Aloha ;)

Hoffentlich ist sie nicht so, dass man andere Passwörter erschließen kann, wenn man eins kennt.

Es gab mal adminpasswörter in der Schule Passwort-Rechnername. Das ist natürlich genauso sinnvoll wie überall dasselbe Passwort zu verwenden.

Ganz so stimmt das nicht. Das stimmt nur bei einem menschlichen Angreifer.

Kontextualisierung bringt auch in Fällen, in denen die Kontextualisierung erschließbar ist, etwas:

• ungesalzene Hashes können nicht einfach miteinander verglichen werden
• vollautomatisierte Exploits sind erschwert bis unmöglich, weil für die korrekte Anwendung der Kontextualisierung ein Mensch mit beteiligt sein muss

Wenn wir mal davon ausgehen, dass der Vorteil von kontextualisiertem, aber sonst gleichem Passwort, darin liegt, dass man es sich merken kann und es nirgends aufschreiben muss, sinkt dabei ja gleichzeitig die Wahrscheinlichkeit, dass der Zettel mit dem Passwort von einer Person gefunden und missbraucht werden kann.

Es gilt wie immer: Sicherheit ist relativ.

Wir sind uns einig, dass randomisierte, lange Passwörter die sicherste Alternative sind.

Man darf aber nicht vergessen, dass das wieder einen Passwortmanager nötig macht, und eben das bringt halt auch wieder eigene Probleme mit sich:

• die Suche nach einem geeigneten Passwortmanager
• die Abhängigkeit vom Funktionieren und der Verfügbarkeit des Passwortmanagers (man stelle sich vor, man ist ohne eigenes Gerät irgendwo am Internet und muss dringend an was ran)
• die extreme Bedeutung der Sicherheit des Passworts und der Schlüsseldatei, die im Passwortmanager verwendet wird

Ein Beispiel, um zu verdeutlichen, wie Kontextualisierung hilft, wo der Passwortmanager versagt:

Wir wollen mal annehmen, dass es einem Angreifer mit einer automatisierten Attacke möglich ist, ein Passwort abzugreifen. Verwendet man Kontextualisierung ist man trotzdem relativ sicher - das geleakte Passwort kann nicht verwendet werden, um direkten Zugriff überall zu erhalten. Verwendet man einen Passwortmanager und lange randomisierte Passwörter ist es nicht schlimm, wenn dieses eine Passwort geleakt wurde - außer eben es ist das Passwort, das einem Zugriff auf den Passwortmanager verschafft. Da Passwortmanager besonders interessante Ziele sind, kann man sich jetzt fragen, wie groß die Gefahr ist.

Besser also, man verwendet einen Passwortmanager, der nur offline auf Geräten läuft, aber dann steht man halt wieder im Regen wenn man "von unterwegs aus" mal ein Passwort braucht und das Handy keinen Akku mehr hat. Oder was auch immer.

Es lässt sich für alle Vorgehensweisen (vielleicht mit Ausnahme der Fähigkeit, sich lange randomisierte Passwörter einzeln zu merken - aber wer kann das schon) eine Situation konstruieren, in der man mit der selbstgewählten Methode erbärmlich baden geht.

Will sagen: Es gibt, egal wie, keinen Königsweg, wenn es um Passwörter geht. In meinen Augen gibt es daher auch nicht die eine möglichst sichere oder möglichst richtige Art, mit Passwörtern umzugehen. Für viel wichtiger halte ich daher, dass man sich der Art, wie man mit Passwörtern umgeht, sehr bewusst ist, und weiß, welche Gefahren und Probleme die eigens gewählte Art, mit Passwörtern umzugehen, mit sich bringt, damit man in diesem Bewusstsein handeln kann.

Grüße,

RIDER