Verschiedene Logins und Passwörter für verschiedene Zwecke – Warum?

Logins, Passwörter, Kundennummern etc. – Sobald wir heutzutage mit jemandem Kontakt aufnehmen, müssen wir uns identifizieren. Ganz selbstverständlich melden wir uns am Telefon mit unserem Namen, hinterlassen beim Pizzaservice unsere Telefonnummer und identifizieren uns bei unserem eMail-Provider per Accountname und Passwort. Eine wahre Flut an Identifikationsmerkmalen strömt auf uns ein und alle sollen möglichst eindeutig und doch verschieden sein. Aber warum?

Vor 500 Jahren war die Welt noch in Ordnung. Wir lebten in unserem Dorf, jeder kannte jeden mit Vornamen und falls man über abwesende Personen sprach, gab man ihnen einen Zunamen wie zB die Berufsbezeichnung Müller.
Vor 50 Jahren hatte sich der Aktionsradius der Menschen schon so weit vergrößert, dass der Name alleine nicht mehr aussagekräftig genug war, um jemanden eindeutig zu identifizieren. Also kam das Geburtsdatum und der Wohnort als Merkmal hinzu. Als Nachweis dieser Daten hatte man seinen Ausweis.
Als vor 15 Jahren das World Wide Web seine Pforten öffnete, erweiterte sich der Aktionsradius auf die ganze Welt. Um sich eindeutig auszuweisen waren nun abermals zusätzliche Identifikationsmerkmale nötig. Zum Namen, der Adresse und dem Geburtsdatum kam das Herkunftsland hinzu. Da das Web rein auf der Schriftsprache aufgebaut ist, wäre es arg umständlich sich jedesmal mit all diesen Daten bei einem Dienst einloggen zu müssen. Außerdem sind all diese Daten wenn auch nicht öffentlich einsehbar, dann doch sehr leicht herauszufinden. Um jemanden eindeutig zu identifizieren sind sie also nicht geeignet. Also begann man das bekannte Spielchen mit dem Login-Namen und den Passwörtern.

Eine Eigenschaft des Menschen ist es, sich Dinge die eine Bedeutung haben leichter Merken zu können als Bedeutungslose. Um es den Nutzern zu erleichtern, sich ihre Login-Namen und Passwörter zu merken, gab man den Nutzern die Möglichkeit diese selbst zu wählen. Dabei wies man sie aber nicht darauf hin wie Login-Namen und vor allem Passwörter beschaffen sein sollten. So kam es zu den bekannten Beispielen von Login-Namen wie „Michael1982“ oder „Rambo111“ mit Passwörtern wie „123456“ oder „Hallo“ (Quelle: heise newsticker). Das alleine wäre schon schlimm genug, leider kommt nun aber noch eine weitere Eigenschaft des Menschen ins Spiel: Die Faulheit!
Viele Nutzer benutzen den gleichen Login und das selbe Passwort für viele verschiedene Seiten. Zwar ist es natürlich praktischer, bei eBay, Amazon und der Lieblings-Porno-Seite die selben Daten zu benutzen, sind sie doch so viel leichter zu merken, doch über die Gefahren machen sich die Meisten keine Gedanken.
Ein aktuelles Beispiel für die Gefahren einer solchen Faulheit ist der Diebstahl der Daten beim StudiVZ. Zwar sind die Passwörter verschlüsselt abgespeichert (näheres bei Passwort-Hashing) aber wie Jörg-Olaf schreibt in diesem Fall nicht gesalzen. Dies bedeutet, dass aus den verschlüsselten Daten mit Verhältnismäßig wenig Aufwand die Passwörter errechnet werden können und somit der Hacker sowohl das Passwort als auch den zugehörigen Login-Namen kennt. Der Hacker kann jetzt lustig versuchen bei den bekanntesten Webseiten mit diesen Daten einzuloggen und gegebenenfalls shoppen zu gehen. Hat sogar das eMail-Postfach die selben Zugangsdaten, kann er auch die private Korrespondenz mitlesen und ggf. eMails, die auf sein tun hinweisen löschen.

Darum sollte man folgendes tun:
– Für möglichst viele Verschiedene Dienste verschiedene Benutzernamen und Passwörter verwenden. Vor allem für Dienste, die finanziellen Schaden anrichten können (Amazon, eBay, Online-Banking, Mobilfunkprovider, Telekommunikationsanbieter, eMail-Provider).
– Eine Liste über die verwendeten Benutzernamen und Passwörter anlegen und diese an einem sicheren Ort verwahren. Der Computer ist kein sicherer Ort, auch unter der Tastatur, der Maus, etc nicht. Im privaten Bereich bietet es sich an, die Liste in ein Buch oder einen Ordner zu stecken.
– Die Passwörter regelmäßig ändern.
– Sichere Passwörter verwenden (dazu werde ich noch einen Artikel schreiben)

Wenn man nicht für jeden Dienst verschiedene Daten verwenden will, dann sollte man die Dienste in verschiedene Kategorien einteilen und diesen Kategorien jeweils verschiedene Benutzernamen und Passwörter zuweisen. Ein Beispiel für eine Kategorisierung wäre:
– Kostenlose Dienste ohne Schreibrechte, zB Online-Programmzeitschrift
– Kostenlose und vertrauenswürdige Dienste mit Schreibrechten, zB Youtube, Flickr, Onlineforen
– Kostenlose und vertrauensunwürdige Dienste mit Schreibrechten, zB Onlineforen, Chat-Seiten, StudiVZ, SchülerVZ
– Kostenpflichtige vertrauenswürdige Dienste, zB Blogs, Zeitschriftenarchive
– Kostenpflichtige vertrauensunwürdige Dienste, falls es so etwas gibt
– Unverzichtbare Dienste, zB eBay, Amazon, Blogs, Onlineforen, Chat-Seiten, etc
Den Unverzichtbaren Diensten sollte man auf jeden Fall jeweils verschiedene Daten zuweisen.
Zusätzlich sollte man je Kategorie ein Limit an Diensten setzen, die die selben Daten haben. Dies ganze dient natürlich nur dem verringern des potentiellen Schadens, für den Fall, dass einer der Dienste gehackt wird.
Natürlich kann man darauf verzichten und darauf vertrauen, dass keiner der Dienste gehackt wird oder gar einer der Dienstbetreiber damit Schindluder treibt. StudiVZ Nutzer die bisher dieses Vertrauen aufgebracht haben, haben nun den Salat und dürfen mühsam die Passwörter jedes einzelnen Dienstes ändern und sind selbst dann nicht mehr sicher, solange sie den Benutzernamen nicht ändern können.

Stichworte zu diesem Artikel: ,,,,,,

2 Kommentare ↓

#1 Die Konkurrenz des blasen.VZ verkrümelt sich — Marnems Sicht der Dinge am 23.08.07 um 00:16

[…] mal wieder, die Problematik des Internets, wenn man es unvorsichtig nutzt. Man sollte für jede Webseite ein anderes Passwort und evtl durchaus auch einen anderen Benutzernamen nutzen. Das Nutzerdaten bei “VZ” […]

#2 Blogs, Sicherheitslücken und Verantwortung — Marnems Sicht der Dinge am 21.07.08 um 23:27

[…] an seinen Wartungsplan, so kann eigentlich nichts mehr schief gehen. Außer natürlich, die verwendeten Passwörter sind nicht […]

Hinterlassen Sie einen Kommentar


Kommentieren sie zum ersten Mal in diesem Blog? Dann wird Ihr Kommentar erst angezeigt, nachdem Marnem ihn freigeschalten hat. Bitte haben Sie dafür Verständnis.
Welche Daten über Sie gespeichert wurden, können Sie in der Datenschutzerklärung nachlesen.