Der Shopblogger

Als ich mich mit der Firma im Elster-Portal registrieren wollte, nahm ich eines der von Google Chrome vorgeschlagenen Passwörter. Unverzügliche poppte der Hinweis auf, dass das Passwort zu unsicher sei:



Die leidige Gratwanderung zwischen sicheren Passwörtern und der Tatsache, dass man sie sich irgendwie auch noch merken muss. Natürlich sollen sie sicher sein und das Konstrukt merkt sich ohnehin niemand mehr. Ob man nun "k7+"DBSgE2Hx92#" oder "k7+"DBSgE2Hx92#A1" über einen Passwortmanager verwaltet, spielt also vermutlich keine Rolle.

Der Passwort-Checker auf security.org schaltet tatsächlich auch erst bei den zwei weiteren Zeichen von blau (unsicher) auf grün um. Ein Computer braucht "dreihundert quadrillionen Jahre", um das zu knacken. Was auch immer mit "ein Computer" gemeint ist. Ein Rechner mit einer aktuellen, leistungsfähigen CPU, ein Großrechner oder vielleicht sogar schon ein Quantencomputer? Keine Ahnung. Aber ich bin mal gespannt (aber nicht unbedingt optimistisch), wie die Reise noch weitergehen wird. Irgendwann sind 50-stellige Passwörter zu unsicher, weil jede bessere Hackergruppe dann einen Quantenrechner besitzt. Was kommt dann? Nur noch Biometrie? Und wie sicher sind dann noch biometrische Sicherungen? Ich glaube nicht, dass es mehr Fingerabdruck- oder Irismuster gibt als Atome im Universum, da sind wir bei 50-stelligen Passwörtern nämlich. Was macht man dann, wenn auch die Möglichkeiten keine echte Sicherheit mehr bieten? Das wird noch spannend …

Beim Versuch, mich bei elster.de zu registrieren, musste ich auch ein Passwort eingeben. Der vom Browser generierte und 15 Zeichen lange Vorschlag, der das volle Paket aus Sonderzeichen, Ziffern sowieso Groß- und Kleinbuchstaben enthielt, war dem Portal des Finanzamtes zu unsicher. Ist doch klar, dass sowas wie "Passwort", "qwertzuiop" oder "hallo1" nicht akzeptiert wird, aber dass der vom Browser gemachte Vorschlag nicht nur nicht akzeptiert wurde, sondern unsicher sein soll, ist schon seltsam. Zumal die Mindestlänge für ein Passwort dort sechs Zeichen beträgt. Die neun zusätzlichen Stellen sorgen für 130 Billarden weitere Passwortmöglichkeiten.

Aber gut, ist mir auch egal, für sowas hat man einen Passwortmanager.

Die an dieser Stelle von Kommentator Tom vorgeschlagene Methode, das alphanumerische Passwort einfach in einem Code128-Strichcode unterzubringen und bei Bedarf einfach diesen mit dem parallel zur Tastatur installierten Handscanner zu erfassen war absolut genial.

In der Praxis funktioniert das ganz hervorragend.

Unser Warenwirtschaftssystem ist der reinste Hochsicherheitstrakt: Der PC ist durch ein Passwort geschützt, die Warenwirtschaft ihrerseits auch. Damit könnte ich leben, wenn das System sich nicht nach ein paar Minuten selber sperren würde oder die Passwörter ein beliebiges Format haben könnten und nur noch pro forma vorhanden wären. Aber nein, dem ist nicht so. Alle paar Monate muss zudem ein neues Passwort her und sowas profanes wie "123" funktioniert dabei leider auch nicht.

Ja, da sind auch durchaus sensible (betriebswirtschaftliche) Daten in dem System verfügbar, die niemanden etwas angehen.Was uns betrifft: Wer ins Büro (mit Schlüssel) kommt, hat auch die Zugangsdaten zum PC, wer illegal das Büro betritt, wird vermutlich alles spannend finden, aber sicherlich nicht das Warenwirtschaftssystem.

Wenn es nach mir ginge, müsste das Ding überhaupt nicht speziell gesichert werden, aber die Entscheidung ist unverrückbar für die gesamte EDEKA-IT gefallen und da muss sich dann auch Firma Harste nach richten.

Für eine neue Mitarbeiterin hatte ein Kollege alle Daten im Warenwirtschaftssystem angelegt, vor allem bedeutet dies, dass eine Bedienernummer und ein zugehöriges Passwort angegeben werden müssen. Da die neue Kollegin schon weg war, hatte er sich zunächst mal ein "vorläufiges Passwort" ausgedacht, dass sie dann nachträglich wieder änderte.

Ist denn heut schon Weihnachten?