Sind wir doch mal ehrlich: der Mensch ist ein Gewohnheitstier und liebt es bequem, vor allem was seine Passwörter, Pin-Codes und so weiter anbelangt.
Das führt bisweilen zu teilweise wirklich bizarren Situationen.
In einem Unternehmen, in dem ich mal gearbeitet habe, wurde eigentlich für alles und jedes nur ein einziges Passwort verwendet (5-stellig, nur Buchstaben ...). Irgendwann trennten sich dann die Wege des Unternehmens und einiger Mitarbeiter - die arbeiteten nun selbstständig in der gleichen Branche, und unter anderem auch mit dem gleichen Rechenzentrum zusammen, mit dem schon ihre Ex-Firma arbeitete. Deshalb bekam ihr eigener Server auch eine IP-Adresse, die irgendwo in der Nähe der Adressen lag, die das Ex-Unternehmen auch verwendete.
Einestages fiel dem Ex-Chef die genaue IP eines Servers zur Fernwartung nicht mehr ein, also probierte er einige ihm naheliegende zusammen mit seinem Passwort aus - was sich selbstverständlich auch knapp 2 Jahre nach dem Ausscheiden der besagten Mitarbeiter noch nicht geändert hatte.
Man ahnt vielleicht was kommt - plötzlich war er auf einem Server angemeldet. Allerdings nicht dem Server, den er suchte, sondern den der ehemaligen Mitarbeiter, mit denen er eigentlich nicht mehr viel am Hut hatte. Er hatte 100%igen Remotezugriff und war als Administrator angemeldet ...
Das ist keine Fabel sondern tatsächlich passiert, vor noch gar nicht all zu langer Zeit. Die Moral von der Geschicht': Der Mensch ändert doch sein Passwort nicht.
In meiner Firma ging das Ganze ähnlich los, denn wie war das mit dem Gewohnheitstier ... irgendwann habe ich dann letztes Jahr aber mal angefangen konsequent Passwörter zu zentralisieren und dann auch zu ändern. Zuerst in einer Text-Datei, dann schließlich in einem Passwort-Safe.
Es mag einem unglaublich mühsam und aufwendig vorkommen, das so zu handhaben - und es ist tatsächlich nicht bequem, weil man sich mindestens erst einmal am Safe anmelden muss, um das Passwort zur Bestellung neuer Briefumschläge im Onlineshop XY zu bekommen. Und schließlich kann man den Shop nun auch nur nutzen, wenn man gerade Zugriff auf den Safe hat - säuft also mal das VPN ab oder hockt man irgendwo im Urlaub im Internetcafé, hat man Pech gehabt.
Aber das sind alles Nachteile die man verschmerzen kann, und an die man sich gewöhnt. Zum Dank gibt es eine wesentlich verbesserte Sicherheit und ein gutes Gefühl obendrauf.
Weil sich das alles ganz gut eingespielt hat und seit Monaten prima funktioniert, habe ich nun auch privat angefangen meine überall gleichen Kennwörter gegen komplexe, nicht merkbare und zufallsgenerierte Strings zu ersetzen. Wenn man dabei eine Website nach der anderen durchgeht, ist zu sehen, dass das Thema oft noch recht stiefmütterlich behandelt wird.
Bei Tipp24 zum Beispiel, wo es um echte Geldeinsätze geht, darf das Kennwort maximal 10 Zeichen haben und kann ohne Bestätigung des alten Passworts einfach so geändert werden. Bei Amazon hingegen darf man keine Sonderzeichen verwenden und wird nur darauf hingewiesen, dass das Kennwort mindestens 8 Zeichen lang sein sollte. Erstellt man dann aber ein Komplexes, kommt man mit diesem nicht mehr rein. Grund: das Login-Formular hat eine Maximal-Länge von 20 Zeichen - ich habe 3 Anläufe gebraucht bis ich mal in den Quelltext geschaut und das gesehen habe.
Fazit:
Man muss sich nur einen Ruck geben und sich zwingen, dann spielt sich das sehr schnell alles ein, und man kann sich gar nicht mehr vorstellen, wie bescheuert man gewesen ist, früher nur 1-3 Kennwörter benutzt zu haben, und das vom zwielichtigen Forum bis zum Onlinezahlungssystem samt gespeicherten Kreditkartendaten.
