Da verzweifelt jeder Hacker. Wie die Beatles ein unknackbares Passwort liefern, das selbst Hajo nicht vergisst.

Passwort hackenNeulich bekam ich eine furchtbare Mail. Nein, kein nigerianischer Prinz, der mir wieder mal zehn Millionen Dollar vererbt, sondern ein Anonymus, der mich zu erpressen gedachte. In der Betreffzeile stand das Fragment eines Passwortes, das ich eine Weile ziemlich wahllos verwendet hatte. Er kenne mein Passwort, prahlte der Erpresser, habe außerdem ein Spähprogramm auf meinem Rechner installiert und festgestellt, dass ich ein schlimmer Perverser sei – ein Urteil, das ich in seiner Rigorosität nicht teile. Für sein Schweigen verlangte der Erpresser 733 Dollar, innerhalb 48 Stunden zahlbar in Bitcoin. Danach würden sich das Spähprogramm zerstören, „großes Hacker-Ehrenwort.“ Klar.

Was tun? Viel konnte er nicht gegen mich in der Hand haben, zumal bei Journalisten alles unter „Recherche“ fällt. Aber woher hatte der Kerl mein Passwort, wenn auch kein ganz frisches, aber in Teilen noch im Einsatz? Vielleicht hätte ich meine Passwörter doch mal auffrischen sollen. Nächste Woche dann aber wirklich.

Die Panik vorm Vergessen nimmt ja nicht ab mit dem Alter. Ein menschliches Hirn kann sich nicht mehr als drei ähnliche Dinge merken. EC-PIN und Geheimzahl fürs Online-Banking sind schon zwei, bleibt fürs Passwort genau ein Speicherplatz. Wie soll man da drei Dutzend passwortpflichtige Zugänge mit drei Dutzend verschiedenen Passwörtern sichern? Eben. Und wer hat für alle Zugänge seit Jahren denselben leicht merkbaren Begriff, der was mit Geburtstagen, Kindern, Tieren oder Fußballvereinen zu tun hat, allenfalls mal nachgerüstet mit einem Großbuchstaben? Immerhin habe ich – Putin, nimm das! – eine „8“ ersetzt durch ein „&“, wegen optischer Ähnlichkeit.

Reicht das? Nein, sagt Deutschlands Passwort-Guru Tobias Schrödel, 48. Im Alter von zehn Jahren bekam er einen Sinclair ZX Spectrum 48k geschenkt, seitdem programmiert, lötet, experimentiert er am Rechner. Inzwischen arbeitet er als überraschend unterhaltsamer IT-Comedian, hat Bestseller verfasst und berät in Sicherheitsfragen. Mich zum Beispiel. Schrödel erklärt: Nahezu täglich hören wir, dass irgendwo Daten verschwunden sind, etwa bei einer mäßig gesicherten Seite wie dem Zierfischforum, wo ich häufiger mal vorbeischaue. Weil ich für diese und alle anderen Seiten bequemerweise dasselbe Passwort und auch noch den identischen Nutzernamen habe, erbeuten die Diebe automatisch den Schlüssel für all meine Zugänge. Diese Daten werden wiederum im Darknet gehandelt, je nach Güte für Millicent oder mehrere Euro das Stück. Mit Turborechnern wird nun meine Mailadresse mit Abermillionen Passwörtern abgeglichen, bevorzugt natürlich mit Namen von Kindern, Haustieren oder Geburtsdaten, die auf Facebook zu finden sind. Womöglich gelingt ein Zufallstreffer. Und plötzlich wird in meinem Namen im Internet eingekauft.

Wie kuriere ich nun meine Passwortschwäche? Ganz einfach, sagt Tobias Schrödel, in vier Schritten.

Erstens: Wir nehmen die Anfangsbuchstaben unseres Lieblingslieds, sofern der Titel mehr als ein Wort umfasst. Bei „Atemlos“ oder „Angie“ lautete unser Passwort “A“, was nur mäßig kryptisch wäre. Besser wäre „Lucy In The Sky With Diamonds“ von den Beatles, was „LiTsWd“ ergibt, denn ich mixe Groß- und Kleinbuchstaben.

Zweitens folgen die drei ersten Buchstaben des jeweiligen Portals, aber in umgekehrter Reihenfolge, also „abE“ für Ebay oder „naB“ für Bank.

Drittens wird das Jahr angehängt, für das das Passwort gilt, weil wir es jährlich wechseln.

Viertens: Die Elemente werden getrennt durch unser Lieblingssonderzeichen.

„LiTsWd?amA?2019“ könnte mein ebenso einfaches wie kaum hackbares Passwort für Amazon lauten. Könnte, Denn ich habe immer noch das alte. Sicherheitshalber. Aber ich werde es bald ändern. Ehrlich.

 

Das ganze Interview mit Tobias Schrödel findet sich hier.