genervt,  Pyrocontra

Heartbleed-Bug – die Sache mit den Passwörtern

Mir blutet das Herz: Ich kann den Heartbleed-Bug natürlich nicht ignorieren und muss mich mit dem Thema Passwörter befassen. Eigentlich ist alles ganz leicht, wie Alex gerade in einem Beitrag beschrieben hat. Ein sicheres Passwort zu finden ist kein Problem. Einfach Groß- und Kleinbuchstaben zusammenmixen, mit ein paar Zahlen und Sonderzeichen garnieren, und das alles möglichst lang. Schade nur, dass viele Seiten, die Passwörter verlangen, das gar nicht zulassen.

Gerade habe ich für die FTP-Verbindung zu meinem Server ein neues Passwort eingetragen. Ich hatte mir nach den oben genannten Vorgaben etwas ausgedacht, worauf garantiert niemand kommt und das ich mir dennoch gut merken kann. Und was sagt mir das Formular: Das Passwort darf nicht länger sein als sechs Zeichen. Also ist es doch wieder etwas ziemlich einfaches geworden.

Andere Seiten machen andere Vorgaben. Sie lehnen Zahlen ab oder bestimmte Sonderzeichen. Sie wollen unbedingt einen Großbuchstaben, wo ich keinen setzen will. Oder sie machen Längenvorgaben. Wie soll ich das alles im Blick behalten? Und vor allem: In dem Moment, in dem ich mich irgendwo einloggen will, ist der Hinweis auf die Passwort-Vorgaben natürlich nicht mehr zu sehen. Ich kann doch nicht im Kopf behalten, was bei welcher Seite erlaubt ist und was nicht, um zu wissen, welche Variante welches Passwortes gerade die richtige ist.

So lange es Seiten sind, auf denen ich beinahe täglich unterwegs bin, ist alles kein Problem. Das lernt sich einigermaßen schnell. Doch was ist mit den anderen, die ich nur in unregelmäßigen Abständen aufsuche? Da wird die Sache schwierig. Und nun komme mir niemand mit einem Passwort-Generator. Ich habe zwar nie einen benutzt, aber ich wette, der hat mit der Erlaubnis für unterschiedliche Längen und Sonderzeichen so seine Schwierigkeiten. Außerdem kommt noch etwas hinzu: Ich brauche die Passwörter manchmal auf Rechnern, auf die ich entweder nichts herunterladen kann, weil diese Funktion gesperrt ist. Also auch keinen oder meinen Passwort-Generator. Und wie geht das auf mobilen Endgeräten?

Fragen über Fragen, deren Antwort ich sicher finden würde, wenn ich mich tiefer in die Materie einarbeite. Aber dazu habe ich keine Lust und keine Zeit. Mein Passwortgenerator ist mein Kopf, und bisher bin ich ganz gut damit gefahren. Nur das mit den unterschiedlichen Längen und verschiedenen erlaubten Sonderzeichen ärgert mich und erschwert die Sache ungemein. Deshalb lautet die Forderung meines Kopfes: Macht endlich einheitliche Passwort-Vorgaben, damit ich weiß, was wo geht und welches Passwort ich wo eingetragen habe.

Ein ausführliches Interview zum Heartbleed-Bug gibt es hier zu lesen.

Susanne Peyronnet *1960 Wurzeln in Niedersachsen Leben in Schleswig-Holstein Redakteurin seit 1981 Hobbys: Reisen, Lesen, Reiten Musik: Klassik, Klassik, Klassik (Ausnahme Kammermusik) Länder: Deutschland, Frankreich

Ein Kommentar

  • Dieter Gotzen

    Hola Susanne,

    mir schwillt bei diesem Thema mittlerweile der Hals. Und da ich quasi mit und in der IT groß geworden bin, kann ich da auch ein wenig mitreden.

    Wieder einmal will man dem einzelnen Benutzer die Verantwortung aufs Auge drücken. Mein Kenntnisstand ist: die Datenbanken der ANBIETER wurden geklaut. Also muss die Diskussion in Richtung z. B. GMX oder Web.de gehen. Aber doch nicht in Richtung Benutzer. Und ohne Hilfe von Innen geht so gut wie kein Datendiebstahl.

    Wobei die SSL-Datenlücke wiederum das kleinere Übel ist. Es gibt eine Auseinandersetzung in einen Forum aus dem Jahr 1998, wo ich den Datenschutzbeauftragten von Bayern auf eine versteckte Emailadresse in einem Serversystem aufmerksam machte. Was machte die „Schnarchnase“? Fragte freundlich per Post beim Hersteller an. An diesem Szenario hat sich bis heute nichts geändert, nur eben anders. Geh mal davon aus, dass jede Mail eurer Redaktion erst von einem Scansystem bearbeitet wird, bevor es den eigentlichen Adressaten erreicht.

    Auch 2009 gab es einen (vermutlichen) Einbruch in das System mit dem großen „T“. Hier wurden die DNS-Einträge der Serverknoten verbogen. Zumindest hier in NRW.

    Wenn den sogenannten Experten nichts mehr einfällt, erzählt man das Märchen vom Passwortwechsel. Nur die eigentlich Verantwortlichen zerrt man nicht in den Fokus der Medien. Siehe auch Dein verlinkter Artikel.

    Ich höre hier mal auf zu schreiben. Das Thema bringt mich echt auf 180.

    Liebe Grüße

    Dieter

Eine Antwort schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert