Struktur

Geheimnisse können ganz verschiedene Strukturen aufweisen.

Viele Webshops verwenden für die Anmeldung einen Benutzer*innennamen und ein Kennwort. Ferner wird oft eine E-Mail-Adresse verlangt, an die ein neues Kennwort geschickt wird, falls das alte vergessen wurde. Wenn ich mir also die Zugangsdaten für einen solchen Shop notieren möchte, so benötige ich

• URL
• Benutzername
• Kennwort
• E-Mail-Adresse

Google Kalender™* benötigt z. B. für die Anmeldung eine E-Mail-Adresse und ein Kennwort. Zusätzlich kann aber auch noch eine weitere E-Mail-Adresse für die Zusendung verlorener Zugangsdaten angegeben werden. Also benötige ich

• URL
• E-Mail-Adresse
• Kennwort
• Zweite E-Mail-Adresse (optional)

Für eine EC-Karte dagegen benötige ich

• Kontonummer
• Bankleitzahl
• PIN
• PUK

Wenn ich aber einen geheimen Schatzplan besitze, habe ich einfach eine

• JPEG-Datei

Es liegt auf der Hand, dass man nicht alle Typen von Geheimnissen über einen Kamm scheren kann. Universal-Formulare auf denen alles eingetragen werden kann, bei denen aber dann auch viele Felder leer zu lassen sind, sind nicht gerade angenehm auszufüllen. (Wir kennen sie von der Steuererklärung.) Besser ist es, spezifische Vorlagen zu erstellen, die auch noch auf das jeweilige Geheimnis angepasst werden können.

Bausteine

Wir nennen die verschiedenen Teile eines Geheimnisses "Bausteine". Sie entsprechen in der Regel jeweils einem auszufüllenden Feld samt seiner Beschriftung und der Angabe, ob diese Information verschlüsselt werden soll oder nicht.

Was soll verschlüsselt werden?

Manche Kennwort-Verwaltungssysteme verschlüsseln sämtliche Informationen. Doch diese vermeintlich hohe Sicherheit hat einen Sicherheitsverlust an anderer Stelle zur Folge. Wurde z. B. das Hauptkennwort vergessen oder ist sonstwie verloren gegangen (z. B. durch verdeckte Änderung mit einer ungewohnten Tastatur), so kann auf gar nichts mehr zugegriffen werden.

Wenn man aber nur das Kennwort verschlüsselt, kann man sich von einem Online-Shop bei Kenntnis der URL und des Benutzernamens ein neues Kennwort zuschicken lassen. Und es wäre eventuell auch nützlich zu wissen, an welche E-Mail-Adresse dieses geschickt wird.

Natürlich lassen sich auch solche Informationen missbrauchen. Zum Beispiel könnte jemand, der Zugriff auf die E-Mailbox gewonnen hat, genau diese Methode benutzen, um ein neues Kennwort für den Online-Shop zu setzen und die E-Mail, mit der es zugesandt wird abzufangen. (Aber dazu gehören eben schon mehrere Informationen, insbesondere das Kennwort für die Abfrage der E-Mailbox.)

Aber es ist eben eine Ermessensfrage, was verschlüsselt werden soll und was nicht. Wir machen Vorschläge, aber die Entscheidung liegt letztlich bei Ihnen.