DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Die Pass­wort­karte

Ob in der Arbeit oder privat: Täglich benö­tigen wir Pass­wörter. Sie sind lästig, aber sie bieten uns Sicherheit. Doch wie sicher sind Ihre Pass­wörter? Und wie soll man sich die ständig stei­gende Anzahl noch merken können? Eine kleine Karte bietet die Lösung.

Die Pro­ble­matik der Vielzahl und Kom­ple­xität von Pass­wörtern hat sich in den letzten Jahren deutlich ver­stärkt. Auf­grund von zuneh­menden Hacker-Angriffen, bei denen immer leis­tungs­stärkere Rechner genutzt werden, müssen IT-Systeme immer besser geschützt werden – zum Bei­spiel mit einem kryp­ti­schen Passwort.

Doch für jeden Zugang benötigt man ein anderes Passwort, das am besten auch in regel­mä­ßigen Abständen geändert werden sollte. Diese Vor­aus­set­zungen lassen es unmöglich erscheinen, einen Über­blick über das Passwort-Sam­­mel­­surium zu behalten. 

Das Resultat: Leicht­fer­tigkeit

Sicherlich weiß jeder, dass es nicht die klügste Idee ist, sein Passwort auf einen Notiz­zettel zu schreiben. Aber mal ehrlich: Wer hat das nicht schon getan? Auch sollte der direkte Per­so­nen­bezug mög­lichst ver­mieden werden, da Pass­wörter dadurch leicht zu erraten sind. Trotzdem finden sich in den meisten Pass­wörtern per­sön­liche Daten wieder. Von der Nutzung häufig ver­wen­deter Tri­vi­al­pass­wörter wird eben­falls abge­raten. QWERT1234 oder 123asd sind aber nun mal einfach zu merken.

Kleines Mittel – große Hilfe

Dem Problem der unsi­cheren Pass­wort­bildung und -auf­be­wahrung soll die „Pass­wort­karte“ ent­ge­gen­wirken. Sie besteht aus einem Koor­di­na­ten­system, dessen Achsen von links nach rechts mit den Buch­staben A-Z und von oben nach unten mit den Zahlen 1–12 ver­sehen sind. Das Zei­chenfeld beinhaltet alle Zeichen die zur Pass­wort­bildung erlaubt sind.

Passwortkarte Muster

Muster einer Pass­wort­karte  © Bild: DATEV eG

Die Anwendung ist einfach:

  • Wählen Sie im Koor­di­na­ten­system einen belie­bigen Start­punkt aus.
  • Vom Start­punkt aus nehmen Sie einen „Weg“ in eine beliebige Richtung vor, dabei ist die Ver­wendung von hori­zon­talen, ver­ti­kalen, dia­go­nalen Rich­tungen sowie auch von Rich­tungs­wechseln und Zickzack möglich. Die Länge des Weges hängt indi­vi­duell von Ihrem gewünschten Passwort ab, wir emp­fehlen Ihnen jedoch die Ver­wendung von min­destens 10 Zeichen. Einzige Aus­nahme ist, der Pass­wortweg darf sich nicht kreuzen.
  • Vari­ieren Sie ggf. Ihre Pass­wor­t­er­stellung indem Sie z.B. die Zei­chen­folge ihres Weges durch das Aus­lassen von Zeichen nach einem festen Muster ver­längern. Oder schreiben Sie eine darin ent­haltene Zahl aus oder ver­tau­schen Sie jeweils den ersten und letzten Buch­staben.

Die Vor­teile der Pass­wort­karte – bilden, merken, ändern

Schnelles Bilden: Die Last, sich ständig neue kreative Pass­wörter zu über­legen, die mit den ent­spre­chenden Passwort-Regeln konform sind, wird einem abge­nommen. Kein erzwun­genes Ein­bauen von Son­der­zeichen, keine zeit­in­tensive Suche nach leicht zu mer­kenden Pass­wörtern mehr. Die Ergeb­nisse sind trotzdem sicher.

Weniger zu merken: Statt sich ein langes, kom­plexes Passwort merken zu müssen, reicht es nun aus, sich drei Dinge zu merken: den Anfangs­punkt, den rich­tungs­wei­senden Punkt und wie man diese zwei Punkte gedanklich ver­bindet.

Per­so­nen­bezug möglich: Die Pass­wort­karte erlaubt die Nutzung per­so­nen­be­zo­gener Daten. Denn diese können sich nur im Start­punkt und im rich­tungs­wei­senden Punkt wider­spiegeln, nicht jedoch im sich daraus erge­benden Passwort. Da es viele mög­liche Wege von einem Punkt zum anderen gibt, ist das Passwort selbst dann nicht zu erraten, wenn ein Dritter die Koor­di­naten beider Punkte her­aus­findet.

Kein Ver­stecken nötig: Die Pass­wort­karte kann sichtbar liegen gelassen werden – vor­aus­ge­setzt das Passwort ist nicht darauf mar­kiert. Notiz­zettel sind über­flüssig und es besteht nicht länger die Gefahr, dass diese in die fal­schen Hände gelangen.

Leichtes Ändern: Bei Ände­rungen können die beiden Punkte des vor­he­rigen Pass­wortes bei­be­halten werden. Es genügt völlig einen neuen Weg zu wählen.
Alter­nativ kann auch einer der beiden Punkte geändert werden, während der andere erhalten bleibt.

Erstellung einer Pass­wort­karte

Bei der Gestaltung der Pass­wort­karte gilt es das ein oder andere zu beachten. Zunächst ist es wichtig ein System zu finden, das die Kon­for­mität mit den fir­men­ei­genen Passwort-Regeln sicher­stellt. Darüber hinaus müssen die Zeichen im Koor­di­na­ten­system so ange­ordnet sein, dass das Passwort in jedem Fall alle not­wen­digen Kom­po­nenten enthält, um die nötige Kom­ple­xität zu gewähr­leisten.
 
Des Wei­teren ist es sinnvoll, mehrere Sets einer Pass­wort­karte zu ent­werfen. Das heißt, nicht jede Karte sollte das gleiche Zei­chenfeld haben, sondern die Anordnung der Zeichen sollte sich unter­scheiden. Dadurch wird die Hete­ro­ge­nität von Pass­wörtern sicher­ge­stellt und ver­mieden, dass mehrere Mit­ar­beiter das gleiche Passwort ver­wenden.
 
All das bringt jedoch nichts, wenn die Mit­ar­beiter die Pass­wort­karte nicht nutzen. Das Bekannt­machen der Pass­wort­karte und das Über­zeugen der poten­zi­ellen Anwender ist deshalb der wohl wich­tigste Punkt.

Fazit

Mit einem ein­fachen Hilfs­mittel kann die lästige Pass­wor­t­er­stellung deutlich ver­ein­facht werden. Und das bringt Vor­teile auf­seiten des Unter­nehmens wie auch auf­seiten des Anwenders: Die Pass­wörter werden sicherer, während dem Anwender Kopf­zer­brechen erspart bleibt.

Bild:  © Paul Golla / pixelio.de

10 Kommentare zu Die Passwortkarte

  • Irene Heister sagt:

    Passwort-Karte
    Selbst die beste Passwort-Karte ist nur ein­ge­schränkt ein­setzbar, so lange die ver­schie­denen Adres­saten, die den Einsatz von Pass­wörtern erwarten, zugleich jeweils sehr unein­heit­liche Regeln für die Ver­wendung von Son­der­zeichen fest­legen. Die Postbank bei­spiel­weise akzep­tiert das Zeichen “#” (Ihre Abbildung) ganz selbst­ver­ständlich wie weitere 22 andere Son­der­zeichen, die Volks- und Raiff­ei­sen­banken indessen akzep­tieren nur das Leer­zeichen und das “@”. Von anderen Instanzen mit jeweils ganz eigenen Vor­gaben ganz zu schweigen. Man müsste also bei Ver­wendung der Passwort-Karte von Anwen­dungsfall zu Anwen­dungsfall jeweils diverse Son­der­zeichen einer Zei­chen­kette über­springen. Das ist nicht mehr prak­ti­kabel!

  • Angelika Pelz sagt:

    Pass­wort­karte
    Die Pass­wort­karte ist ja nicht als starres Hilfs­mittel zu sehen. Im Gegenteil: Wir weisen ja auch darauf hin, dass diese Karte, je nach den indi­vi­duell vor­lie­genden Sicher­heits­regeln, ent­spre­chend mit eigenen Inhalten erstellt werden müsste.

  • Detlev Kasten sagt:

    Pass­wort­karte
    Ein Beitrag wie ich ihn liebe. Eine tolle Infor­mation über ein nütz­liches Instrument ohne jeg­lichen Hinweis bzw. Link wo man die Pass­wort­karte bekommen kann. 🙁

  • Angelika Pelz sagt:

    Bestellung Pass­wort­karte
    Da haben Sie Recht! Bestellen kann man die Karte kos­tenfrei unter info@sicher-im-netz.de.

  • Gast sagt:

    einfach klasse!!!
    einfach klasse!!!

  • rudim sagt:

    Nach­teile der Pass­wort­karte
    Vom Prinzip her gut, aber es gibt einige Nach­teile:

    1) Die unter­schied­liche Länge der erlaubten PW. Ein Ver­sand­händler erlaubt nur 14 Zeichen, ein Cloud­spei­cher­dienst aber bis zu 64!

    2) Die unter­schied­lichen Son­der­zeichen (wurde ja schon ange­sprochen). Ich habe fest­ge­stellt, dass bei min­destens 5 Anbietern Son­der­zeichen nicht über­ein­stimmend anwendbar waren. Das dient nicht gerade der Ver­ein­fa­chung, sprich, dem Erstellen eines Bil­dungs­ge­setzes, welches trotz gleichem Vor­gehens mit Hilfe der Karte völlig ver­schie­dener PW gene­riert.

    3) Der meiner Meinung nach größte Nachteil: Ich habe jetzt mal für 22 Anbieter (Cloud­speicher, Mail­pro­vider, Ver­sand­häuser, Inter­net­pro­vider, Soziale Netz­werke etc.) je ein eigenes PW erstellt — bisher nur auf dem Papier zum bes­seren Ver­gleich.

    Jetzt soll ich mir den Anfangs­punkt, den rich­tungs­wei­senden Punkt und die gedank­liche Ver­bindung dieser zwei Punkte merken. Wie mache ich das bei so vielen Anbietern und wie kann ich den Weg durchs Laby­rinth für jeden ein­zelnen nach­voll­ziehen?

    Habe ich da das System nicht ver­standen oder etwas über­lesen?

    • Anita Möllering sagt:

      Antwort auf Ihre Anmer­kungen zur Pass­wort­karte
      Sehr geehrter Leser,

      danke für Ihre Rück­meldung und Ihr Interesse an unserem Blog.

      1) Ein sicheres Passwort erlaubt eine ange­messene Länge von mind. 10–15 Zeichen. Es kann daher schon bei einem Ver­sand­händler, der nur ein 14 Zeichen Passwort erlaubt ein ent­spre­chender Pass­wort­schutz gewähr­leistet werden. Generell gilt aber: Je mehr erlaubte Zeichen zuge­lassen / ver­wendet werden, desto besser. Groß- und Klein­schreibung, Son­der­zeichen, Ziffern und Son­der­zeichen sind gemischt zu ver­wenden. Da Sie nie das­selbe Passwort bei meh­reren Diensten ver­wenden sollten, kre­ieren Sie am besten für jede von Ihnen genutzte Anwendung ein anderes, sicheres Passwort nach den Län­gen­an­for­de­rungen des Anbieters.

      2) Wenn Anbieter diverse Son­der­zeichen nicht erlauben, kann dennoch auf die Pass­wort­karte zurück­ge­griffen werden, indem Sie diese Son­der­zeichen über­springen. Eine Alter­native wäre die Akro­nym­me­thode zu ver­wenden, wobei Sie sich einen Satz aus­denken und von jedem Wort nur den z. B. 1. Buch­staben für das Passwort benutzen. Anschließend werden bestimmte Buch­staben in (erlaubte) Zahlen oder Son­der­zeichen ver­wandelt. Bei­spiel: I want to be called the Number 1 = Iwtbct#1

      3) Je größer die Anzahl der Pass­wörter desto mehr Koor­di­nation benö­tigen Sie, um sich nicht in dem Laby­rinth zu ver­lieren. Notieren Sie sich höchstens den Akro­nymsatz oder den Hinweis für den Ein­stiegs­punkt des Pass­wortes auf. z.B. Sonja war meine erste Freundin und ich war 12 Jahre. Sie wohnte im Haus rechts von mir. = 12,S,rechts. Oder

      Unser Tipp: Um trotz der vielen Pass­wörter nicht den Über­blick zu ver­lieren, benutzen Sie am besten ein per­so­na­li­siertes Passwort-System.
      a. Kre­ieren Sie ein Basis­passwort mit der Pass­wort­karte z.B. von B4 als Start­punkt waag­recht bis N4 als End­punkt (13 Zeichen).
      b. Basierend auf diesem Passwort können Sie “Anbieter-Pass­wörter” erstellen, Hierzu wählen Sie bei­spiels­weise 2 Zeichen des Anbieters aus und kom­bi­nieren diese mit dem Basis­passwort.
      c. Bei­spiel: Kom­bi­nieren Sie das Basis­passwort mit dem Anbieter “Amazon”: Sie wählen den 3. Buch­staben des Anbieters (hier a) und hängen diesen Buch­staben an die 2. Stelle ihres Basis­pass­wortes. Zusätzlich können Sie die Buch­staben des Anbieters zusammen zählen (hier 6) und diese Zahl als letzte Stelle ihres Basis­pass­wortes hängen. Schon haben Sie ein kom­plexes Passwort für den Anbieter “Amazon”.

      Für alle wei­teren Anbieter können Sie nach der­selben Methode ein indi­vi­du­elles Passwort erstellen.

  • Hagen sagt:

    Tolle Basis für Anmel­dungswust
    Ein sehr inter­es­santer Ansatz! Aber ich habe so meine Bedenken bei der prak­ti­schen Anwendung. Die Theorie ist feh­lerfrei: Ich merke mir die Koor­di­naten des Kenn­worts für meine Anwendung und kann jeder Zeit das Kennwort mit der Kenn­wort­karte rekon­stru­ieren.
    Die Praxis aller­dings sieht so aus: ich habe 97 Daten­sätze (eben nach­ge­zählt!) mit Anmel­de­in­for­ma­tionen. Email, Ein­kaufen, Online­banking, Foren, Software und so weiter. Jeder Datensatz besteht aus 2 bis 3 Daten … dem Anmel­denamen, dem Kennwort und gege­ben­falls der Email­adresse, die mit dem Konto ver­knüpft ist. Selbst wenn ich mir die Kom­bi­nation “Mas­ter­kennwort + 2 Buch­staben des Anbieters” merken könnte, fehlt mir immer noch der Anmel­dename. Ich komme also grund­sätzlich nicht drum­herum, mir die ganzen Infor­ma­tionen aus­zu­schreiben! Momentan habe ich zwei Kenn­wort­bücher, die auf meinen beiden Schreib­ti­schen stehen. Zwi­schen diversen anderen Büchern, in einem lang­wei­ligen Einband (sagen wir mal “GU — Katzen ver­stehen” und “Der Schim­mel­reiter” von Storm). Wenn jemand in meine Wohnung ein­bricht UND da getarnte Buch findet, dann habe ich ver­mutlich größere Pro­bleme als kom­pro­mi­tierte Kenn­wörter.
    Aller­dings werde ich das System jetzt abwandeln! Anstatt ins Buch zu schreiben “Komi­scher­An­mel­dename”, “irgendeine@emailadresse.de” und “Z54Fde#TZ” steht dort in Zukunft “Komi­scher­An­mel­dename”, “irgendeine@emailadresse.de” und “G8”. Und die Kenn­wort­karte liegt auf dem Schreib­tisch. Perfekt!
    Und mobil ist die Lösung auch. Ich muss nicht mehr zwei iden­tische Bücher par­allel führen, sondern nurnoch ein Master-Buch mit allen Infor­ma­tionen und jeweils Listen nach dem Format “Amazon.de” / “Komi­scher Anmel­dename” / “G8”. Und die Kenn­wort­karte liegt auf den Schreib­ti­schen oder steckt in der Geld­börse. So eine Liste kann ich selbst auf dem Mobil­te­lefon ablegen und hab sie so immer parat. Sicher wird das ganze auch noch, durch die phy­sische Trennung der Anmel­de­in­for­mation und des Kenn­worts.
    Also nochmal — vielen Dank für diese Idee!

  • Steffen W. sagt:

    Bitte nehmen sie den Download der “Beispiel”-Karte auf ihrer Website weg: https://www.sicher-im-netz.de/dsin-passwortkarte-1
    Letzt­endlich kann hier nur eine Karte her­un­ter­ge­laden werden, was dazu führt, dass jeder die gleiche Karte hat. Damit sind gerade mal 1248 ver­schiedene 8-stellige Pass­wörter möglich (26 Buch­staben x 12 Zahlen x 4 Rich­tungen), wenn man kein Zick-Zack macht. Dadurch, dass alle die selbe Karte her­un­ter­laden, kann man nun diese 1248 Pass­wörter schön in eine Brut­force-Liste auf­nehmen. Diese Seite: https://www.passwordcard.org/en erstellt per­so­na­li­sierte Karten.
    Auch wenn der Blog­eintrag von 2016 ist, ist die Down­load­seite mit eines der Top-Ergeb­nisse wenn man nach Pass­wort­karte sucht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awa­reness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare