Das Internet ist kaputt, nagut zumindest der Teil mit der Authentisierung

Rico

Heute geht es um etwas, was mich schon länger beschäftigt. Ich glaube, dass ich noch ein sehr gutes Gedächtnis habe. Passwörter sind so eine Sache, man soll sie sich gut merken können, müssen jedoch kompliziert genug sein, dass kein Anderer es errät und sollten möglichst nur in meinem Kopf sein und nicht schriftlich niedergeschrieben werden.
Ich gebe zu, diese Regeln zuletzt gebrochen zu haben. Es ging einfach nicht mehr! Bei einem Online-Dienst sollte ich mir ein Passwort ausdenken, alles schön und gut, hatte eines gefunden, die Anzeige der Passwortstärke gab grün und ab damit. Da kam ein freundlicher Dialog, der mich darauf hinweiste, dass es da ein paar Regeln gibt, die da wären:

  1. Mindestens 7, maximal 10 Stellen
  2. Verwenden Sie einen Mix aus Zahlen und Buchstaben, Groß und Kleinschreibung
  3. Benutzen Sie keine persönlichen Angaben (z.B. Geburtsdatum, -name, Alter, etc.)
  4. Folgende Sonderzeichen können im neuen Passwort verwendet werden <Leerzeichen> / _ ( )
  5. Die folgenden Buchstaben können nicht in einem Passwort verwendet werden: i, I, o, O, l, L, 0, 1.

Von vorn, Nummer 1 alles klar, damit hatte ich gerechnet
Nummer 2 check, das ist Standard, meine Passwörter schaffen das alle.
Nummer 3, auch check, so viele persönliche Angaben gibt man auch nicht preis, dass das schwer wäre.
Nummer 4, okay, das ist keines meiner beliebten Sonderzeichen dabei. Ein Leerzeichen ist erlaubt? Stark, dass ist echt selten.
Nummer 5, what what what? Jetzt wird es schwierig. Die ersten 4 Versuche schlugen fehl, es war keine Abwandlung drin, die nicht gegen irgendein Zeichen verstößt.
Über den Hintergrund der Regel kann ich nur spekulieren, normalerweise verzichtet man auf diese Zeichen, da sie bei einigen Schriftarten sehr ähnlich aussehen und Verwechslungsgefahr bergen. Aber bei einem Online-Dienst? Drucken die die Dinger aus? NSA? BND?
Versuch 5 gab grünes Licht, aber ich musste es aufschreiben, es war einfach nicht mehr merkbar. Was soll man da machen, wenn man auf den Dienst nicht verzichten kann? Das System ist kaputt, Benutzername/ID und Passwort sind keine zuverlässigen Parameter für eine Authentifikation mehr.
Es gibt Dienste, die kann ich nur noch über den Bereich "Passwort vergessen?" betreten. Deren Passwortregeln sind ähnlich kompliziert wie Obige und die Häufigkeit der Nutzung reicht nicht aus, damit es sich lohnt das Passwort zu merken. Schade, aber an dem Punkt bin ich am Ende.
Doch was gibt es für Lösungen aus dem Dilemma? In der c't 18/2014 waren einige Tipps enthalten. Nutzung eines Passworttools, was schwierige Passwörter berechnet, welche nur mit einem Master-Passwort benutzt werden können. Vorteil, das Geheimis verbleibt immer beim Anwender und wird nie via Internet über den Äther geschickt. Der Diebstahl der Passwörter von Online-Servern lässt keinen Zugriiff auf andere Dienste zu, da dass Passwort dafür nicht verwendet wurde. Nachteil, man ist an ein Gerät mit der Software gebunden.
Passwort-Dongles, auch eine Möglichkeit, ähnlich wie die Software nur in Hartplastik gepackt. Auch hier der Nachteil der Flexibilität bei den nutzbaren Geräten.
Oder die c't Passwortkarte. Auch nicht so mein Fall.
Ganz andere Wege werden mit der 2-Faktor-Authentifizierung beschritten. Bei dem man ein zusätzliches Merkmal verwenden muss, um die authentifizierung abzuschließen, Smartphone, Iris-Scan, Fingerabdruck whatever, alles ist möglich, aber nicht gerade praktikabel.
Im Moment bin ich noch ratlos, wie es weitergehen soll. Es muss etwas passieren, doch ich weiß noch nicht was. Die nächste Zeit werde ich wohl noch etwas recherchieren müssen, wie man dem Dilemma entkommt. Bis zur Lösungsfindung hoffe ich, das die Passwörter im Kopf bleiben.