Passwortkarte

Verwendung einer Passwortkarte

Einleitung
Alternative
Die Passwortkarte
Die Vorbereitung
Erstellen der Passwortkarte
Das PDF-Dokument
Das Lesen der Passwortkarte
Ermitteln der Passwörter
FAQ

Einleitung:
Wer viele Online-Dienste nutzt, welche ein Login erfordern, der hat sich auch sehr viele Login-Informationen
zu merken.
Angefangen bei dem E-Mail Konto bis hin zu web basierenden Diensten (Ebay, Google, Amazon, soziale Netzwerke, etc.)
die eine Authentifizierung erfordern.

Je mehr sich der Anwender hier an Zugangsdaten zu merken hat, um so eher wird dieser dazu verführt entweder
einfache - leicht zu merkende Passworte zu verwenden, bzw. das ein und das selbe Passwort für mehrere Dienste
zu verwenden.
Und wer so sein "Passwort-Management" ausrichtet, der wird auch seine Passworte nicht regelmäßig ändern und
läuft Gefahr, das seine Passworte möglicherweise erraten oder ausgespäht werden, und die Online-Konten
missbraucht werden.

Diverse Browser unterstützen den Anwender allerdings bei der Verwaltung und Speicherung der web basierenden
Zugangsdaten. Der Sicherheitsexperte Robert Chapin hatte die 5 gängigsten Browser auf die integrierte Passwortverwaltungen überprüft.
Bei diesen Test´s schnitten der Opera 9.62 und der Firefox 3.0.4 noch am besten ab, wobei diese beiden Browser von 21 Test´s mal gerade 7 bestanden hatten. Also auch nicht gerade berauschend.

Eine andere Möglichkeit wäre, sich ein Programm auf dem Rechner zu installieren, welches die Passworte verwaltet, bei Bedarf automatisch generiert, und die Passworte in einer Datenbank verschlüsselt speichert.
Solche Programme, meist Freeware, kann man z.B. hier herunter laden.
Der Vorteil solcher Programme ist, das man Passworte ersinnen oder generieren kann, die so komplex sind, das diese das Optimum in Sachen Sicherheit bieten. Außerdem trägt ein solches Programm automatisch die entsprechenden Daten wie Benutzername oder Passwort in vorgesehene Webfelder ein, sobald der Nutzer eine bestimmte Tastenkombination betätigt.

Darüber hinaus gibt es auch eine USB-Stick Anwendung namens KeePass bei PortableApps.com, welche diese Art von "Passwort-Management" flexibel realisiert.

Alternative:
Jetzt mag es aber Anwender geben, die generell eine digitale Speicherung der Passwort-Informationen ablehnen.
Entweder man merkt sich die komplexe Passworte oder man schreibt sich diese auf Papier nieder.
Letzteres birgt aber die Gefahr, das jeder, der den Zettel findet, das Passwort im Klartext lesen kann.
Mit etwas Phantasie und Geduld beim Durch-Testen der möglichen Accounts birgt dieses Verfahren ebenfalls ein Sicherheitsrisiko.

Man müsste also die Passwörter auf Papier irgendwie verschleiern. Und zwar so sicher, das auch bei Verlust des Zettels es schier unmöglich ist, die Passworte für die jeweiligen Zugänge zu ermitteln.

Die Passwortkarte:
Auf der Webseite meine-passwortkarte.de wird dieses Verfahren beschrieben.

Man kann sich hier eine individuelle Passwortkarte generieren, so das die verwendeten Passwörter auf dieser Karte verschleiert wird. Auf der Webseite wird in diesem PDF-Dokument beschrieben, wie man sein Passwort auf der Passwortkarte liest (oder ermittelt).
Diese Anleitung finde ich allerdings etwas dürftig. Deshalb beschreibe ich das Verfahren ausführlicher mit eigenen Worten und Beispielen.

Die Vorbereitung:
Damit man die Passwortkarte generieren kann, muss man sich zuerst ein Masterpasswort überlegen. Das Masterpasswort besteht aus Buchstaben von A-Z.
Dieses Masterpasswort sollte niemals notiert werden.
Außerdem muss das Masterpasswort mindestens so lang sein, wie das längste Zugangspasswort, das verschleiert werden soll.
Das Masterpasswort soll auch nicht leicht zu erraten sein. Also fallen Eigennamen, Namen von Familienangehörigen oder Freunde und Kosenamen weg.

Idealerweise sollte man sich einen "Sinn-Satz" ausdenken, den man sich leicht merken kann.

Beispiel:
Mein Passwort ist sicher, keiner wird es hacken oder cracken.

Das Masterpasswort lautet demnach:
MPISKWEHOC

Es ist bei der Vergabe des Masterpasswortes darauf zu achten, das jeder Buchstabe einmal vergeben wird.
Je länger das Masterpasswort ist, um so länger können die zu verschleiernden Zugangspasswörter sein, was die Sicherheit erheblich erhöht.

Für diese Anleitung habe ich mir mal die Passworte für folgende Zugänge überlegt (frei erfunden):

E-Mail:	K$15pqs.V
EC-Pin:	4985
PC-Login:	4uaOTm

Erstellen der Passwortkarte:
Man begibt sich auf die Webseite meine-passwortkarte.de und klickt dort auf Typ 1 - Persönliche Karte.

Hier bekommt man diese Eingabemaske zu sehen:

Auf der rechten Seite kann man eine Erläuterung und Sicherheitshinweise bei der Verwendung dieses Dienstes lesen.

Wie im roten Rahmen oben aufgezeigt, kann man pro Passwortkarte insgesamt 8 Passworte verschleiern.

Man wird also zur Eingabe

des Masterpasswortes [1]
die Bezeichnung (Namen) des Passwortes [2]
und das Passwort selbst [3]

aufgefordert.

Das führe ich jetzt mal anhand der obigen Passwort-Beispiele durch.

Eingabe der E-Mail Information

Eingabe der EC-Pin Information

Eingabe der PC-Login Information.

Man gibt das Masterpasswort also nur einmal ein, und klickt jeweils auf #1 bis #8, um so die unterschiedlichen Login Daten einzugeben.
Anhand der 3 obigen Screenshots ist zu erkennen, das die sich im Feld "Typ" je nach Eingabe des Passwortes sich der Inhalt automatisch anpasst.

Sind alle Eingaben getätigt, klickt man auf die Schaltfläche "PDF generieren" und man kann sich das PDF-Dokument mit der individuellen Passwortkarte herunter laden und auf dem Rechner speichern.

Das PDF-Dokument:
Das PDF-Dokument, das man sich herunter geladen und gespeichert hat kann man nun in einem PDF-Betrachter (Adobe Reader oder Foxit Reader) öffnen und ausdrucken.

Diese Passwortkarte stellt sich wie folgt dar:

(Ansicht vergrößert)

Das Lesen der Passwortkarte:
Wenn die Passwortkarte ausgedruckt, zurecht geschnitten und evtl. laminiert wurde, dann mag sich diese kryptisch lesen.

Am Rand der Karte befinden sich mit farblicher Unterscheidung die Bezeichnungen der verschleierten Passwörter.

Auf der Passwortkarte befinden sich 26 - 3x3 farbige Blöcke, welche von A bis Z auf gelben Hintergrund angeordnet sind. Um das gelbe Feld herum finden sich die Farben, welche für die entsprechenden Bezeichnungen stehen.

Hellblau für E-Mail
Hellbraun für EC-Pin
Grün für PC-Login

Ermitteln der Passwörter:
Idealerweise sollte man sein Passwort für den entsprechenden Zugang aus dem Gedächtnis eingeben.
Das man aber gelegentlich eine Gedächtnisstütze benötigt ist auch bekannt. Insbesondere dann, wenn man sich sehr viele Passwörter oder Kennungen zu merken hat.

Wir beginnen hier einmal mit einem einfachen Beispiel:
Man steht vor dem Geldautomat und die EC-Pin fällt einem nicht mehr ein.
Die EC-Pin ermittelt man wie folgt auf der Passwortkarte.

Das Masterpasswort, das man sich zwingend merken muss war:
MPISKWEHOC

Wir orientieren uns nun nur an den hellbraunen Feldern (EC-Pin) und gehen das Masterpasswort Buchstabe für Buchstabe auf der Passwortkarte durch.

Buchstabe nach Masterpasswort	Zahl welche für die EC-Pin steht
M	4
P	9
I	8
S	5

Die EC-Pin wäre also 4985. Ist also ganz einfach.

Und nach der selben Methode lässt sich auch das Passwort für den E-Mail Zugang ermitteln.
Man muss sich jetzt nur an den hellblauen Feldern orientieren.

Buchstabe nach Masterpasswort	Zeichen, welches für das E-Mail Passwort steht
M	K
P	$
I	1
S	5
K	p
W	q
E	s
H	.
O	V

Sehr einfach, wenn man verstanden hat, wie es funktioniert.
Nach diesem Verfahren könnt Ihr jetzt auch das Passwort für das PC-Login ermitteln.

Da alle 26 Buchstaben (gelber Hintergrund) mit Buchstaben, Zahlen und Sonderzeichen versehen sind, ist es ohne Kenntnis des Masterpasswortes und ohne technische Hilfsmittel fast unmöglich die jeweiligen Passwörter zu ermitteln.

FAQ:
Hier ein paar Fragen und Antworten, die mir beim Schreiben des Artikels so eingefallen sind.

Frage:
Ist dieses Verfahren wirklich sicher?

Antwort:
100% sicher ist kein Verfahren. Die jeweiligen Passwörter oder Pin´s werden auf dieser Passwortkarte lediglich verschleiert.
Die Betreiber der Seite meine-passwortkarte.de haben dazu auch einen entsprechenden Disclaimer auf Ihrer Webseite platziert.

Frage:
Wenn ich mir eine personalisierte Passwortkarte über diese Webseite erstellen lasse, dann kennen doch auch die Betreiber der Webseite meine Passworte.

Antwort:
Denkbar wäre das schon, das die Eingabe der Passwörter bei der Erstellung aufgezeichnet werden.
Aber was könnten die dann damit anfangen?
Bei der Erstellung wirst du nicht aufgefordert, deinen Namen, deine E-Mail Adresse oder eine andere Identifikation einzugeben. Von daher kann man keine Rückschlüsse auf deine Person und die verwendeten Accounts ziehen.

Frage:
Ja aber wenn ich diese Webseite besuche, dann hinterlasse ich doch auch Informationen auf dem Webserver:

Antwort:
Richtig. Hier kann deine IP Adresse, den verwendeten Browser und das Betriebssystem ermittelt werden.
Das sind Informationen, die du auf alle Webseiten hinterlässt. Und bei den meisten Providern bekommst du ohnehin eine dynamische IP zugewiesen. Diese gespeicherten Informationen erlauben keine Rückschlüsse auf deine Identität.

Frage:
Ja aber was ist mit Cookies?

Antwort:
Die Webseite von meine-passwortkarte.de setzt nur ein Cookie, welches sofort die Gültigkeit verliert, wenn die Sitzung beendet wird.

Frage:
Ok, wenn bei der Erstellung nichts zu befürchten ist, was ist mit der Übertragung der PDF-Datei?

Antwort:
Neuerdings kann die Übertragung der PDF-Datei mit einer SSL Verschlüsselung realisert werden.
Ein entsprechender Hinweis befindet sich auf meine-passwortkarte.de.
Weitere Informationen zu CAcert kann man in diesem Wikipedia-Artikel nachlesen.

Frage:
Die obige Verfahrensweise ist mir zu kompliziert. Gibt es nicht etwas einfacheres?

Antwort:
Ja in der Tat. Man kann sich auf der Seite eine Zufallskarte erstellen. Wie diese Karte zu handhaben ist, wird in diesem PDF-Dokument sehr einfach erklärt.

Frage:
Unterstützt mich dieser Dienst auch bei dem Erstellen von sicheren Passwörtern?

Antwort:
Ja. Gib dein Masterpasswort ein, und klicke auf "Zufallspasswort".
Bei "Type" kannst du die Zeichen auswählen, die du in deinem Passwort verwenden möchtest.
Klicke dann auf die Schaltfläche "generieren" und du erhältst Zufallspasswörter, welche genau so lang sind
wie dein Masterpasswort.

Frage:
Ich möchte mehr als 8 Passwörter mittels der Passwortkarte "verwalten". Wie geht das?

Antwort:
Erstelle dir mit dem selben Masterpasswort eine zweite (oder dritte) Passwortkarte.

Frage:
Ich habe meine Passwortkarte verloren. Was soll ich tun?

Antwort:
Druck dir die Passwortkarte erneut aus, begebe dich mit Hilfe der Passwortkarte auf deine Webdienste, und ändere deine Passworte. Erstelle dir dann eine neue Passwortkarte mit den aktuellen geänderten Passwörtern.

Frage:
Ich habe aber diese PDF Datei nicht mehr. Und jetzt?

Antwort:
Spiel dein Backup ein.

Frage:
Ich habe aber kein Backup und ich kann mich nicht mehr an die Passwörter erinnern. Wie bekomme ich wieder Zugang zu meinen Passwortgeschützten Zugänge?

Antwort:
Jeder vernünftige Dienst, der eine Authentifizierung mit Kennung und Passwort erfordert, hat eine "Passwort vergessen" Funktion. Fordere dir über diese Funktion ein neues Passwort an und überdenke deine Backup Strategie.

Fragen und Anregungen:
Dann schreibe mir einfach eine Mail.

Aktualisiert am 18/12/2008