Ich verwende 6 eigens festgelegte, einzigartige Passwörter/Passphrasen.
Drei davon sind wirklich Komplex, zwei eben dieser sind aber redundant.
Im Endeffekt merke Ich mir also 2 komplexe Passwörter, und 3 weniger komplexe/kürzere um alles zu erledigen.
Die kürzeren sind nicht so schwer zu merken, insbesondere auch da Ich sie alle regelmäßig verwende. Zusätzlich unterliegen diese einer begrenzten Anzahl an Versuchen.
Darin inbegriffen sind aber jetzt nicht die Pin für die Bankkarte, oder meine Onlinebanking Daten, die merke Ich mir. Denn: Sonderlich komplex können die Passwörter eh nicht sein, nach X Versuchen ist der Zugang ganz gesperrt, 2FA, einfaches zurücksetzen, einfach zu merken, …
· Ein komplexes Passwort für den Passwortmanager.
Hiervon hängen eigentlich alle Online Passwörter als auch zum Beispiel jene für das BIOS/UEFI ab (die Ich im Notfall per CMOS-Reset zurücksetzen kann, aber für gewöhnlich einfach von einen anderen Gerät aus dem Passwortmanager abtippe).
Da Ich keine Passwörter habe, die Ich nicht auf andere Art und Weise zurücksetzen kann, benötige Ich kein weiteres Passwort (und/oder Datenbank) um im Notfall darauf zugreifen zu können, oder jemanden zugreifen zu lassen.
· Ein (zum merken)/zwei Komplexe(s) für die Festplattenverschlüsselung, sowohl des System als auch der Backups.
Das zweite Passwort befindet sich in einen anderen Keyslot, als Backupschlüssel. Ob man sich dieses merken, einem sehr guten Freund/„der besseren Hälfte“ geben (kann), oder aufschreiben und irgendwo verwahren möchte, das muss man selbst wissen oder entscheiden. Ähnliches gilt eventuell für den Passwortmanager. Es gibt auch andere Möglichkeiten. Aus meiner Sicht ist das nötig, da meine Passwortdatenbank ausschließlich im verschlüsselten System/Backup ist.
Warum? Da ein Zugriff auf mein System als auch auf meine Backups Zugang zu den gleichen Daten liefert, ergibt ein separates Passwort für mich keinen Sinn. Zusätzlich gebe Ich dieses Passwort nicht online ein, sondern nur in vertrauter Software, am eigenen Rechner: cryptsetup (DM-Crypt, Linux Kernel). Deswegen ist da ein geteiltes Passwort kein großes Problem. Theoretisch lässt sich heimlich von einen extern gelagerten Datenträger der Header der Verschlüsselung kopieren (oder gleich zeitaufwändig der ganze Datenträger), und mithilfe dessen unbemerkt z.B. ein bruteforce-Angriff auf das Passwort umsetzen. Das spielt aber bei der Länge des verwendeten Passwortes (es würde eine Ewigkeit dauern) und der Vertraulichkeit der Daten keine wirkliche Rolle.
Aus selbigen Gründen verwende Ich das gleiche Passwort für sonstige externe Datenträger, die sich immer bei mir Zuhause oder an der Person befinden. Diese binde Ich nur über eine separate Nutzersitzung in meine Systeme ein, entsprechend mache Ich mir keine Sorgen um normale Schadsoftware.
Du solltest aus meiner Sicht aber ein weiteres Passwort verwenden, wenn du diese auf unbekannten Systemen nutzen möchtest, oder mit anderen Leuten zusammen (auch wenn diese einen eigenen Keyslot haben).
· Zwei kürzere für Mobiltelefone, da Ich zwei verwende, beide im Vergleich relativ unsicher, aufgrund von Zeichenbegrenzungen (Featurephone, max. 8 Zahlen, keine Verschlüsselung), oder aufgrund von Komfort.
Ich tippe nämlich keine 8 Wörter oder Vergleichbares auf einer Smartphone Tastatur ein, und kein kürzeres, aber komplexes Passwort aus gemischten Sonderzeichen/Buchstaben/Zahlen.
Und Fingerabdrücke sind mir zu unsicher - Stichwort Zwang, oder auch der Fakt, dass Fingerabdrücke einfach nicht sonderlich geheim sind, sie werden ja schließlich überall hinterlassen.
Ich lagere aber auch keine extrem sensiblen, geheimen Daten auf meinem Mobiltelefon, da es aus meiner Sicht einfach ein unpassendes Gerät dafür ist. Ausreichend geschützt ist es trotzdem (Stichworte „Weaver token“ & „secure element“).
Und schlussendlich das letzte, kürzere Passwort:
· Für meine „Security Keys“.
Warum ein Passwort nötig ist, ist klar. Aber warum ist ein kürzeres für mich in Ordnung? Die Security Keys benötigen physische Bestätigungen, sind immer am Mann - oder in einen sicheren Lager (Backup) - haben begrenzte Versuche für das Passwort, und sind - für mich - hauptsächlich zweiter Faktor/Schutz vor Softwarelücken am Computer.
Da du vom Benutzerlogin schriebst:
Ich habe ein ganz kurzes, weiteres Passwort für den Benutzerlogin.
Der Login ist im Grunde nur mit FIDO U2F gesichert, mit physischer Bestätigung (und dessen Passwort).
Alles andere halte Ich damit für diesen Fall für unnötig. Gegen (kompetente) physische Angreifer schützen da andere Varianten eher wenig, außer dass das System aus ist und die Festplatte verschlüsselt ist. Gegen online/software Angreifer reicht das, bei sicherem FIDO Stick, da du Softwareseitig den Knopf nicht drücken kannst.
Vielleicht bietet irgendetwas davon dir ein paar Anhaltspunkte.
Am Ende musst du überlegen, was für dich am besten funktioniert und passt.
Man muss nicht alles perfekt machen. Es muss nur ausreichend gegen potentielle Angreifer helfen.
Und immer daran denken: Der größte Schwachpunkt für einen skrupellosen Angreifer bist höchstwahrscheinlich du selbst. Und das sind eher diejenigen, die alles (an Hardware o.Ä.) daran setzen würden deine Passwörter zu knacken. Da spielt Schlüssellänge oder Einzigartigkeit dann nicht immer eine Rolle, wenn was anderes greifbarer ist. 