[sage] Und da war es weg, das Passwort

[Andreas Jellinghaus]

Heute habe ich mein Passwort schon mehrfach eingegeben,
bestimmt ein halbes duzend mal. Aber dann war es plötzlich
weg. Wie war das noch? 123 und 456? oder so. Fragmente
waren noch im Gedächtnis, aber die Reihenfolge? Und
welcher Teil war nochmal groß?

Ich hab ja immer einen Zettel, wie Schneier rät sollte
der im Portmonait sein, aber da habe ich seit Monaten
nicht mehr draufgeschaut. Auf die Tastatur achte ich
ja auch nicht mehr, Passwort eingeben, das war ein
schnelles klacken, ganz automatisiert, die Finger
konnten das schon ganz alleine. Naja, fast, wie ich
feststellen musste. Wo ist also der Zettel? Die Suche
beginnt... Beim hin- und herlaufen probiere Ich noch
dieses! Leider nicht. Oder jenes? Auch nicht. So langsam
wird mir klar, was alles davon abhängt.

Ein Passwort für mehrere Rechner habe ich schon lange,
sind ja alle von mir administriert, gleiches Sicherheits-
niveau. Aber da ist ja nicht nur Login, sondern auch -
erstmal die KDE Brieftasche mit dem WPA key. Kein Problem,
er wäre auch noch im klartext als Datei vorhanden. Die
Restliche Brieftasche aber nicht, diverse Webseiten
Passwörter müsste ich erst wieder erraten, zurücksetzen,
blöde Sicherheitsfragen beantworten, oder ergrübeln,
ob ich meine echte Email Addresse verwendet habe, oder
wegen Spam und Unwichtigem Zeugs nur mailinator.com?

Viel schlimmer aber: die Server! Ohne SSH Key geht
da nichts, und der will das gleiche Passwort. Ouc
Naja, Web seite, Hardware Reset, Rettungssystem,
das ginge auch alles, wäre aber recht unschön.

Mein Schreibtisch sieht inzwischen aufgeräumter
aus, eine Menge Unterlagen wurden in Ablage P verschoben,
die Panik steigt, und ich frage mich, welche Brute
Force Software ich habe. So ich Fragmente noch weis,
sollte die das Passwort herausfinden können. Ansonsten
wäre das schwierig - das aktuelle Passwort hatte wie
immer makepasswd generiert, inzwischen hab ich mich an die
10 Zeichen länge auch gewöhnt.

Da! Doch noch den Zettel gefunden. Puh! Jetzt kommt er in
die Brieftasche und eine Kopie an einen sicheren Ort.
Klar, der Einbrecher findet das. Aber der könnte ja auch
den Keylogger installieren.

Ich könnte natürlich meine letzte Rettung auch gut verstecken,
in einem speziellen Buch des Regals zwischen ausgesuchten Seiten.
Nee, lass mal. Da liegen noch die PIN Briefe von vor dem letzten 
Urlaub. Der Urlaub war so entspannend, ich hab sie nie wieder gefunden,
und durfte alle PIN neu beantragen.

Immerhin - ich weis mein Passwort wieder. Naja, eines von den Vielen,
neben dem Standartpasswort für Unwichtiges gibts bei jeder wichtigen
Webseite natürlich ein Eigenes. Nur meine Linux Accounts und SSH
Keys zuhause hatte ich vereinheitlicht. Ob das so geschickt war?

Zuletzt passiert ist mir das übrigens vor ca 10 Jahren, damals
mit der Passphrase für meinen PGP Key. Die habe ich nie wieder
gefunden, hatte aber zum Glück auch keine verschlüsselte Mail
vorliegen, und hatte zum Glück laut Handbuch das Revo Cert
für solche Fälle schon auf Diskette im Safe. 


Falls die Geschichte einer solchen panikattacke den einen oder anderen
amüsiert hat - fein. Ansonsten können wir die Diskussion über sichere
Aufbewahrung von Passwörtern(*) eröffnen, es gibt bestimmt viel kritik
und Anregungen zur Verbesserung? Oder gar jemand, der das auch so
hält wie ich?

(*) Über ein Passwort reden ist eigentlich müssig. Alleine privat habe
Passwörter auf drei Rechnern, ssh key, kde brieftasche, firefox brieftasche,
wpa key, router passwort, PIN für voip telefon, PIN für drei bankkarten,
PIN für Stattauto, PIN für Handies, PIN für Bankkonten - Internet,
PIN für telefonbanking, etwa ein duzend laufende Verträge (DSL, Hoster,
Mail, was-auch-immer) mit Webseiten Passwort, und dann die unzähligen
Webseiten mit ihren Accounts - von Amazon, eBay und Paypal über heise
und slashdot bis zu den diversen mailman Verwaltern von Mailing Listen.
Über ein einzelnes Passwort braucht man echt nicht mehr reden, oder?

Tschüss, Andreas