Ich persönlich mache mir recht viele Gedanken die Sicherheit meiner Daten. Somit auch darum, wie meine Passwörter aussehen. Aber wichtiger ist noch die Frage WO und WIE ich diese Passwörter speicher.
Tool der Wahl ist bei mir Keypass da es unter Linux, Windows, MacOS, *BSD tut und die Passwortdatenbank AES-/Rjindael-Verschlüsselt speichert.
Nett ist in KeePass das Feature “Copy password to clipboard”, welches ich so konfiguriert habe, das ein so reinkopiertes Passwort automatisch nach 10 Sekunden aus dem Zwischenspeicher gelöscht wird.
Praktisch ist dies insbesondere deswegen, da meine Passwörter ungefähr so aussehen: 6vSl8D\Yxmh(LCS1_V9ycK9
Somit spart man sich eine Menge Tipparbeit und Fehlerpotential und umgeht evtl. sogar äußerst einfach gehaltene Keylogger die nicht den Zwischenspeicher abgreifen.
So, jetzt frage ich mich aber welchen Sinn es macht, wenn Entwickler in ihren Applikationen das Passwort-Eingabefeld so gestalten, das man hier NICHTS reinkopieren kann.
Dafür aber wiederum ein Feature anbieten, welches das Passwort UND den Benutzernamen in einem Cookie speichert.
Leute wie ich, mit wirklich langen, verdammt komplexen Passworten werden so doch nur bestraft. Wohingegen das Erzeugen einfacher, kurzer Passwörter, alá “qwertz”, begünstigt wird…
Evtl. hat der Entwickler an die Leute gedacht, die all ihre Passwörter in einer Textdatei auf dem Desktop speichern, o.ä.
Meine Meinung ist da dann aber: Lieber ein schlechtes Passwortmanagement, als gar keines.
Hintergrund ist folgender: Als ich vor ca. 4 Jahren begann KeePass zu nutzen habe ich erstmal Initial ALLES an Passwörtern und Seriennummer in diese Datenbank eingetragen, was ich Eintragen konnte/wollte.
Also den Firefox-Passwortspeicher abgeschrieben und gelöscht, (Dem Browser vertraue ich keine Passwörter mehr an. Zu unsicher.), Seriennummern aller PC-Spiele/-Software rausgekrammt und mal so rekonstruiert auf welchen Seiten ich noch angemeldet bin ohne diese Daten im Firefox/sonstwo zu haben.
Das Ergebnis war für mich mehr als ernüchternd und führte zu ein paar Grundlegend neuen Einsichten in Punkto Accounterstellung und Passwortwahl.
Somit habe ich immer die Hoffnung, das wenn die Leute ihre Passwörter zumindest irgendwie verwalten, sie über kurz oder lang selbst draufkommen das es bisher unsicher war und sich selbst neue Richtlinien auferlegen.
Aber wenn jetzt jeder Entwickler sein Passworteingabefeld so gestaltet, das nichts reinkopiert werden kann, wird dieser Schritt eher verhindert.
Frei nach dem Motto: Wozu soll ich eine Liste führen, wenn ich überall das gleiche Passwort habe und keine Lust habe komplexe Passwörter immer wieder erneut einzutippen.
Und welche Programme lassen nun keine kopierten Passwörter zu?