Blog

Artikel über Passwörter, Sicherheit und warum fast alles, was man uns beibrachte, falsch war.

Was ein Passwort ist — und warum wir seit sechzig Jahren falschliegen

Das Computer-Passwort entstand 1961 am MIT. Das erste Leck kam ein Jahr später, und es war kein Krimineller: es war ein Student, der mehr Rechenzeit wollte. Das ist die Geschichte, warum die Regeln, die wir alle gelernt haben, schlecht waren — und woher sie kamen.

Warum password.es dein Passwort nirgendwohin schickt

Jede Website kann „wir speichern dein Passwort nicht“ auf ihre Seite schreiben. Das kostet nichts, verpflichtet zu nichts und lässt sich nicht überprüfen. Der einzige ehrliche Ausweg ist, die Daten gar nicht erst zu brauchen: Alles passiert in deinem Browser — und hier steht, wie du die Entwicklertools öffnest und es nachprüfst, ohne uns zu glauben.

Passwort-Manager gegen Gedächtnis: die einzige Regel, die überlebt hat

Von allem, was man uns über Passwörter beigebracht hat, hat nur eine Regel überlebt: für jede Seite ein anderes. Und genau die befolgt niemand, weil das Gedächtnis dafür nicht reicht. Ein Passwort-Manager ist keine Bequemlichkeit — er macht diese Regel überhaupt erst machbar.

Passkeys: das Passwort, das nicht existiert

Jahrzehntelang haben wir versucht, das Passwort schwerer erratbar zu machen. Passkeys machen etwas anderes: Sie schaffen das Geheimnis ab, das der Server aufbewahren musste. Die Seite behält nur noch einen öffentlichen Schlüssel, der nichts wert ist, wenn man ihn stiehlt, und Phishing hört auf zu funktionieren. Alles repariert das nicht.

Sicherheitsfragen sind ein Passwort, das Sie nicht ausgesucht haben

Eine Sicherheitsfrage ist ein Passwort mit drei Mängeln: Sie haben es nicht ausgesucht, es lässt sich erraten, und meistens steht es irgendwo öffentlich geschrieben. 2015 hat Google das mit echten Daten nachgemessen, und das Ergebnis war gleich doppelt vernichtend: Die Antworten werden erraten und obendrein vergessen. Wer aus Vorsicht lügt, kommt am Ende selbst nicht mehr rein.

2FA: Warum SMS das schlechteste der guten Verfahren ist

SMS-2FA zu aktivieren gehört zu den besten Entscheidungen, die du heute treffen kannst — und ist zugleich die erste, die du wieder überdenken musst. Die Schwachstelle liegt weder in der Verschlüsselung noch in deinem Handy: Sie sitzt in der Hotline deines Mobilfunkanbieters. Hier ist die ganze Leiter, von der SMS bis zum Hardware-Schlüssel.