Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Passwortsicherheit
Geschrieben: 03.06.2023
Letzte Überarbeitung: 10.09.2024
Stichwörter: Kennwörter, Sicherheit
Bei der digitalen Sicherheit ist meist die Passwortsicherheit das schwächste Glied der Kette. Auf was sollte man besonders achten? Wie kann man dauerhauft Sicherheit bewahren, den Aufwand dafür aber auch in Grenzen halten?
Kennwörter sollen ..
... stark sein und geheim bleiben, sie dürfen nicht verloren gehen und man sollte, wenn doch etwas schief geht, Mittel an der Hand haben, den Schaden zu begrenzen.
Die Stichworte heißen also Stärke, Stillschweigen, Speicherung, Sicherheitsnetz. Man kann sie sich merken als die "4 S" der Passwortsicherheit.1.
Stärke von Kennwörtern
Die Stärke eines Kennworts2 sollte heutzutage3 bei 128 Bit4 liegen.5
- Kennwörter für Konten im Internet sollten Sie in dieser Stärke generieren und im Passwortmanager des Browsers (gesichert durch ein Hauptpasswort) abspeichern.
- Anmeldekennwörter für Geräte und auch Hauptkennwörter von Passwortmanagern sollten ebenfalls diese Stärke haben, aber Sie müssen sie sich merken und von Hand eingeben können. Im Blog-Artikel "Das gute Kennwort" werden Hinweise gegeben, wie dafür geeignete Kennwörter entwickelt werden können.
- Es gibt ein paar Ausnahmen, für die geringere Stärken ausreichend sind: PINs und PUKs von Chipkarten (da die Karte nach mehrmaliger Fehleingabe sich selbst sperrt), Zahlenschlösser (da die Mechanik ein rasches Ausprobieren vieler Kombinationen verhindert), das WLAN-Passwort (da Sie es ohnehin nicht streng geheim halten können, weil Sie es ja all Ihren Besucher*innen zur Verfügung stellen wollen). Im letzteren Fall ist durchaus ein Kennwort mit zwölf bis 16 Zeichen vertretbar, dass Sie jedoch gelegentlich via HIBP6 überprüfen sollten.
Wir wählen als Symbol für die Kennwortstärke das Sternchen, in Anlehnung an den Seeigel, der seine Stacheln in alle Richtungen zeigen lässt. Denn ein starkes Kennwort widersteht allen Brute-Force-Angriffen egal, welche Strategien die Angreifer*innen wählen:
Stillschweigen
Das Kennwort sollte nicht weitererzählt werden. Dazu gehört:
- Ein Kennwort sollte nicht aufgeschrieben, sondern nur im Kopf und in sicheren Passwortmanagern verwahrt werden (s. u. "Storage"). Liegt ein Passwort doch schriftlich vor (z. B. PIN/PUK-Briefe), dann sollte das Schriftstück im Tresor gelagert oder vernichtet werden.
- Für jeden Zweck möglichst ein anderes Kennwort verwenden.7 Es kommt darauf an, dass die Erbeutung eines Kennworts z. B. für ein Internet-Konto der Hacker*in nicht gleich ermöglicht, das Kennwort mit zugehöriger E-Mail-Adresse gleich bei Dutzenden anderen Anbietern im Internet erfolgreich auszuprobieren.
- Wenn man ein Kennwort mit anderen teilen muss8, dann sollte es in aller Regel nicht mehr als insgesamt drei aktuelle Geheimnisträger*innen geben.9
- Lassen Sie sich nicht durch Phishing-Angriffe10 dazu verleiten, unsicheren Links zu folgen und dort Ihre Kennwörter einzugeben.
Im Blog-Artikel "Das Plaudertaschenproblem" arbeite ich heraus, dass das Ausplaudern von Passwörtern ein reales Problem darstellt und gehe daher dort auf den Aspekt "Stillschweigen" noch ausführlicher ein.
Als Symbolik für das Stillschweigen wählen wir den dichten Kreis, der sich um das starke Kennwort (das Sternchen) schließt:
Speichern
Kennwörter müssen vor dem Verlust geschützt werden. Selbst wenn Sie einen Zugang nicht mehr aktiv nutzen, ist es essenziell, dass Sie den Überblick über Ihre sämtlichen Konten und Kennwörter im Internet behalten.
- Internet-Kennwörter können im Passwortmanager des Browsers gepeichert werden, wenn dieser durch ein Hauptpasswort gesichert ist.
- Alle Kennwörter sollten jedoch auch in einem Passwortmanager, der auch Begleitdaten erfassen kann, gespeichert werden.
Beim Speichern denken wir an ein Dach, das nicht nur ein Haus vor Unwettern schützt, sondern auch Raum für die Aufbewahrung von Archiven bietet:
Sicherheitsnetz
Sollte dennoch etwas schiefgehen, ist es gut, wenn Ihre digitale Sicherheit durch zusätzliche Sicherheitsmaßnahmen gerettet wird:11
- Eine Zwei-Faktor-Authentisierung gibt Ihnen Zeit, ein kompromittiertes Kennwort ohne weiteren Schaden zu wechseln, z. B. wenn Sie bemerken, dass Sie in eine Phishing-Falle getappt sind.
- Wichtig ist es, rasch zu erkennen, ob einer Ihrer digitalen Zugänge von jemand anders missbraucht wird. key.matiq bietet dafür an, ein Sitzungskennwort zu verwenden. Dieses ermöglicht Ihnen, zu sehen, ob seit Ihrer letzten Anmeldung ein Andere*r in Ihrer Box angemeldet war.
- Kennwörter, die in einem Passwortmanager gespeichert werden, können durch Komplemente12 zusätzlich gesichert werden: Wird der Passwortmanager gehackt, wäre damit nur jeweils ein Teil des Kennworts kompromittiert. Es bliebe also Zeit, diese Kennwörter ohne weiteren Schaden zu wechseln.
- Das primäre Hauptkennwort, mit dem man an alle andere Kennwörter kommt, sollte man bei Freund*innen gestückelt und versiegelt hinterlegen, um eine Selbstaussperrung zu vermeiden. Bei key.matiq ist diese Hinterlegung auf digitale Weise möglich.
- Eine Hinterlegung ist auch wichtig für die digitale Vererbung, sollte Ihnen etwas zustoßen.
Bei einem Sicherheitsnetz denken wir an etwas, was einen vor den Folgen eines Absturzes rettet und von unten her schützt:
Leicht gesagt, aber schwer getan, oder?
Vielleicht. Daher möchte ich die Methodik behandeln, mit der man das in den Griff bekommen kann. In diesem mehr grundsätzlichen Artikel sollte es dabei weniger um konkrete Tipps gehen, als um das generelle Vorgehen. Denn alle konkreten Tipps, die Ihnen von mir oder anderen gegeben werden, können morgen schon veraltet sein. Die Angriffstechniken, aber auch die Abwehrtechniken werden ständig weiterentwickelt. Bei manchen meiner konkreten Tipps werden Sie auch gegensätzliche Ansichten anderer Fachleute finden. Sie müssen dann selbst herausfinden, wem Sie folgen wollen. Die von mir vorgeschlagene Methodik soll auch dafür einen Weg aufzeigen.
Es wird mit einer einmaligen Kraftanstrengung kaum getan sein. Wenn Sie dauerhaft digitale Sicherheit (die auch den Namen verdient) wünschen, sollten Sie sich immer wieder mal mit dem Thema auseinandersetzen und Ihre Sicherheitsmaßnahmen überprüfen und ggf. verbessern. Außer Sie haben jemand, die oder der es für Sie tut, und der oder dem Sie vertrauen.
Auch ein starkes eigenes Kennwort für die Anmeldung zu entwickeln und den Fingern beizubringen, dieses schnell und sicher einzugeben, kostet Zeit. Auch dass wird kaum an einem einmaligen Termin gelingen.
Ihre Aufgabe ist: Für sich herauszufinden, ob Sie Defizite bei der Passwortsicherheit haben. Und wenn ja, wie Sie diese beheben. Im nächsten Abschnitt gebe ich Ihnen (bzw. Ihrer Vertrauensperson, die das für Sie macht) aus den vorgenannten Gründen nur sehr allgemein gehaltene Hinweise, die ich aber für sehr wichtig halte, weil ein abweichendes Verhalten m. E. der tiefere Grund für das Versagen vieler Sicherheitsstrategien ist.
Danach habe ich noch Vorschläge, wie Sie sowohl vermeiden, es mit dem Aufwand zu übertreiben oder diesen umgekehrt zu gering zu halten oder gar erst das Thema anzugehen, wenn schon etwas passiert ist, also zu spät.
An die Arbeit!
Vorschläge und Informationen finden Sie bereits im Internet (z. B. auch in diesem Blog oder im Ratgeber des key.matiq-Handbuchs). Ein Problem ist aber, dass viele Vorschläge im Internet schon mal veraltet sind oder kontrovers diskutiert werden. Manchmal sitzt man auch eigenen Denkfehlern auf. Und wie kann man verhindern, dass man durch einen Phishing-Angriff hereingelegt wird? Mein Vorschlag: Lesen, selber denken und trainieren!
-
Durch Lesen können Sie sich auf dem
Laufenden13 halten. Bleiben Sie bei dem Thema
neugierig. Achten Sie aber darauf, Informationen von sachkundigen
Leuten und nicht immer nur von denselben Quellen zu
erhalten.14
So erfahren Sie, ob Ihre Sicherheitsvorkehrungen noch zeitgemäß sind, ob es neue Internet-Bedrohungen gibt, mit welchen neuen Maschen Phishing probiert wird.
Sie sollten das Gelesene aber besser nicht nur einfach glauben oder übernehmen sondern vor allem -
durch eigenes Nachdenken sich selbst zurechtlegen. Erst dann können
Sie es wirklich verstehen, aber auch Falsches aussortieren und das Übrige
richtig einordnen. Sind Sie zu eigenen Schlüssen gelangt, so überprüfen Sie
via Internet-Recherche, ob auch andere zu ähnlichen Ergebnissen gelangt sind
oder aber das Gegenteil behaupten.15 (Das
regt dann evtl. zu erneutem eigenen Denken und neuer Recherche an, aber
irgendwann werden Sie eine gut begründete Meinung entwickelt haben.)
Ihre wichtigsten Kennwörter, z. B. das Hauptkennwort von key.matiq, die Anmeldekennwörter von PC und Smartphone müssen Sie selbst entwickeln. Kreativität ist hier wichtig, damit Wörter oder Phrasen entstehen, die zwar Sie sich gut merken können, aber niemand sonst erraten kann.
Sie müssen selbst einschätzen können, wie stark die entstandenen Kennwörter sind. Dazu hilft vielleicht auch wieder: Lesen und selber denken (s. o.). -
Sie können und sollten Ihr eigenes Verhalten trainieren: Mentales
Training hilft, Phishing-Angriffe zu erkennen und ihnen zu widerstehen.
Auch, dass Ihr Mitteilungsdrang davor Halt macht, anderen Ihre Kennwörter
zu verraten. (Oder Sie dem Drängen anderer diesbezüglich widerstehen
können.)
Sicherheitstrainings bringen Ihnen mehr Kenntnis über die Passwortsicherheit und auch die Motivation, Ihre Passwörter sicherer zu machen.
Auch Kreativität und Merkfähigkeit kann man trainieren: Die Spiele "Ich packe meinen Koffer", "Stadt, Land, Fluss" und "Memory" sind einfache Beispiele.
Sich selbst kontrollieren!
An Ihren eigenen Früchten werden Sie sich selbst erkennen: Wenn Sie die gewonnenen Kenntnisse und Absichten nicht umsetzen, ist alles nichts. Kontrollieren Sie sich selbst diesbezüglich! Setzen Sie sich Termine, wann Sie Ihre Kennwörter auf Sicherheit hin überprüfen, die oben genannten Aspekte dabei noch einmal anschauen und überlegen wollen, ob Sie hinsichtlich der Methoden noch Defizite haben! Halten Sie diese Termine ein!
Für dieses Sich-Selbst-Kontrollieren ist eine starke Selbst-Motivation erforderlich. Einige Anregungen dafür:
- Wenn Sie ein sehr risikofreudiger Mensch sind: Nehmen sie es nicht zu leicht! Ist Ihr Gefühl "Es wird schon nichts schiefgehen" wirklich berechtigt? Ein einziger erfolgreicher Ransomware-Angriff würde Sie ein Vielfaches von dem an Stress und Aufwand kosten, den eine gute Vorsorge erfordert. Wichtig ist, dass Ihr Gefühl von Sicherheit nicht einfach auf Unkenntnis beruht.
- Wenn Sie ein sehr disziplinierter Mensch sind: Nehmen Sie es nicht zu schwer! Wichtig ist, dass Sie ein berechtigt gutes Gefühl entwickeln, dass bei Kenntnis der Risiken auf Ihren Vorsorgemaßnahmen beruht.16
-
Wenn Ihnen leicht alles zu viel wird: Reduzieren Sie den Einsatz von IT
in Ihrem Alltag. Reduzieren Sie ihn soweit, bis sie ohne viel Stress
die dann noch nötigen Sicherheitsmaßnahmen ergreifen
können. Es sei denn, eine Vertrauensperson übernimmt es, für Ihre digitale
Sicherheit zu sorgen.17
Wenn Sie das auch nicht wollen, so gewöhnen Sie sich an den Gedanken, dass der Einsatz von IT auch seinen Preis hat.
Wenn Ihnen beides nicht passt, dann schlafen Sie noch ein paar Nächte darüber und entscheiden Sie sich dann.18 - Wenn es irgend geht, dann versuchen Sie, das Thema als Herausforderung und nicht als lästige Pflicht zu begreifen. Immerhin werden Sie von Hacker*innen bedroht, die Ihnen mindestens an die Geldbörse wollen! Zeigen Sie Ihnen, dass Sie sich nicht so leicht hereinlegen lassen!19
Fazit
Meines Erachtens führt nichts an den eingangs genannten zentralen Aspekten der Passwortsichereit, den 4 S, vorbei. Nicht alles müssen Sie von heute auf morgen gleich perfekt machen. Aber Sie sollten mit der Entwicklung ihrer digitalen Sicherheit den Angriffen von Hacker*innen immer mindestens einen Schritt voraus sein. Deshalb führt auch an der genannten Methodik (lesen, selber denken, trainieren, sich selbst kontrollieren20) nichts vorbei.
Ohne diese Methodik ist es Glückssache, ob Ihre Sicherheitsregeln wirksam sind oder nicht. Echte Sicherheit in dem Sinn, dass Sie sich begründet sicher fühlen können wäre das nicht.
Wenn Sie es nicht selbst machen können, sollte es jemand anders für Sie tun, oder Sie sollten sich aus der digitalen Welt genügend zurückziehen, um sich deren Gefahren nicht zu sehr auszusetzen.
Oben habe ich geschrieben, dass Sie sich letztlich alles Gelesene selbst zurechtlegen sollten. Und welche Konsequenzen Sie daraus ziehen, ist natürlich ebenfalls Ihre Entscheidung. Ich wünsche Ihnen dabei eine glückliche Hand!
1)
Der Artikel "Die 5L – Um geistig lange fit zu bleiben" hat mich zu dieser Bezeichnung
inspiriert. Der Vorteil der "5 L" wie der "4 S" ist, dass sie einen daran
erinnern, möglichst alle zielführenden Punkte im Auge zu behalten.
Auch im Englischen sind es "4 S": Strength, Secrecy, Storage,
Safety.
Ich habe leider die Erfahrung machen müssen, dass zumindest einzelne dieser
grundlegenden Sicherheitsprinzipien immer wieder auch von Fachleuten (sogar
von ganzen Firmen, die sich mit digitaler Sicherheit beschäftigen), im
Alltagsstress missachtet werden.
Deshalb gebe möchte, um diesen Prinzipien in ihrer Gesamtheit mehr Geltung zu
verschaffen, ihnen auch mit "4 S" einen Namen und mit dem im Fortgang
entwickelten Symbol
auch ein "Gesicht" geben.
2)
Die Stärke (in Bits) berechnet sich, wenn das Kennwort zufällig (oder
pseudo-zufällig, d. h. ohne erkennbare Systematik) gewählt ist, aus dem
binären Logarithmus des Umfangs des verwendeten Zeichensatzes multipliziert
mit der Zahl der Zeichen. Beispiel: Nimmt man als Zeichensatz Kleinbuchstaben
und Ziffern (für Smartphones empfehlenswert), so ist der Umfang 36, der
binäre Logarithmus 5,17 und man benötigt eine Kombination von 25 zufällig
erscheinenden Zeichen, um die 128-Bit-Marke zu überschreiten.
Siehe auch den Blog-Artikel "Die Mathematik der Passwortstärke".
3) Im Jahr 2024, dem Zeitpunkt der letzten Komplettüberprüfung dieses Artikels.
4)
Ausnahme: In der Regel wird von dem Kennwort ein kryptografischer Schlüssel
oder Hash abgeleitet. Dabei sollte eine
Schlüsselstreckung
angewendet werden. Die Stärke dieser Streckung in Bits kann den entsprechenden
Teil der geforderten Stärke des Kennworts ersetzen.
Meist weiß man aber gar nicht, welche Streckung ein Service oder Programm
vornimmt. Deshalb ist man für derzeit3 auf der
sicheren Seite, auf die Berücksichtigung einer möglichen Streckung zu
verzichten.21
5) Jede Verschlüsselung und jede Geheimhaltung eines Zugangskennworts kann höchstens so stark sein, wie das Kennwort, von dem sie ausgehen. Es sind Fachleute, die Verschlüsselung und Geheimhaltung programmieren, ständig auf Schwachstellen hin überprüfen und ggf. mittels Updates verbessern. Aber das Kennwort erstellen, muss die Nutzer*in selbst. Und es kann ihr niemand dabei über die Schulter schauen und sagen: "Dieses Kennwort ist zu leicht zu erraten." Daher ist das Kennwort in der Regel das schwächste Glied der krytografischen Sicherheitskette.
7) Im Internet sollte es keine Ausnahme geben. Für persönliche Geräte (PC, Tablet, Smartphone) und lokale Hauptpassworte kann jedoch die Mehrfachverwendung gerechtigt sein. Man sollte sich jedoch immer den Unterschied vergegenwärtigen den es konkret ausmacht, ob man verschiedene oder gleiche Kennwörter verwendet: Wenn z. B. die Daten zwischen PC und Tablet ohnehin synchronisiert sind, wäre es wohl ziemlich egal, ob nun "nur" das Zugangskennwort zum PC oder das für beide Geräte kompromittiert würde. Anders sieht es vielleicht aus, wenn die Daten auf beiden Geräten verschieden sind.
8) Man sollte natürlich versuchen, das soweit wie möglich zu vermeiden. Z. B. durch mehrere Zugriffskonten, unter Linux durch Gruppenberechtigungen oder durch das "sudo"-Programm. Aber manchmal ist es nicht möglich, es zu vermeiden. Wenn es aber nur darum geht, für den Notfall den Zugriff durch eine Ersatzperson sicherzustellen, ist bei key.matiq die Übertragung eines versiegelten Geheimnisses die bessere Wahl. Die Ersatzperson wäre dann keine aktuelle Geheimnisträger*in sondern eine potenzielle.
9)
Ab vier Geheimnisträger*innen ist ein Ausplaudern kaum noch sicher zu
unterbinden. Bei dreien müsste jedoch eine Plaudertasche damit rechnen, von
den beiden anderen regulären Mitwisser*innen zur Rede gestellt zu werden. Die
Hürde wäre also weitaus höher.
Allerdings gibt es keine Regel ohne Ausnahme:
- Bei den schon erwähnten WLAN-Kennwörtern ist eine Weitergabe an mehr Personen kaum zu vermeiden. Ein WLAN-Passwort dient allerdings auch nur dazu, die unbefugte Mitbenutzung durch Dritte zu verhindern. Sollte eine solche dennoch stattfinden, wäre bei ansonsten ordentlich geschützter privater IT-Infrastruktur der Schaden ziemlich begrenzt und ließe sich durch einen Wechsel des Kennworts leicht abstellen.
- Bei key.matiq gibt es die Möglichkeit, ein Anti-Spam-Kennwort für Verbindungsanfragen zu setzen. Auch für dieses wäre die Forderung, es max. drei Personen mitzuteilen, unsinning überhöht.
10) Im Blog-Artikel "Identitätsdiebstahl" wird näher auf Phishing-Angriffe eingegangen. "Unsichere Links" sind alle Links, die Ihnen auf unsicheren Wegen (z. B. per E-Mail) mitgeteilt wurden. Auch alle Links, die auf Seiten stehen, zu denen unsichere Links geführt haben, sollten Sie als "unsicher" betrachten. Leider verschicken auch seriöse Dienstleister E-Mails mit Links. die zwar in der Regel in Ordnung sind, die Sie aber im eben genannten Sinn unbedingt als "unsicher" einstufen sollten. (Selbst wir können in Ausnahmefällen nicht ganz darauf verzichten. – Allerdings weisen wir dann auf die Gefahren und nötigen Vorsichtsmaßnahmen hin.) Aus dem unbesorgten Umgang mit Links in E-Mails entsteht oft eine Nachlässigkeit, die es Phisher*innen leicht macht. Wenn Sie einen Link per E-Mail bekommen, gehen Sie in der Regel besser über ihre Favoriten im Browser oder über eine Suchmaschine zur genannten Domain. Denn: Auch "https:" mit einem SSL-Zertifikat ist noch kein Beweis für die Gutartigkeit einer URL. Auch ein Ihnen bekannter Name kann durch winzige Änderungen der Schreibweise auf eine gefälschte Seite führen.
11) Das soll nicht heißen, das solche zusätzlichen Maßnahmen unbedingt erforderlich sind. Sondern nur, dass Sie sie erwägen sollten, insbesondere für kritische Konten, wie z. B. key.matiq oder Ihr E-Mail-Konto.
12) Siehe den Blog-Artikel "Das Komplement-Konzept".
13) Ein guter Ansatzpunkt sind z. B. der Newsletter und die Homepage des BSI (https://www.bsi-fuer-buerger.de).
14) Manche Suchmaschinen priorisieren Seiten, die Sie bisher schon öfters gewählt haben. So laufen Sie Gefahr, in einer Filterblase (siehe Wikipedia) gefangen zu bleiben. Als Ausweg können Sie eine Suchanfrage von einem privaten Tab aus starten. Denn es geht ja darum, dass Ihnen nicht Honig um den Bart gestrichen wird, sondern dass Sie Neues oder auch alternative Ansichten erfahren.
15)
Das sollte eigentlich ziemlich selbstverständlich sein, ist es aber nicht:
Im Artikel "Todo cambia" zitiere ich Bill Burr, einen
Pionier der Passwortsicherheit, wie er sich für Regeln entschuldigt, die
er vor vielen Jahren in die Welt gesetzt hatte, obwohl er es hätte besser
machen können.
Im Artikel "Fast richtig" meine ich, im Jahr 2023 einen
ähnlichen Fehler beim BSI entdeckt zu haben: Sie schreiben etwas, was m. E.
viel Richtiges enthält, dann aber doch falsche Schlussfolgerungen suggeriert.
Wenn Bill Burr bei sich selbst rückblickend genügendes Nachdenken vermisste
und wenn ich es heute beim BSI in der Gegenwart an einer kritischen Stelle
vermisse, kann man es wohl kaum als selbstverständlich voraussetzen.
16) Das Pareto-Prinzip besagt, dass man mit geringem Aufwand viel erreichen kann, mit hohem zusätzlichem Aufwand dagegen meist nur noch geringen weiteren Nutzen erzielen wird. Deshalb geht es immer darum, die Maßnahmen zu identifizieren, die am meisten bringen, und dann ab einem bestimmten Punkt es auch mal gut sein zu lassen. Achten Sie also darauf, dass der Aufwand der Vorsorge nicht die geschätzten Versicherungskosten für die Risken überschreitet!
17) Wenn man nicht schwimmen kann und es auch nicht erlernen kann oder mag, sollte man sich besser nur in seichten Gewässern aufhalten! Aber selbst dann darf man entweder nicht ausrutschen oder muss ggf. wieder aufstehen können, sonst kann man auch in einer Pfütze ertrinken. Ist allerdings eine Rettungsschwimmer*in mit von der Partie, ist das natürlich auch eine Möglichkeit.
18)
Sollten Sie glauben, sich nicht entscheiden zu müssen, oder Sie den Kopf in
den Sand stecken zu können: Dann wünsche ich Ihnen viel Glück! Sie haben wohl
durchaus eine Chance, damit noch eine Zeitlang durchzukommen.
Die Statistik sagt allerdings, dass es früher oder später doch einen großen
Teil der IT-Nutzer*innen trifft. Nach meiner Erfahrung sind die Opfer dann
meist solche, die keine oder wenig Anstrengungen hinsichtlich der digitalen
Sicherheit unternommen haben. Und es trifft diese dann auch in der Regel hart.
Siehe z. B. den
Blog-Artikel "Identitätsdiebstahl".
19) Ich habe mich bei dieser und den vorhergehenden Empfehlungen von mir allgemeingültig erscheinenden Regeln für Sport-Trainer*innen leiten lassen. So hört man oft, dass das Training von Fußballer*innen immer im Kopf beginne. Deshalb denke ich (auch wenn ich durchaus verstehen kann, dass jemand, die oder der nicht zu den Digital Natives zählt, es leid ist, sich auch noch um ihre oder seine Passwortsicherheit zu kümmern), dass das interessierte Herangehen an eine Aufgabe die Chance, diese zu lösen, wesentlich erhöht. Und (bezüglich der vorangegangenen Vorschläge) fiel mir ein Handbuch für Skilehrer*innen ein, in dem es heißt, dass man die Übermütigen eher einbremsen, aber die Ängstlichen eher ermutigen sollte. (Ich denke, dass dann aber die konkrete Balancefindung zwischen Mut und Vorsicht sowohl im Sport als auch in der digitalen Welt immer viel mit den jeweiligen Personen und Situationen zu tun hat.)
20)
Die vier Methoden (im Englischen: reading, thinking, training, controlling)
lassen sich leider nicht so griffig fassen wie es die zentralen Aspeke mit dem
Begriff der "4 S" ermöglichen. Nichtsdestotrotz sollte man sich diese genauso
gut merken.
Denn die Missachtung auch nur einer der vier Methoden kann fatale Folgen
haben: Ob nun
- Gelesenes ohne Überprüfung übernommen (eigenes Denken vergessen) oder
- selbst nachgedacht, aber ohne Recherche (Lesen vergessen), also voreilig die Schlüsse angewandt, oder
- gelesen und nachgedacht, aber das für gut befundene Verhalten nicht trainiert und dann im Erstfall einer Phishing-Attacke aufgesessen, oder
- alles gewollt, aber nicht gemacht (Selbst-Kontrolle vergessen),
wozu führt das? Zu viel Aufwand, aber mit wenig Erfolg. Sehr oft sind eben die vier Methoden nur in der Kombination zielführend!
21) Langfristig wird allerdings wohl eine Unterscheidung erforderlich sein, da die kryptografischen Schlüssel infolge der immer noch wachsenden Rechengeschwindigkeit entsprechend Schritt halten müssen:
- Kennwörter, die im Passwortmanager des Browsers abgespeichert werden, oder die nur selten benötigt werden und bei Bedarf aus einem anderen Passwortmanager geholt werden können, sollten in der Stärke mit den kryptografischen Schlüsseln Schritt halten.
- Für Kennwörter, die für die Anmeldung an Geräte oder als Hauptpasswörter von Passwortmanagern benötigt werden, die also auswändig gelernt werden müssen, sollte recherchiert werden, ob bei der Schlüsselableitung eine Schlüsselstreckung verwendet wird. In diesem Fall dürfte diese wohl mit der Rechengeschwindigkeit Schritt halten, d. h. für diese Kennwörter sollten dann weiterhin 128 Bit an Stärke hinreichend sein.