Der Passwort-Exorzist

00:00:00: der Passwortexorzist. Es gibt Tage, an denen ich mich frage, ob Passwörter eine eigene

00:00:06: Form von Intelligenz entwickelt haben, eine bösartige Intelligenz, die darauf programmiert

00:00:12: ist, Menschen in den Wahnsinn zu treiben. Heute war so ein Tag, als sich zum inoffiziellen

00:00:18: Passwortexorzisten unseres Unternehmens wurde und dabei lernte, dass manche Benutzer kreative

00:00:25: Fähigkeiten besitzen, die selbst die erfahrensten IT-Profis zum Staunen bringen. Alles begann

00:00:31: um 8.15 Uhr mit einem Anruf von Herr Müller aus der Buchhaltung.

00:00:35: "Mein Computer will mein Passwort nicht mehr", verkündete er mit einer Stimme, die klang,

00:00:41: als hätte sein Computer ihn persönlich beleidigt. "Ich gebe es richtig ein, aber er sagt immer

00:00:46: falsch." "Haben Sie vielleicht die Feststelltaste aktiviert?"

00:00:50: "Swingend", fragte ich, während ich innerlich bereits die Uhr stellte. Erfahrungsgemäß würde

00:00:57: dieser Anruf mindestens 20 Minuten dauern. "Was ist eine Feststelltaste?"

00:01:03: "Srenia", fragte Herr Müller zurück. "Ich erklärte ihm, wo sich die Caps-Lock-Taste

00:01:09: befindet und wie man sie deaktiviert. Fünf Minuten später rief er wieder an."

00:01:14: "Es funktioniert immer noch nicht", klagte er. "Und jetzt blinkt da so ein Licht."

00:01:20: "Welches Licht?", fragte ich geduldig. "Das Licht bei den Zahlen."

00:01:25: "Srenia", antwortete er. "Es blinkt böse."

00:01:30: "Numlock, natürlich." "Drücken Sie bitte die Taste mit Numlock

00:01:34: darauf." "Swingend ich ihn." "Wo ist die denn?"

00:01:38: "Nach weiteren 10 Minuten Tastatur-Geografie hatten wir das Numlock-Problem gelöst, aber

00:01:45: Herr Müllers Passwort funktionierte immer noch nicht."

00:01:48: "Können Sie mir Ihr Passwortbuch stabilen?" fragte ich schließlich.

00:01:52: "Das darf ich doch nicht." "Srenia, er entsetzt aus."

00:01:57: "Das ist geheim." "Ich bin der IT-Administrator."

00:02:01: "Erklärte ich." "Ich kann Ihr Passwort sowieso zurücksetzen."

00:02:04: "Aber dann kann ich es nicht mehr überall nehmen." protestierte er.

00:02:09: "Welches Passwort verwenden Sie denn?" "Srenia", fragte ich vorsichtig.

00:02:14: "Mein Geburtsdatum." "Srenia antwortete er stolz."

00:02:19: "Das kann ich mir gut merken." "In welchem Format?"

00:02:23: "Wie meinen Sie das?" "Tagmonat-Ja oder Jahrmonat-Tag

00:02:29: mit Punkten oder Strichen oder viel leicht sogar ausgeschrieben als Wörter."

00:02:33: "Stille, dann?" "Es gibt verschiedene Formate."

00:02:37: "Nach weiteren 15 Minuten hatten wir herausgefunden, dass Herr Müller sein Geburtsdatum

00:02:44: mal mit Punkten, mal mit Strichen und mal ohne Trennzeichen eingegeben hatte."

00:02:49: Sein aktuelles Passwort war 15. März 1967, aber er hatte versucht sich mit 15

00:02:57: Trennzeichen zu verhindern. Der erste Passwort war 15. März 1967, aber er hatte versucht, dass er nicht mit 15 Trennzeichen zu verhindern.

00:03:17: "Noy"

00:03:47: "Noy"

00:04:17: "Noy"

00:04:40: "Noy"

00:05:01: "Noy"

00:05:13: "Warum macht der Computer das so kompliziert?" "Säufzte er."

00:05:18: "Computer sind sehr genau." "Erklärte ich diplomatisch."

00:05:22: "Sie unterscheiden zwischen Punkten und Strichen."

00:05:25: "Das ist dumm." "Stellte Herr Müller fest."

00:05:28: "Menschen würden das verstehen." "Ja, stimmte ich zu."

00:05:33: "Aber Computer sind keine Menschen." "Zum Glück."

00:05:37: "Srenia, murmelte ich, nachdem ich aufgelegt hatte. Kevin, der das Gespräch mitgehört hatte, grinnste."

00:05:45: "Herr Müller wieder?"

00:05:47: "Herr Müller immer," antwortete ich. "Er ist wie ein Naturgesetz. Unausweichlich und unverständlich."

00:05:55: "Wenigstens ist er konsistent," bemerkte Mira, die gerade von einem anderen Passwortnotfall zurückkam.

00:06:02: "Herr Schmidt aus dem Marketing hat sein Passwort auf einem Post-It-Zettel geschrieben und an den Monitor geklebt."

00:06:09: "Das ist wenigstens ehrlich," sagte ich.

00:06:12: "Besser als die Leute, die behaupten, sie hätten ein sicheres Passwort. Und dann Passwort 1, 2, 3 verwenden."

00:06:19: "Oder Quertz." "Swing gegenste Kevin." "Das hatte letzte Woche jemand aus der Personalabteilung."

00:06:26: "Imerhin nicht 1, 2, 3, 4, 5, 6." warf Jonas ein, der gerade seinen Kaffee holte.

00:06:33: "Das ist das beliebteste Passwort der Welt."

00:06:36: "Gefolgt von Passwort," fügte Max hinzu, "die Kreativität der Menschen ist beeindruckend."

00:06:43: Um 10.30 Uhr kam der nächste Anruf. Diesmal war es Herr Weber aus dem Vertrieb und erklang panisch.

00:06:51: "Mein Computer ist gehackt worden." Srenia er ins Telefon.

00:06:55: "Jemand hat mein Passwort geändert." "Sind Sie sicher?"

00:06:59: Srenia fragte ich.

00:07:01: "Haben Sie vielleicht versehentlich die Feststell-Taste gedrückt?"

00:07:05: "Nein, nein," protestierte er.

00:07:08: "Ich kenne mein Passwort auswendig. Es ist Weber 2023."

00:07:13: "Ich säufste innerlich."

00:07:15: "Herr Weber, das ist kein sehr sicheres Passwort."

00:07:19: "Wieso nicht? Es hat Zahlen."

00:07:21: "Es ist Ihr Name plus das aktuelle Ja." erklärte ich.

00:07:25: "Das kann jeder erraten."

00:07:27: "Aber wer sollte das denn erraten wollen?" fragte er verwirrt.

00:07:31: "Hacker!" antwortete ich.

00:07:34: "Oder Kollegen oder jeder, der sie kennt."

00:07:37: "Aber ich kenne keine Hacker."

00:07:39: Zwingend protestierte Herr Weber.

00:07:42: "Die Hacker kennen Sie aber." murmelte ich.

00:07:45: Nach 20 Minuten Ferndiagnose stellte sich heraus, dass Herr Weber sein Passwort nicht geändert hatte.

00:07:52: Er hatte nur vergessen, dass er es letzte Woche von Weber 2023 auf Weber 2024 geändert hatte,

00:08:00: weil er dachte, das wäre zukunftssicherer.

00:08:04: "Warum haben Sie es geändert?"

00:08:06: "Srenia, fragte ich."

00:08:08: "Mein Frau hat gesagt, ich soll es regelmäßig ändern." erklärte er.

00:08:12: "Für die Sicherheit."

00:08:14: "Das ist richtig." bestätigte ich.

00:08:17: "Aber Sie sollten es sich auch merken."

00:08:19: "Kann ich es nicht einfach aufschreiben?"

00:08:22: "Nein." antwortete ich automatisch.

00:08:25: Dann dachte ich nach.

00:08:27: "Eigentlich, wenn Sie es sicher aufbewahren."

00:08:30: "Wo ist sicher?"

00:08:32: "Nicht am Monitor."

00:08:34: sagte ich schnell.

00:08:34: Und nicht unter der Tastatur.

00:08:36: Wo dann?

00:08:38: In einem Passwort-Manager.

00:08:40: Schlug ich vor.

00:08:41: Was ist das?

00:08:43: Ich erklärte ihm das Konzept eines Passwort-Managers.

00:08:46: Seine Reaktion war vorhersagbar.

00:08:49: Das ist zu kompliziert.

00:08:51: stellte er fest.

00:08:53: Kann ich nicht einfach überall das gleiche Passwort verwenden?

00:08:56: Nein.

00:08:57: Srenya antwortete ich entschieden.

00:09:00: Definitiv nicht.

00:09:02: Warum nicht?

00:09:03: Das ist doch praktisch.

00:09:05: Weil dann ein gehacktes Konto alle anderen Konten gefährdet.

00:09:08: Erklärte ich geduldig.

00:09:10: Aber wer sollte meine Konten hacken wollen?

00:09:13: Srenya fragte er wieder.

00:09:15: Jeder.

00:09:16: Srenya antwortete ich.

00:09:18: Hacker hacking nicht persönlich.

00:09:20: Sie hacken automatisch.

00:09:22: Das verstehe ich nicht.

00:09:24: Computerprogramme durchsuchen das Internet nach schwachen Passwörtern.

00:09:28: Erklärte ich.

00:09:30: Wenn Sie eins finden, probieren Sie es überall aus.

00:09:33: Das ist gemein.

00:09:35: stellte Herr Weber fest.

00:09:37: Das ist das Internet.

00:09:38: korrigierte ich.

00:09:40: Um 14 Uhr hatte ich bereits acht Passwort-Notfälle bearbeitet, die Highlights waren

00:09:46: Frau Klein aus der Personalabteilung, die ihr Passwort Sommer 2023 im Winter nicht mehr erkannte,

00:09:54: weil sie dachte, es müsste sich automatisch an die Jahreszeit anpassen.

00:09:58: Herr Groß aus der Logistik, der sein Passwort Groß geschrieben hatte, aber Groß eingab,

00:10:05: weil er dachte, Computer würden keine Umlaute verstehen.

00:10:08: Frau Jung aus dem Marketing, die ihr Passwort Jung und Schön mit einem echten Ampersand geschrieben hatte,

00:10:16: aber ein Und eingab.

00:10:19: Und Herr Alt aus der Buchhaltung, der sein Passwort Alt 1, 2, 3 hatte,

00:10:24: aber vergessen hatte, dass er die Zahlen auf dem Nummernblock eingegeben hatte, während numLock deaktiviert war.

00:10:31: Das ist wie ein Passwort-Apokalypse.

00:10:34: bemerkte Kevin, nachdem er den vierten Anruf in Folge bearbeitet hatte.

00:10:39: Das ist ein normaler Dienstag, korrigierte ich.

00:10:43: Warten Sie ab, bis die Leute nach dem Urlaub zurückkommen.

00:10:46: Wird es dann schlimmer? fragte Max ängstlich.

00:10:50: Viel schlimmer, bestätigte Mira.

00:10:53: Nach zwei Wochen Urlaub vergessen sie nicht nur ihre Passwörter, sondern auch, wie man Computer einschaltet.

00:11:00: Das ist übertrieben.

00:11:02: Zwingend protestierte Max.

00:11:04: Letztes Jahr hat jemand versucht, seinen Monitor mit der TV-Fernbedienung zu starten.

00:11:09: Erinnerte ich ihn.

00:11:11: Nach einer Woche Urlaub.

00:11:13: Das war ein Einzelfall, widersprach Max.

00:11:17: Es waren drei Einzelfälle, korrigierte Kevin, in einer Woche.

00:11:22: Um 15.30 Uhr erreichte die Passwort-Krise ihren Höhepunkt.

00:11:26: Der CEO rief persönlich an.

00:11:29: Ich kann mich nicht in mein E-Mail-Konto einloggen.

00:11:32: Verkündete er mit einer Stimme, die keinen Widerspruch duldete.

00:11:36: Fixen Sie das.

00:11:38: Sofort.

00:11:39: Haben Sie Ihr Passwort vergessen?

00:11:41: Srenia fragte ich vorsichtig.

00:11:44: Ich vergesse nie etwas, antwortete er kühl.

00:11:47: Das System ist defekt.

00:11:49: Ich kann es zurücksetzen, bot ich an.

00:11:52: Nein.

00:11:53: Widersprach er.

00:11:55: Ich will mein altes Passwort behalten.

00:11:57: Ich biss mir auf die Zunge, um nicht zu lachen.

00:12:00: Haben Sie vielleicht die Feststell-Taste aktiviert?

00:12:03: Was ist das?

00:12:05: Ich erklärte es ihm.

00:12:07: Weitere Pause.

00:12:08: Ah.

00:12:09: Zwingend, sagte er schließlich.

00:12:12: Das könnte sein.

00:12:14: Versuchen Sie es noch einmal, schlug ich vor.

00:12:17: Es funktioniert.

00:12:19: Verkündete er eine Minute später.

00:12:21: Das System ist wieder in Ordnung.

00:12:23: Freut mich, antwortete ich.

00:12:26: Und, äh, vergessen Sie dieses Gespräch?

00:12:30: Fügte er hinzu.

00:12:32: Welches Gespräch?

00:12:33: Fragte ich unschuldig.

00:12:35: Nach dem CEO-Anruf versammelten wir uns in meinem Büro für eine improvisierte Passwort-Krisensitzung.

00:12:41: Wir müssen etwas unternehmen.

00:12:43: Verkündete ich.

00:12:44: Das kann so nicht weitergehen.

00:12:46: Was schlagen Sie vor?

00:12:48: Fragte Mira.

00:12:50: Schulungen, antwortete ich.

00:12:52: Passwort-Sicherheitsschulungen für alle.

00:12:55: Das haben wir schon mal versucht.

00:12:57: Erinnerte Kevin.

00:12:59: Die Leute haben trotzdem schwache Passwörter verwendet.

00:13:02: Dann machen wir es anders, sagte ich.

00:13:05: Wir zeigen Ihnen, wie einfach es ist, schwache Passwörter zu knacken.

00:13:09: Eine Live-Demonstration?

00:13:11: Fragte Jonas interessiert.

00:13:13: Genau, bestätigte ich.

00:13:15: Wir hacken Ihre eigenen Passwörter vor Ihren Augen.

00:13:18: Das ist brillant, gab Max zu.

00:13:23: Und erschreckend.

00:13:25: Erschreckend ist gut, antwortete ich.

00:13:28: Angst ist ein starker Motivator.

00:13:31: Also organisierten wir eine Passwort-Sicherheitsdemonstration.

00:13:36: Wir luden alle Mitarbeiter ein und baten sie, Ihre aktuellen Passwörter anonym auf Zettel zu schreiben.

00:13:44: Die Ergebnisse waren aufschlussreich.

00:13:48: Von 47 Mitarbeitern verwendeten 12 Personen Ihr Geburtsdatum.

00:13:54: 8 Personen den Namen ihres Haustiers.

00:13:57: 6 Personen Passwort plus eine Zahl.

00:14:02: 5 Personen Ihren eigenen Namen plus eine Zahl.

00:14:06: 4 Personen 1, 2, 3, 4, 5, 6 oder Variationen davon.

00:14:13: 3 Personen Quers oder ASDF.

00:14:16: 2 Personen den Namen ihres Partners.

00:14:20: 1 Person Admin.

00:14:22: 1 Person Test.

00:14:24: 1 Person Password.

00:14:27: 4 Personen tatsächlich sichere Passwörter.

00:14:31: Das ist deprimierend.

00:14:33: Srenir stellte Mira fest, während wir die Zettel auswerteten.

00:14:38: Das ist normal.

00:14:40: Korrigierte ich.

00:14:41: Leider.

00:14:42: Während der Demonstration verwendeten wir ein einfaches Passwort-Knacktool,

00:14:47: um zu zeigen, wie schnell schwache Passwörter gebrochen werden können.

00:14:51: Geburtsdatum, 0,3 Sekunden.

00:14:55: Verkündete ich, während das Tool arbeitete.

00:14:58: Gemurmel im Publikum.

00:15:00: Haustiername, 1,2 Sekunden.

00:15:04: Mehr Gemurmel.

00:15:06: Passwort, 1, 2, 3, 0,1 Sekunden.

00:15:11: Jetzt war es still im Raum.

00:15:13: Und hier ist ein sicheres Passwort.

00:15:15: Entzwing, das sagte ich.

00:15:17: Geschätzte Zeit zum Knacken.

00:15:19: 47 Millionen Jahre.

00:15:22: Aber das kann sich doch niemand merken.

00:15:25: Zwingend jemand aus dem Publikum.

00:15:28: Dafür gibt es Passwort-Manager.

00:15:30: Erklärte ich und demonstrierte, wie sie funktionieren.

00:15:33: Das ist zu kompliziert.

00:15:35: Protestierte eine andere Stimme.

00:15:37: Komplizierter als ein gehacktes Bankkonto.

00:15:40: Fragte ich zurück.

00:15:42: Stille.

00:15:43: Komplizierter als gestohlene Identität.

00:15:46: Mehr stille.

00:15:48: Komplizierter als ein Anruf bei mir um 6 Uhr morgens,

00:15:51: weil ihr E-Mail-Konto gehackt wurde.

00:15:53: Zustimmendes Knicken im Publikum.

00:15:56: Nach der Demonstration gingen die Passwort-Notrufe um 80 Prozent zurück.

00:16:01: Die Leute begannen tatsächlich Passwort-Manager zu verwenden

00:16:05: und sichere Passwörter zu erstellen.

00:16:07: Das war effektiv.

00:16:09: Bemerkte Kevin eine Woche später.

00:16:11: Angst ist ein großartiger Lehrer.

00:16:14: Srenia antwortete ich.

00:16:16: Besser als alle Handbücher der Welt.

00:16:19: Und was machen wir mit den 20 Prozent,

00:16:22: die immer noch schwache Passwörter verwenden?

00:16:25: Fragte Mira.

00:16:27: Wir warten.

00:16:28: antwortete ich.

00:16:29: Früher oder später werden sie gehackt.

00:16:31: Und dann rufen sie mich an.

00:16:33: Das ist zynisch.

00:16:35: Srenia stellte Max fest.

00:16:37: Das ist realistisch.

00:16:39: Korrigierte ich.

00:16:41: Manche Menschen lernen nur durch Schmerz.

00:16:43: Und bis dahin?

00:16:45: Bis dahin bin ich der Passwortexorzist.

00:16:48: antwortete ich.

00:16:50: Ich vertreibe die bösen Geister der vergessenen Passwörter

00:16:53: und beschütze die Unschuldigen vor den Dämonen der schwachen Authentifizierung.

00:16:58: Das klingt dramatisch.

00:17:00: bemerkte Jonas.

00:17:01: IT ist Drama.

00:17:03: antwortete ich.

00:17:04: Wir sind nur besser darin es zu verstecken.