nur eine zehntel Drehung zwischen Absperr- und Aufsperrstellung nötig ist, zu vermeiden, ebenso natürlich die "0000". Damit verzichten Sie gerade einmal auf 0,01 % der möglichen Kombinationen.
Benutzen Sie einfach den Kennwortgenerator ein zweites Mal, falls er Ihnen eine zu vermeidende Zahlenkombination vorschlägt.
Wenn das alle so machten ...
... wäre das toll. Denn dann würde eine Dieb*in wissen, dass sie nur mit Brachialgewalt oder mit manuellem Durchprobieren von durchschnittlich der Hälfte aller möglichen Kombinationen das Schloss aufbekommt. Bei vier Ziffern sind das 5.000 Kombinationen, bei fünf Ziffern bereits 50.000. Vielleicht versucht er es dann gar nicht mehr erst.
Was wir daraus für andere Kennwörter lernen
Zunächst: Jede Kennwort-Art hat ihre Besonderheiten, die von Hacker*innen gezielt ausgenutzt werden können. Deshalb lohnt es sich immer, sich zurückzulehnen und zu überlegen: Was ist hier anders, wo bestehen Schwächen, wie kann ich diesen begegnen? Genau dieses Zurücklehnen führt beim Kettenschloss dazu, das Schloss auch unbenutzt abzusperren und nicht einfach irgendwie, sondern in eine Grundstellung zu verdrehen.
Betrachten wir also auch die anderen Kennwortarten in ihren Besonderheiten aber auch in ihren Parallelen:
Im Internet können Kennwörter automatisiert ausprobiert werden. Dabei werden auch Wörterbuch-Angriffe ausgeführt, d. h. häufig als Kennwort benutzte Worte oder Phrasen, werden von Hacker*innenn und Botnets zuerst ausprobiert. Das ist ähnlich wie das Ausprobieren von "1234" oder "0815" beim Zahlenschloss.
Durch Benutzung eines Kennwort-Generators, der eine zufällige Zeichenkette erstellt lässt sich die Anzahl der nötigen Angriffe so in die Höhe treiben, dass sich daran eine Hacker*in die Zähne ausbeißt.
Deshalb sollten Sie alle Kennwörter, die Sie nur über die Browser Ihres Rechners oder Handys eingeben müssen, mit genügender Länge generieren, anstatt sich ein Kennwort auszudenken, das sich vielleicht auch schon viele andere ausgedacht haben.
Eine Ausnahme ist allerdings das Hauptkennwort Ihrer key.matiq-Box, da Sie dieses brauchen, falls sowohl Ihr Rechner als auch Ihr Handy gestohlen oder zerstört wurden (denken Sie z. B. an einen Wohnungsbrand). Gerade dann benötigen Sie den Zugriff auf Ihre Box, auch für die Schadensbehebung.
Kennworte, die Sie nicht über den Browser eingeben, sind z. B. die PIN Ihres Handys, das Anmeldekennwort Ihres Computers, das Hauptpasswort für den Passwortmanager des Browsers, die PIN der EC-Karte aber auch der Code Ihres Zahlenschlosses für das E-Bike. Alle diese Kennworte und PINs sollten Sie normalerweise im Kopf haben, aber auch für den Notfall gespeichert in der key.matiq-Box (evtl. zu kombinieren mit einem Komplement).
Was entspricht dem Zurückstellen des Zahlenschlossen auf "0000" beim Abschließen? Es ist das Schließen des Browsers spätestens bevor man den Arbeitsplatz verlässt. Denn dann vergisst der Browser das Hauptpasswort und damit alle Kennworte für Internet-Logins. Oder das Sperren des Computers.
Die PINs für die EC-Karte und das Handy haben ohnehin wenig Bits und sollten deshalb wie der Code fürs Fahrradschloss zufällig generiert werden, um ihnen etwas Stärke zu verleihen. Zum Auswendiglernen können Sie sich nach der Generierung eine Eselsbrücke ausdenken.
Es bleiben nur ein paar Kennworte übrig, für die Sie sich extra Zeit nehmen sollten und Tipps in dem Artikel "Das gute Kennwort" finden.