Grundkonzept einer Passwortkarte
Eine Passwortkarte besteht aus einer zufälligen Anordnung von Buchstaben, Nummern und Sonderzeichen. Zweck der Karte ist es, sichere Passwörter zu erstellen und sich auch zu merken:
Inhalt der Passwortkarte + Ermittlungsregel = Passwort
Ein Beispiel für eine einfache Ermittlungsregel für E-Passwordcard ist hier zu finden: Wie verwende ich E-PasswordCard.
Die Ermittlungsregel für das Passwort ist das Pendant zum Verschlüsselungsverfahren bei einem Passwort-Manager. Je schwieriger die Regel desto schwerer nachzuvollziehen. Anders als bei Verschlüsselungsverfahren, die mit der Zeit durch schnellere Rechner unsicher werden, wird die Chance für einen Angreifer, die Ermittlungsregel herauszufinden mit der Zeit nicht besser.
Sollte es andererseits einem Angreifer gelingen, auf den Inhalt einer Passwortkarte zuzugreifen und außerdem einen Zugang zu finden, der es erlaubt, eine beliebige Anzahl von fehlerhaften Anmeldeversuchen in überschaubarer Zeit durchzuführen ohne den Zugang zu sperren, kann er die Ermittlungsregel mit überschaubarem Aufwand herausfinden.
Vorteile einer Passwortkarte gegenüber Passwort-Managern
Keine Abhängigkeit zur Technik und kein Risiko eines Defekts
Passwort-Manager speichern ihre Daten in einer Datei entweder lokal oder online. Selbst bei einem der bekanntesten und bestbewerteten Passwort-Managern für Android KeyPassDroid findet man in den Bewertungen immer wieder Hinweise auf technische Probleme in den Benutzerbewertungen.
Eine Passwortkarte sollte wie ein Passwortspeicher auch immer in mehreren Kopien vorhanden sein.
Im Vergleich zu online Passwortspeichern geringeres Risiko des Diebstahls
Einer der bekanntesten Angriffe auf Passwort-Manager war der Hack des online Passwortverwalters Lastpass: Lastpass Hack im Juni 2015.
Das höhere Risiko des Diebstahls kommt allein dadurch zustande, dass es deutlich mehr Angreifer gibt, die auf einen bekannten online Webserver zugreifen als auf eine Passwortkarte im Geldbeutel oder auf der lokalen Festplatte.
Im Fall von LastPass war die Verschlüsselung der gestohlenen Daten wohl gut genug, um größeren Schaden zu vermeiden. Eine gute Verschlüsselung ist andererseits nur temporär gut genug und überholt sich mit der Zeit durch schnellere Rechner.
Vorteile von Passwort-Managern
Passwort-Manager speichern Benutzernamen und Passwörter in einer verschlüsselten Datenbank, auf die der Benutzer mit Hilfe eines Masterpasswortes zugreifen kann.
Wenn man einem Passwort-Manager vertraut, kann er mehr Komfort bieten als eine Passwortkarte:
- Füllt Login-Formulare automatisch aus
- Schlägt sichere Passwörter selbständig vor
- Speichert neben Passwörtern auch Benutzernamen
- Unterstützt (regelmäßige) Passwort-Änderungen besser als Passwortkarten
- Erkennt Passwortänderungen bei Eingaben automatisch und speichert geänderte Passwörter
Fazit: Gute Kombination - Passwortkarte und Password-Manager
Eine Kombination beider Techniken kann so aussehen:
Mit Hilfe der Passwortkarte werden die Passwörter bestimmt. Um die Funktionen wie z.B. automatische Vorbelegung im Browser nutzen zu können wird das erstellte Passwort mit einem Passwort-Manager verwaltet.
- Sollte der Passwort-Manager auf einem Gerät nicht verfügbar sein – z.B. nicht unterstütztes Betriebssystem oder Lieblingsbrowser nicht vorhanden, kann die Passwortkarte verwendet werden, um das Passwort zu bestimmen. Beispiel: Der Google Browser Chrome ist auf Android Fire Tablets nicht verfügbar.
- Fällt der Passwort-Manager wegen technischer Probleme aus, ist immer noch die Passwortkarte da.
- Die Passwortkarte kann auch in Umgebungen genutzt werden, in denen es nicht möglich oder nicht erlaubt ist, den eigenen Passwort-Manager zu verwenden.