Mnemonizer ist eine interessante PIN-Passwort-Speicher-App für iOS, iPhone, iPad, iPod Touch. Die zugrunde liegende Idee erscheint zunächst clever. Dann völlig unverständlich. Dann viel zu einfach. Und am Ende lautet mein Verdikt vielleicht: ganz nett, aber problematisch.
Die Idee von Mnemonizer
Passwort-Speicher-Apps gibt es einige. Sie verschlüsseln ihre Daten und rücken Sie erst nach einem Masterpasswort heraus. Mnemonizer macht es anders: Die App zeigt ein größeres Feld aus sechseckigen, bunten Waben. Diese Waben können, je nach Modus (PIN oder Passwort) Ziffern oder Buchstaben enthalten.
Der Trick ist nun, dass das Passwort in diesem Feld aus Waben versteckt ist.
Mnemonizer-Passwort eingeben
Völlig unverständlich erscheint vielen der nächste Schritt (daher auch viele schlechte Nutzerbewertungen): Dabei tippt man jedes einzelne Feld an und kann dann sowohl den Buchstabe der Wabe als auch seine Farbe anpassen. Für dieses eine Feld:
So trägt man sein Passwort nach und nach in die Felder von Mnemonizer ein. Am Ende kann man es direkt „sehen“ – aber nur, wenn man weiß, wie man „hinschauen“ muss.
Im folgenden Bild ein Beispiel „für Blöde“, aber es hilft, das System von Mnemonizer zu verstehen:
Sie sehen es bestimmt: katze42 ist das Passwort, das ich hier eingegeben und dabei die Zellen zur Betonung (die hier natürlich ungünstig ist) blau markiert habe.
„Das ist doch viel zu leicht zu sehen!“, werden Sie nun sagen, und das stimmt.
Das liegt aber nicht an der App, sondern daran, dass katze42, ein viel zu schlechtes Kennwort ist. Für solche schlechten Passwörter ist Mnemonizer nicht zu gebrauchen! (Leider sind aber viele Passwörter genau so gebaut…)
Passwörter geschickt verstecken
Außerdem muss und sollte man sein Passwort nicht in einer Schnur anordnen, es könnte auch wie folgt gehen:
In Wirklichkeit könnte das verborgene Passwort also VegbMzzj lauten (und katze42 nur Täuschung ein), wobei man sich nur merken muss, dass man links oben beim V anfängt und dann im Uhrzeigersinn die grünen Waben abgrast. Wobei es ja in vielen Fällen sowieso so ist, dass man das Passwort zum Teil im Kopf hat, aber halt nicht völlig auswendig memorieren kann. Zusätzlich könnte noch ein tXl17 versteckt sein (gelb). Und so weiter. Sooo offensichtlich (und damit unsicher) ist das keineswegs!
Für den Hausgebrauch.
Aber perfekt und für James Bond geeignet ist das halt leider nicht. In der der App-Beschreibung spricht der Anbieter von 14 Millionen Kombinationen, die jemand, der nicht weiß, wie er suchen muss, durcharbeiten müsste, um das Passwort in Mnemonizer herauszufinden. Das mag rein rechnerisch stimmen, ich hab’s nicht nachgerechnet, aber in Wirklichkeit ist es doch so, dass die meisten Nutzer ein bestimmtes Verhalten an den Tag legen werden, also zum Beispiel
- eher am Rand beginnen,
- die Passwörter eher von links nach rechts (oben/unten) laufen lassen,
- die Passwörter in Waben mit gleichen Farben verstecken oder
- beim Zeichenweg nicht mehr als ein, zwei mal nach links oder rechts abbiegen,
- usw.
Daher ist es am Ende eben doch so, dass man eine Liste der wahrscheinlicheren und unwahrscheinlicheren Passwörter aus dieser Grafik extrahieren könnte, genau wie das eben bei normalen Passwörtern auch schon der Fall ist (wo Ziffern meist vorne oder hinten sind, oder die Anordnung der Zeichen Mustern auf dem Keyboard folgt, etc.). Ergo muss niemand 14 Millionen Möglichkeiten durchrechnen: Mit den ersten Tausend käme man bei Mnemonizer mit einiger Wahrscheinlichkeit schon ans Ziel.
Und je mehr man als Nutzer von Mnemonizer bemüht, „es“ schwierig zu gestalten, hier etwa mit einem Rösselsprung-Muster (toootaaal clever!) …
… desto eher könnte man sich das verdammte Passwort (Ws0aCmT) doch auch einfach merken.
Immerhin: Neugierige Kollegen, die einen Blick aufs herumliegende iPhone riskieren und das Wabenmuster sehen, sollten es durchaus schwer haben, ein Passwort im Wabengewimmel zu finden. Vor allem, wenn man etwas leicht zu findendes darin als Ablenkung einbaut:
(Man verzeihe mir die Kinderei.)
Würde ich Mnemonizer verwenden? Eher nicht. Zu umständlich. Und als Passwort-App zu wenig für 1,79€. Auch muss sich jeder klar machen, dass allzu klartextige Passwörter hier wirklich hervorstechen.
Was halten Sie von der Methode?